Contrôle des services de réception des données auprès des assureurs-maladie

Tous les assureurs-maladie doivent désormais disposer d’un service certifié pour la réception des factures de type DRG (forfaits par cas liés au diagnostic). Les contrôles que nous avons effectués auprès de douze services de réception des données ont montré que ces derniers fonctionnaient en général bien. Nous avons constaté toutefois quelques lacunes dans un petit nombre de cas que nous avons signalés aux services de certification concernés.

Durant l'année sous revue, nous avons examiné les services de réception des données de douze assureurs-maladies dans le cadre de mesures d'établissement des faits. Nous avons également évalué les interfaces entre hôpitaux, éventuels intermédiaires et services de réception de données ainsi qu'entre services de réception et assureurs.

Ces contrôles nous ont permis de constater ce qui suit:

La structure ou la forme des services de réception des données diffèrent fortement selon les assurances-maladie. Les grandes assurances sont nombreuses à avoir, dans leurs locaux, leur propre service de réception des données qui traite celles-ci sur la base de leurs propres systèmes, de systèmes achetés ou de systèmes sous licence. Les assurances de moyenne ou petite taille par contre ont tendance à externaliser le service de réception des données auprès d'un tiers qui agit pour leur compte. La transmission de données des hôpitaux au service de réception a toujours lieu par un intermédiaire. Certains services de réception sont très complexes et sont constitués de plusieurs systèmes de vérification combinés entre eux, d'autres encore ne comportent qu'un seul système.

La majeure partie des factures de type DRG sont transmises sous forme électronique. Cela montre qu'aujourd'hui, la plupart des prestataires sont équipés de manière à pouvoir livrer des factures électroniques. Malgré cela, nous avons constaté dans certains cas des différences étonnantes et difficilement compréhensibles entre les assureurs-maladie que nous avons contrôlés au sujet de la part des factures électroniques et des factures sur papier. Bien qu'il s'agisse souvent du même prestataire, les assureurs font l'objet de traitements différents. Ainsi, un assureur reçoit essentiellement des factures sur papier alors qu'un autre ne reçoit que des factures électroniques. Mais d'une manière générale, nous avons constaté qu'une majorité de prestataires n'établissaient que des factures électroniques.

Par ailleurs, nous avons observé que certains déduisaient de l'art. 59a de l'ordonnance sur l'assurance-maladie (OAMal) qu'il ne faudrait transmettre que les données médicales au service de réception. Nous avons donc attiré l'attention de tous les acteurs concernés sur la formulation claire de la disposition, à savoir que toutes les données doivent être livrées au service de réception. C'est la seule manière de garantir que ce dernier puisse remplir sa fonction conformément à la loi, qui est de déterminer quelle facture nécessite un examen plus approfondi et d'assurer que seules les données dont l'assureur-maladie a vraiment besoin lui soient transmises (principe de la proportionnalité). Nous avons en outre souligné que les données administratives comportaient aussi des indications médicales, notamment le code DRG qui, dans la plupart des cas, donne une image claire de la santé du patient et de fait constitue une donnée médicale.

Dans le cadre des contrôles, nous avons en outre constaté qu'il n'est pas toujours clair de savoir quelles procédures de traitement relèvent du service de réception et sont de ce fait soumises à certification. Nous avons précisé aux assureurs-maladie, à leurs prestataires et à l'organisme de certification quels processus ou traitements de données doivent obligatoirement être effectués par le service de réception et dans quel ordre ces processus doivent avoir lieu. Tous les processus de vérification, qu'ils soient électroniques ou menés par des personnes qui décident si une facture doit être examinée de manière plus approfondie ou non, doivent être accomplis par le service de réception, indépendamment du fait qu'il s'agisse de processus concernant des factures sous forme papier ou sous forme électronique. En dehors du service de réception, aucune vérification systématique de toutes les factures ne doit avoir lieu. Tous les processus ou procédures de traitement de données relèvent du service de réception des données et doivent être certifiés.

A cet égard, surtout dans le cas des petites assurances-maladie, le problème suivant s'est parfois posé: les contrôles, qui servent à décider si un examen approfondi de la facture en question doit avoir lieu, sont effectués par des collaborateurs de l'assureur. Les fonctions de ces collaborateurs, font également partie du service de réception et doivent être certifiées. Cela peut poser des problèmes d'organisation au sein des petites assurances-maladie. Leurs employés occupent souvent une double fonction. D'une part, ils font partie du service de réception des données parce qu'ils effectuent les contrôles mentionnés plus haut, et d'autre part ils font partie du service des prestations et dans cette fonction, ils procèdent à l'examen plus approfondi des factures qu'ils se sont eux-mêmes adressées. Cela contredit le principe même de l'indépendance du service de réception des données des assureurs-maladie. Afin de garantir cette indépendance, il faut que des mesures techniques et organisationnelles soient prises. Par exemple, créer deux postes de travail dont les tâches sont totalement séparées ou mettre en place des droits d'accès différents de sorte que l'on ait uniquement accès aux données qui sont effectivement nécessaires pour la tâche en question. Du point de vue organisationnel et technique, cette méthode permet d'empêcher qu'un collaborateur ait accès à toutes les données.

Une autre difficulté d'ordre organisationnel se pose s'agissant de la répartition des tâches: comment gérer conformément à la loi les données confidentielles, réservées au médecin-conseil. Si, au cours de l'examen approfondi des factures transférées par le service de réception des données, il faut requérir des informations supplémentaires de nature médicale (rapports de sortie, rapports d'opération), ces informations sont normalement destinées au médecin-conseil de l'assureur-maladie. Celui-ci procède ensuite à l'évaluation médicale. Toutefois, si des questions concernant le codage doivent être examinées, il doit souvent faire appel au codeur ou au collaborateur DRG du service des prestations lesquelles, du point de vue organisationnel, ne font pas partie du service du médecin-conseil. Dans la pratique, cette difficulté est également résolue par les mesures techniques et organisationnelles mentionnées plus haut.

Ainsi, au cours de nos contrôles, nous avons constaté que certains services de médecin-conseil possèdent des postes de travail séparés qui possèdent une règle d'accès spécifique et prévoient une double fonction pour les collaborateurs, si bien que là aussi, une séparation des deux tâches et de l'accès aux données peut être garantie. En outre, ces collaborateurs à double fonction sont qualifiés d'auxiliaires du médecin-conseil de sorte que lorsqu'ils accomplissent cette tâche pour le médecin-conseil, ils sont soumis au même devoir du secret que le médecin-conseil lui-même (art. 321 CP).

En complément de notre activité de contrôle, plusieurs séances de coordination ont eu lieu au cours de l'année sous revue avec l'Office fédéral de la santé publique (OFSP). Elles avaient pour objet de coordonner des activités de surveillance qui se recoupaient en partie et de clarifier des questions en suspens concernant les services de réception des données.

La séance annuelle avec les certificateurs et avec le Service d'accréditation suisse (SAS) a également eu lieu durant l'année sous revue. Elle a permis un échange de vues constructif et a été l'occasion d'éliminer des points peu clairs, qu'il s'agisse de la certification et de la fonction des services de réception des données ou des interfaces entre les prestataires, les services de réception des données et les assurances-maladie.

Pour conclure, nous constatons que le système des services de réception des données fonctionne bien et que l'application de l'article 59a OAMal, bien qu'il n'y ait eu ni directives concrètes ni prototype d'un service de réception des données, se déroule de manière très satisfaisante et en conformité avec la loi. La concrétisation des services de réception est un processus qui, comme toute autre mise en oeuvre d'une nouvelle loi, a besoin de temps afin que nous puissions en déceler les avantages et les inconvénients ainsi que le potentiel d'amélioration. Au cours du prochain exercice, nous procéderons encore à d'autres contrôles et espérons que s'il faut remédier à des lacunes du point de vue de la protection des données, la collaboration avec les certificateurs, les assurances-maladie et leurs prestataires demeurera fructueuse.

https://www.edoeb.admin.ch/content/edoeb/fr/home/documentation/rapports-d-activites/22e-rapport-d-activites-2014-2015/controle-des-services-de-reception-des-donnees-aupres-des-assure.html