SÉCURISATION DES DONNÉES PATIENTS

ENCORE TROP DE PROFESSIONNELS DE SANTÉ PAR DÉFAUT D’INFORMATION ET PAR MANQUE DE TEMPS NE RESPECTENT PAS LES OBLIGATIONS LÉGALES EN MATIÈRE DE GESTION ET PROTECTION DES DONNÉES MÉDICALES DE LEURS PATIENTS.

Sécurisation des données patients

PRÉAMBULE

La règlementation sur la protection des données quelles soient personnelles et ou médicales, aussi appelé RGPD existe depuis mai 2018. 

De nombreux cabinets médicaux ne sont toujours pas à jour sur la gestion des données personnelles de leurs patients.

 

Même si la CNIL qui contrôle la bonne application de ses textes règlementaires a laissé une période d’adaptation aux entreprises, cette dernière multiplie les contrôles et santionne lourdement les entreprises et particulièrement les cabinets médicaux qui ne respectent pas ses nouvelles normes.

Vous voulez en savoir plus, lisez les recommandations de la CNIL en cliquant sur ce lien https://www.cnil.fr/fr/quelles-formalites-pour-les-traitements-de-donnees-de-sante-caractere-personnel 

sécurisation des données patients ce que dit la CNIL
r

CE QUE VOUS DEVEZ SAVOIR

  • Le RGPD s’applique aux traitements informatiques et aussi au dossier papier.
  • La transmission des données de santé de vos patients doit être limitée aux seules personnes qui sont autorisées à y accéder au regard de leurs missions.
  • Les données de vos patients ne peuvent être gardées indéfiniment.
  • Les patients doivent être informés du traitement de leurs données mais vous n’avez pas à recueillir leur consentement.
  • Il n’y a plus de déclaration à faire auprès de la CNIL mais vous devez tenir un registre de traitements.

LES SANCTIONS EN CAS DE MANQUEMENT

  • Défaut de sécurisation des données : amende record de 250 000 €
  • Défaut d’information patients
  • Risque de santions disciplinaires et pénales en cas de vol de données de santé
    • La CNIL et votre ordre peuvent vous sanctionner sévèrement en cas de vol de données dues à votre manque de gestion et de protection des données personnelles médicales de vos patients.

LES BONNES PRATIQUES À METTRE EN PLACE

  • FORMATION ET INFORMATION DE VOTRE PERSONNEL MÉDICAL
    • INFORMER LE PATIENT SUR SES DROITS
    • GESTION DE VOS OUTILS INFORMATIQUES
    • DISCRÉTION
gestion des données personnelles médicales par le personnel médical

INFORMER LE PATIENT SUR SES DROITS

Vous devez informer vos patients de leurs droits en matière de gestion de données personnelles et médicales.

  • droit à la rectification
  • droit à la suppression
  • droit au transfert chez un autre praticien

Cette information est généralement ajoutée sur les formulaires médicaux d’accueil. 

ET DOIT ÊTRE AFFICHÉE DANS LE CABINET, GÉNÉRALEMENT DANS LA SALLE D’ATTENTE

GESTION DE VOS OUTILS INFORMATIQUES

Tous les postes informatiques utilisés dans le cadre de votre activité et visibles par vos patients doivent répondre à certaines obligations.

  • en cas d’absence du professionnel, le poste informatique doit être en mode veille et avec un mot de passe pour la remise en route.
  • durant l’intervention seule la fiche du patient présent doit être visible.

LE PATIENT NE DOIT PAS VOIR AUTRE CHOSE QUE SES INFORMATIONS PERSONNELLES ET MÉDICALES

DEVOIR DE DISCRÉTION

En tant que praticien vous connaissez bien votre engagement sur la discrétion que vous avez envers votre patient, mais n’oubliez pas que vous n’êtes pas le seul à avoir accès aux données personnelles et médicales de votre patient.

  • chaque membre de votre cabinet, assistant, secrétaire et intervenants doivent s’engager par écrit à respecter scrupuleusement le caractère confidentiel des échanges qu’ils peuvent avoir avec vos patients.

Les échanges oraux de données patients ne doivent être faits que dans le cadre du suivi médical.

ÉQUIPEMENTS ET SÉCURISATION DES ACCÈS
    • LE STOCKAGE DES DONNÉES PATIENTS
    • LE CONTRÔLE DES ACCÈS
    • LES OBLIGATIONS TECHNIQUES
Local technique serveur données patients pour cabinet médical

Vous êtes légalement responsable de la gestion des données de vos patients. En cas de perte, fuite ou vol de données vous devrez répondre auprès de la CNIL et éventuellement être condamné.

La CNIL peut prononcer, en fonction de la gravité du non-respect de la réglementation, des amendes administratives allant jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel. Quant aux peines pénales maximales, elles sont, pour une personne physique, de 5 ans d’emprisonnement et de 300.000 d’euros d’amende et, pour une personne morale, de 1,5 millions d’euros d’amende.

LE STOCKAGE DES DONNÉES PATIENTS

De nos jours la majorité des cabinets médicaux disposent d’outils informatiques et de logiciels spécialisés.

De pratique ces logiciels de santé qui gèrent les données patients sont distribués par des serveurs vers des postes utilisateurs.

Ces logiciels de santé qui contiennent toutes les données de vos patients, personnelles et médicales doivent être utilisés de manière responsable et sécurisé.

 

Stratégie du stockage de vos données patients
  • Il faut mettre en place une réelle stratégie de protection de ses données personnelles et médicales.
  • Cela implique d’avoir à disposition du matériel récent, à jour et sécurisé.
  • Cela vous oblige aussi à définir QUI, COMMENT et QUAND ? a accès à votre matériel de stockage.

Vous devez mettre en place une sauvegarde sécurisée de vos données patients :

– En interne à partir de votre serveur de stockage de données.

– En externe en utilisant un service certifié HDS.

LE CONTRÔLE DES ACCÈS

Terminé le temps ou tout le personnel avait accès aux postes de travail, au serveur ou au classeurs papiers.

Vous devez définir en amont QUI, COMMENT et QUAND ? vous autorisez vos collaborateurs à accèder à ses donnés.

Stratégie pour le contrôle des accès aux données patients.
  • Établir un carnet, cahier d’autorisations d’accès aux données patients par niveaux :
    • Praticien, accès à toutes les données
    • Secrétaire médicale, accès au données administratives du patient.
  • Sécuriser physiquement l’accès au données patients.
    • Si vous utilisez un serveur, sécuriser son accès en le positionnant dans une pièce fermée ou en l’insérant dans une baie informatique sécurisée.
    • Si vos stockez des données papiers (classeurs) sécuriséz l’accès.
Contrôle des accès aux données patients pour cabinet médical

LES OBLIGATIONS TECHNIQUES

Il faut être à jour de tout vos systèmes :

  • Ordinateur poste de travail 
  • Serveur
  • Logiciel médical
  • Solution de sécurité et de sauvegarde
Stratégie pour la veille technologique et sécuritaire de vos systèmes
  • Établir un partenariat avec une société informatique spécialisée, qui s’occupera de
    • Mettre à jour vos systèmes (poste de travail, serveur et machines connectées)
    • Vérification de la bonne exécution des sauvegardes.
    • Rappel si nécessaire aux bonnes pratiques.
  • Se tenir informé des informations distribués par vos caisses (CPAM, AUTRES) ou de votre ordre.
    • Cela vous permet de connaitre les futures législations à venir.
Veille technologique et sécuritaire pour les données patients
gestion des données personnelles médicales par le personnel médical
s

En applicant au quotidien ces différentes pratiques et actions, votre cabinet répondra aux exigeances de la Règlementation Générale sur la Protection des Données. 

Gardez à l’esprit que les données patients sont très sensibles et que vous en êtes responsable tant que vous les gardez sur papier ou informatiquement. 

Une faille de sécurité importante a été découverte sur la suite Windows, permettant aux hackers d'entrer facilement sur votre ordinateur:
- Sauvegardez vos données
- Mettez à jour vos systèmes d'exploitation (Windows)
- Mettez à jour vos anti virus