04 95 76 08 43

réglementation européenne / sécurite

La sécurisation des données de santé : une priorité absolue

22 décembre 2021
Sécurisation des données patients

Introduction

La sécurisation des données patients est un défi complexe, qui implique non seulement des réglementations strictes, mais également l’utilisation de technologies et de bonnes pratiques adaptées.

sécurisation des données patients

Les risques

En tant que professionnel de santé, vous avez la responsabilité de protéger les données médicales de votre patientèle.

Si vous n’avez pas encore mis en place les mesures nécessaires pour respecter la réglementation en matière de gestion de données de santé, il est impératif de vous y mettre rapidement.

La CNIL a donné du temps aux professionnels de santé pour se mettre en conformité, mais il est à prévoir que des sanctions seront prononcées à partir de 2023 pour les retardataires.

Par exemple, un laboratoire a récemment été condamné à 1,5 million d’euros pour avoir laissé fuiter les données de 500 000 patients en raison d’un défaut de sécurisation.

Il existe plusieurs risques liés à la divulgation de données de santé : atteinte à la vie privée, tentative d’escroquerie, divulgation d’informations sensibles.

En tant que professionnel de santé, vous avez accès à de nombreuses informations sur vos patients, identité, adresse, numéro de téléphone, email, numéro de sécurité sociale, ainsi que des informations sur leurs traitements et maladies en cours ou passées.

Si ces données tombent entre de mauvaises mains, elles peuvent être revendues sur le dark web ou utilisées à des fins malveillantes. 

 

C’est pourquoi il est essentiel de mettre en place des mesures de sécurité pour protéger ces données sensibles.

La règlementation

Elle permet d’encadrer la collecte et la gestion des données patients.

Basée sur la R.G.P.D. (Règlement Général sur le Protection des Données) mise en vigueur au mois de mai 2018, la règlementation en matière de collecte et gestion de données est bien plus stricte.

Quelques exemples de textes à respecter : 

  • Respect de la finalité : les données de santé ne peuvent être collectées et utilisées que pour des fins précises, explicites et légitimes.
  • Minimisation des données : les données de santé doivent être limitées aux seules données strictement nécessaires pour atteindre la finalité visée.
  • Respect de la vie privée : les données de santé doivent être traitées de manière à garantir un niveau adéquat de protection de la vie privée des personnes concernées.
  • Sécurité des données : les données de santé doivent être protégées contre toute perte, utilisation abusive, altération ou destruction.
  • Transparence : les personnes concernées doivent être informées de manière claire et concise de la collecte et de l’utilisation de leurs données de santé, ainsi que de leurs droits en matière de protection des données.

C’est le minimum à respecter pour être à jour et conforme dans le cadre de la gestion de données de vos patients.

 

Les bonnes pratiques

Les clés de la sécurisation des données de santé : les bonnes pratiques à mettre en place

Équipements informatiques :

Un matériel informatique obsolète et dont le système d’exploitation et logiciels ne sont pas à jour est un risque majeur pour le vol de données patients.

Vous devez faire le point sur la maintenance et les possibilités techniques à envisager pour avoir un environnement informatique à jour et sécurisé.

Sécurisation des accès :

L’accès à vos données patients qu’il soit informatique ou physique doit être réglementé.

Seul vous, votre personnel et quelques intervenants externes désignés en amont doivent avoir l’autorisation et la possibilité de consulter, modifier et supprimer des données patients.

Chaque poste de travail (accueil, poste du praticien) ne doit pas être consultable par une personne extérieure. Pour cela, vous devez configurer une action de mise en veille avec une demande de mot de passe pour la réouverture.

Par ailleurs, vous devez aussi sécuriser l’espace physique où se trouve votre serveur de données en le fermant à clef.

Un vol de données peut se faire en quelques secondes !

Chiffrement des données : 

Pour sécuriser vos données patients, vous devez activer le chiffrement de votre base de données. En cas de vol, cela compliquera l’accès détaillé à vos données.

Souvent, les logiciels médicaux utilisent cette option par défaut. Mais qu’en est-il de vos sauvegardes ? Sont-elles chiffrées ?

Il est malheureusement courant de pouvoir accéder à des sauvegardes non chiffrées et parcourir aisément les fiches patients.

Rapprochez-vous de votre intervenant informatique pour mettre en place un système de chiffrement des données patients.

Formation de votre personnel :

Votre personnel doit être sensibilisé à la bonne gestion des données de santé de votre patientèle.

Plusieurs actions de formation sont à mener :

  • Rappel des textes en vigueur
  • Les bonnes pratiques
  • Les risques
  • Le devoir de discrétion

Renseignez-vous auprès de votre ordre local et son représentant pour connaitre les formations disponibles.

gestion des données personnelles médicales par le personnel médical

Les moyens techniques

Sécuriser les données de santé : les outils technologiques à votre disposition

Pour vous aider dans votre démarche de sécurisation de vos données patients, plusieurs moyens et outils technologiques sont à votre disposition.

Les données de santé doivent être protégées par tout moyen nécessaire.

Cela pourrait vous être reproché en cas de « fuite de données ».

La sauvegarde de vos données :

Outre le chiffrement de vos données, de la gestion de ses accès, il est primordial de mettre en place un système de sauvegarde sécurisé.

Pour cela, vous devez mettre en place une procédure de sauvegarde appelée « 3,2,1 ».

Le but est d’avoir 3 types de sauvegardes différents :

  • La première locale sur votre serveur
  • La seconde sur un support externe (disque dur ou NAS).
  • La troisième vers un serveur de stockage extérieur (cloud).

Certains éditeurs de logiciels médicaux proposent en supplément la sauvegarde sur leurs cloud sécurisé (HDS).

En cas d’incident majeur, grâce à cette pratique, vous pourrez reprendre votre activité rapidement.

Logiciels de santé :

Le choix de l’éditeur de votre logiciel de santé est important. Il doit respecter la législation en vigueur et vous garantir un suivi régulier de mises à jour.

Votre ordre médical vous donnera une liste des logiciels de santé compatibles avec votre activité.

Le chiffrement de vos données de santé :

Les éditeurs de systèmes d’exploitation Microsoft et Apple proposent un utilitaire ce cryptage de données.

Très simples à mettre en œuvre, ils chiffreront le disque dur de votre poste serveur.

 

Local technique serveur données patients pour cabinet médical

Conclusion

Vous êtes légalement responsable de la gestion des données de vos patients. En cas de perte, fuite ou vol de données, vous devrez répondre auprès de la CNIL et éventuellement être condamné.

 

  • Des sanctions financières : en cas de manquement aux réglementations, il est possible de recevoir une amende de la part de l’autorité de contrôle compétente. Par exemple, le RGPD prévoit des sanctions financières pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial de l’entreprise, selon le montant le plus élevé.
  • Des sanctions pénales : en cas de manquement grave aux réglementations, il est possible de faire l’objet de poursuites pénales, qui peuvent aboutir à des peines de prison et à des amendes.
  • Des sanctions civiles : en cas de manquement aux réglementations, il est possible de faire l’objet de poursuites civiques de la part de particuliers ou d’associations, qui peuvent demander des dommages et intérêts.

Prenez le temps de vous rapprocher vers votre éditeur de logiciel, votre ordre local ou votre prestataire informatique pour faire le point.

0 commentaires

Soumettre un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Aller au contenu principal