RGPD pour les professionnels de santé : êtes-vous bien informés ?

femme professionnelle de santé avec réglementation rgpd sur tablette
Vous avez tous entendu parler de la réglementation RGPD. Pour rappel, depuis le 25 mai 2018 la responsabilité des professionnels de santé est engagée sur la protection et la sécurisation des données qui transitent via leur système informatique. 

Un système de sauvegarde agréé HADS, un antivirus professionnel et supervisé quotidiennement, une messageries filtrées et sécurisées… Tous les moyens doivent être mis en œuvre pour protéger vos données patients, à défaut, vous devrez être en mesure de donner une justification valable à la CNIL. 

Malgré ses longs textes de lois souvent indigestes et difficiles à comprendre (sans parler des évolutions au fil du temps !), la réglementation RGPD n’est tout de même pas à prendre à la légère puisque les professionnels de santé négligeant la protection de leur système d’information, risquent une peine allant de 3 à 5 ans d’emprisonnement et jusqu’à 500 000 euros d’amende. Ce qui fait une bonne raison de devenir RGPD-friendly !

Nous allons dans cet article, vous faire un résumé du dernier référentiel de la CNIL paru en juillet 2020 sur les obligations RGPD pour les professionnels de santé ; une check-list pour vous aider à y voir plus clair sur vos obligations dans le traitement des données confidentielles de vos patients.

1) Minimiser les données des patients

Les données patients recueillies doivent être pertinentes et limitées. Vous devez collecter uniquement les données nécessaires au traitement de gestion médicale et administrative de votre patientèle tel que :

  •  l’identité et coordonnées du patient telles que le nom, prénom, date de naissance, adresse postale, adresse électronique et numéro de téléphone ;
     
  • l’identifiant national de santé (INS) pour la prise en charge sanitaire ou médico-sociale d’un patient ;
     
  • le numéro de sécurité sociale pour la facturation et la prise en charge financière des dépenses de santé ; 

  • la situation familiale telle que la situation matrimoniale et le nombre d’enfants ;
  • la situation professionnelle telle que la profession et les conditions de travail ;
     
  • les éléments qui caractérise la santé du patient ;
     
  • les informations relatives aux habitudes de vie si elles sont collectées avec l’approbation du patients et jugées pertinentes par le praticiens pour le diagnostic et les soins administrés.

2) Les destinataires & accès aux informations

  • Les professionnels de santé et les professionnels concourant à la prévention et aux soins ;
  • le secrétariat ;
  • l’assurance maladie ;
  • les personnels des organismes d’assurance maladie complémentaire ;
  • les organismes de recherche dans le domaine de la santé et les organismes spécialisés dans l’évaluation des pratiques de soins.

Vous devez attribuer un rôle à chaque personne avec accès aux données limité (voir le 6ème point sur les mesures de sécurité).

Votre prestataire de service informatique (maintenance matériel et logiciel) a également accès aux données personnelles dans le respect du secret médical. La réglementation RGPD vous oblige à mettre en œuvre des moyens tel que le chiffrage des données pour permettre au technicien d’intervenir sur la machine sans que celui-ci puisse les lire.

Toutefois, votre prestataire peut avoir rédigé une «politique RGPD» dans laquelle le technicien s’engage à ne pas lire ou divulguer les données personnelles de vos patients. Signer ce document vous protège en cas de perte ou de fuite de vos données patients.

3) Fixer une durée de conservation des données

La réglementation RGPD pour les professionnels de santé prévoit, dans un but de gestion du cabinet médical, une durée de conservation des données de 20 ans à compter de la dernière intervention sur le dossier du patient :

  • En utilisation courante (base active), durant 5 ans à partir de la dernière prise en charge du patient.
  • Durant 15 ans sous forme archivées sur un support indépendant sécurisé.
  • Le délai pour les copies des feuilles de soins est de trois mois.

 

Passé ces délais, les données doivent être supprimées ou archivées sous forme anonymisées dans le cas d’une utilisation à des fins statistiques.

Votre logiciel dossier patient doit contenir les fonctionnalités d’archivage automatique à date d’échéance. Pour se faire, vous pouvez les paramétrer manuellement ou bien faire appel à votre prestataire informatique qui se chargera de paramétrer votre logiciel dossier patient dans les conditions de sécurité conforme à la réglementation RGPD.

Interface de paramétrage du logiciel dossier patient Axisanté

interface axisanté paramétrage d'archivage des données sous forme anonymisée

4) Informer les patients

Vous devez informer vos patients de la manière dont vous traitez leurs données (notamment les rôles attribués au personnel du cabinet) ainsi que leurs droits dont ils disposent sur celles-ci.

Plusieurs moyens de les informer sont possibles :

 

  •  Affichage dynamique sur un écran en salle d’attente.
    •  Remise d’un dépliant informatif, soit en mains propres ou à disposition dans la salle d’attente (déconseillé au vu de la situation sanitaire actuelle).
    • Sur le mail de confirmation de rendez-vous.

    5) Les droits des patients sur leurs données personnelles

    Votre patient dispose de droits sur ses données confidentielles tel que :

     

    • S’opposer au traitement de ses données, (voir conditions dans l’article 21 du RGPD).
    • Accéder à son dossier patients ainsi qu’à l’intégralité de ses données.
    • Rectifier  les données le concernant, si celles-ci sont inexactes.
    • Effacer ses données (voir conditions dans l’article 17 du RGPD).
    • Geler temporairement ses données s’il estime que celles-ci sont inexactes.

    6) Les mesures de sécurité

    • Protéger le réseau informatique externe : protéger les écrans des regards indiscrets et préférer les sauvegardes cloud sécurisées aux disques durs externes et autres supports amovibles.
    • Sauvegarder et prévoir la continuité de l’activité : réaliser régulièrement des sauvegardes.
    • Encadrer la maintenance et la destruction des données : enregistrer les interventions de maintenance dans une main courante et effacer les données de tout matériel avant de s’en séparer.
    • Gérer la sous-traitance : prévoir dans le contrat du sous-traitant, des conditions de restitution et de destruction des données et s’assurer que les garanties prévues (audits de sécurité, visites…) sont effectives.
    • Sécuriser les échanges entre les professionnels de santé et les patients : préférer l’utilisation de la messagerie sécurisée de santé.
    • Protéger les locaux, sécuriser l’accès physique aux données : installer des alarmes anti-intrusion, sécuriser l’accès aux document imprimé avec authentification par badge par exemple. Pour les données confidentielles sur papier, utiliser un système de verrouillage des armoires et un broyeur appropriée lors de leur destruction.
    • Sensibiliser les utilisateurs : informer et sensibiliser le personnel en interne.
    • Authentifier les utilisateurs : définir des mots de passe sécurisés conforme au RGPD, avoir une authentification forte via la carte CPS et ne pas communiquer le mot de passe de la carte CPS au personnel du cabinet.
    • Gérer les habilitations : Définir un profil d’habilitation adapté pour chaque membre du personnel en distinguant les données administratives des données médicales et supprimer les accès obsolètes.
    • Sécuriser les postes de travail : Verrouillage automatique de la session informatique, mise à jour régulière des antivirus et accord de l’utilisateur avant tout traitement sur son poste. Les tablettes et smartphones doivent être hautement sécurisés car la perte de ses appareils est plus fréquente que celle d’un ordinateur de bureau.

    7) Le DPO ( Data Protection Officer )

    Concernant les cabinets groupés à partir du seuil de 10 000 patients par an, La CNIL estime que la réalisation d’une AIPD (analyse d’impact relative à la protection des données) et la désignation d’un délégué à la protection des données (DPO) devraient être nécessaires.
    Accéder ici à l’article de la CNIL sur l’analyse d’impact relatives à la protection des données : FAQ AIPD.

    Envie d’en savoir plus ?

    Voir ou revoir le webinaire dédié à la cyber sécurité pour un cabinet médical ou dentaire c’est possible :

    Saisissez vos coordonnées ci-dessous et cliquez sur le bouton « Voir le Webinaire ».

     

    [caldera_form id="CF6036966358ce0"]

    Je m’inscris pour recevoir les newsletters et les tutos de DMP informatique :

    [caldera_form id= »CF5ef87d2cdaa02″]

    La sécurité de votre cabinet a besoin d’être renforcée ? Parlons-en !

    DMP Informatique créé des solutions dédiées à la protection des données patients au sein des cabinets médicaux, dentaires et maisons de santé.

    •  Sauvegarde agrées HADS
    • Antivirus professionnel
    • Supervision quotidienne des postes informatiques et serveurs
    • E-mail professionnel filtré
    • Imprimante avec accès sécurisé

     

    Consulter les derniers posts sur  :