Depuis l’entrée en application du règlement général sur la protection des données (RGPD), les  professionnels de santé se posent différentes questions relatives à la sécurisation des données médicales.

A quels traitements s’appliquent les dispositions du RGPD ?

Les dispositions du RGPD s’appliquent à tous les traitements de données personnelles (ex : nom, prénom, numéro de patient, etc.) que vous utilisez pour l’exercice de votre activité professionnelle, que ces traitements soient sous une forme informatique (ex : logiciel de gestion de votre cabinet médical) ou papier (archive dossier patient papier).

Quelles informations sur les patients pouvez-vous collecter ?

Les données que vous collectez sur les patients doivent être adéquates, pertinentes et limitées à ce qui est strictement nécessaire à la prise en charge du patient au titre des activités de prévention, de diagnostic et de soins.

Pouvez-vous transmettre les données de vos patients à tous les professionnels, organismes ou autorités qui vous les demandent ?

Vous devez limiter l’accès aux données de santé de vos patients : seules certaines personnes sont autorisées, au regard de leurs missions, à accéder à celles-ci :

  • au sein de votre cabinet médical : la secrétaire médicale,
  • les organismes d’assurance maladie pour le remboursement des actes et prestations et leur contrôle, etc.

Ces personnes n’accèdent qu’aux données nécessaires à l’exercice de leur mission (ex : le secrétaire médical accède aux données administratives permettant de gérer les prises de rendez-vous, mais n’accède pas à la totalité du dossier médical).

Par ailleurs, la loi peut autoriser certains tiers à avoir accès aux données de vos patients (ex : les organismes de sécurité sociale dans le cadre de la lutte contre la fraude, etc.).

Combien de temps pouvez-vous conserver les données que vous collectez sur vos patients ?

Les données que vous collectez sur vos patients doivent être conservées pour une durée déterminée.

A titre d’exemple, les médecins libéraux conservent, conformément aux recommandations du Conseil national de l’Ordre des médecins, les dossiers médicaux des patients pendant 20 ans à compter de leur dernière consultation.

Devez-vous informer les patients dont vous collectez et conservez les données de santé ?

Vous devez délivrer aux patients une information portant sur le traitement de données que vous effectuez pour leur prise en charge (soit dans votre logiciel de suivi, soit dans votre dossier papier). Cela peut être sous la forme d’une affiche, dans votre salle d’attente.

L’information doit être délivrée de façon concise, transparente, compréhensible et aisément accessible. Elle doit pouvoir être abordable par le « grand public ».

Devez-vous recueillir le consentement du patient pour collecter et conserver les données de santé que vous utilisez pour la mise en œuvre de votre activité ?

Vous n’avez pas besoin de recueillir le consentement des patients pour collecter et conserver les données de santé les concernant, dans la mesure où leur collecte et leur conservation sont nécessaires aux diagnostics médicaux et à la prise en charge sanitaire ou sociale des patients concernés.

Êtes-vous responsable de la mise en place de mesures de sécurité pour garantir le respect de la confidentialité des données de santé de vos patients ?

Vous devez respecter des règles de sécurité pour protéger les données des patients contre:

  • des accès non autorisés ou illicites
  •  la perte, la destruction
  • les dégâts d’origine accidentelle.

Pour ce faire vous devez mettre en place des mesures techniques et organisationnelles appropriées pour préserver la confidentialité et l’intégrité des données:

  • Utilisation de la carte professionnel de santé,
  • mot de passe personnel,
  • utilisation d’un système de chiffrement fort en cas d’utilisation d’internet,...

Si vous passez par un prestataire qui traite des données en votre nom et pour votre compte veillez  que votre hébergeur de données de santé soit agréé ou certifié, celui-ci doit, en tant que sous-traitant, vous garantir un niveau de sécurité adapté au risque. Vous devez vérifier ce point et conclure un contrat avec votre prestataire.

Devez-vous toujours déclarer les traitements de données personnelles auprès de la CNIL ?

Avec l’entrée en application du RGPD, vous n’avez plus de formalité à accomplir auprès de la CNIL pour les traitements de données personnelles nécessaires à la gestion de votre activité. En revanche, vous devez être en mesure de démontrer à tout moment votre conformité aux exigences du RGPD en traçant toutes les démarches entreprises : mise en place d’un registre recensant vos fichiers, modalités de l’information délivrée au patient, actions menées pour garantir la sécurité des données de santé, etc.

Que faire pour commencer ?

Même si on ne peut  se protéger de tout, il est important d’appliquer des mesures de base, qui vont déjà grandement réduire les risques :

    1. Choisir avec soin ses mots de passe 
    2. Mettre à jour régulièrement vos logiciels
    3. Bien connaître ses utilisateurs et ses prestataires
    4. Effectuer des sauvegardes régulières
    5. Sécuriser l’accès WiFi de votre entreprise
    6. Être aussi prudent avec son smartphone ou sa tablette qu’avec son ordinateur
    7. Protéger ses données lors de ses déplacements
    8. Être prudent lors de l’utilisation de sa messagerie
    9. Télécharger ses programmes sur les sites officiels des éditeurs
    10. Être vigilant lors d’un paiement sur Internet
    11. Séparer les usages personnels des usages professionnels
    12. Prendre soin de ses informations personnelles, professionnelles et de son identité numérique

Voici les quelques recommandations de l’ASIP :

Sécurité des données de santé : tous concernés !

Loin d’être une affaire de spécialistes, la sécurité des données de santé est l’affaire de tous et notamment des professionnels de santé qui ont des obligations légales :

  • Pour l’échange : informer le patient, limiter l’échange aux personnes concernées et aux données utiles.
  • Pour le partage : obtenir le consentement du patient, limiter le partage aux personnes ou services concernés.
  • Pour la protection : respecter les 5 principes de la loi Informatique et liberté (1978).
  • Pour la conservation : fixer une durée et s’assurer de la restitution des données en cas de sous-traitance.

Une vigilance au quotidien

  • Promouvoir la sécurité :

Maîtriser les fondamentaux, sensibiliser ses équipes et informer ses patients.

  • Sécuriser le lieu d’exercice et les équipements :

Protéger les équipements contenant les données du vol et des courts-circuits, protéger la connexion internet et le réseau local, gérer et préserver les mots de passe, mettre en place des antivirus, pare-feu et logiciels de chiffrement, mettre à jour les logiciels et vérifier leur authenticité.

  • Maîtriser l’accès aux informations :

Utiliser sa CPS conformément aux recommandations, éviter de multiplier les comptes, gérer les profils, protéger les comptes les plus sensibles,

  • Limiter les incidents et leurs conséquences :

Tracer les actions réalisées sur les données et les événements informatiques, anticiper les incidents, gérer les incidents conformément aux recommandations, sauvegarder régulièrement.

Cet article est rédigé à partir d’informations du site de la CNIL et de l‘ASIP en espérant qu’il vous sera utile et vous permettra d’y voir plus clair.

 

MERCI POUR VOTRE PARTAGE
fb-share-icon
Tweet