Vertrauen-gewinnen-dank-sicherer-patientendaten

Sécurité informatique: susciter la confiance grâce à des données de patients sécurisées

Daniel Huser
Daniel Huser

Les données de patients sont une cible lucrative pour les cyberattaques. La manière dont vous, en tant que médecin, déterminez les responsabilités et les processus liés aux données a une grande influence sur la vulnérabilité de votre cabinet. Grâce à nos conseils, vous garantissez une plus grande sécurité et renforcez le lien de confiance avec vos patients.

Les médecins font partie des groupes professionnels qui jouissent de la plus grande confiance de la population.

 

Des psychologues de l’Université de Bâle ont même pu montrer que cette confiance avait une influence positive sur la satisfaction, le comportement en matière de santé, la qualité de vie et les troubles subjectifs des personnes traitées. Avec la numérisation, les données de patients ne se trouvent plus directement dans le tiroir du médecin de confiance, mais sont présentes sous forme numérique sur les systèmes informatiques du cabinet. Or, les données médicales personnelles sont hautement sensibles et constituent une cible lucrative pour les cyberattaques. Elles ont donc besoin d’une protection particulière.

 

Nous vous présentons les principales mesures organisationnelles permettant de protéger ces données de manière adéquate et d’assurer la confiance en vous et en votre cabinet, même à l’ère du numérique.

Avec la nouvelle loi sur la protection des données, de nouvelles obligations légales sont entrées en vigueur le 1er septembre 2023. Elles nécessitent quelques adaptations ou extensions des directives et des processus de traitement des données existants. Comme auparavant, la direction (le ou la propriétaire du cabinet) est la principale responsable de la sécurité des données, de la protection des données ainsi que des technologies de l’information et de la communication (TIC) mises à disposition. Il est toutefois recommandé, en particulier au vu des nouvelles exigences accrues en matière de sécurité, de définir clairement deux rôles dans l’organisation du cabinet. Il s’agit du poste de responsable de la protection et de la sécurité des données (R-PSD), ainsi que du poste de responsable informatique.

Clarifiez ces deux rôles dans l’organisation de votre cabinet médical

Responsable de la protection et de la sécurité des  données (R-PSD)

Le responsable de la protection et de la sécurité des données édicte les consignes de sécurité et veille ensuite à ce qu’elles soient mises en œuvre et respectées. Il détermine qui a le droit d’accéder à quelles données et ressources, et gère les autorisations correspondantes.

Responsable informatique

Le responsable informatique est chargé de la mise en place, de l’exploitation et de la maintenance de l’environnement informatique dans l’entreprise. Il est chargé d’implémenter les exigences en matière de protection et de sécurité des données au niveau technique.

Le propriétaire du cabinet fait office de R-PSD et de responsable informatique s’il n’a pas délégué ces tâches.

 

Afin d’éviter les conflits d’intérêts, le poste de responsable de la protection des données ne devrait, dans l’idéal, pas être occupé par la direction informatique ou la direction des ressources humaines, car ce double rôle les obligerait à vérifier leurs propres décisions. Cette définition des responsabilités vise à ce que la protection et la sécurité des données soit un sujet traité en interne, mais aussi à ce qu’une personne de contact soit disponible pour répondre aux problèmes et aux questions. Un accord écrit portant sur cette activité est conclu avec le ou la responsable de la protection des données sélectionné(e).

Téléchargez notre modèle de convention

Confidentiel ou secret: classifiez vos données

Les raisons poussant à protéger les données peuvent être diverses. Les données personnelles doivent par exemple être traitées de manière confidentielle en vertu de dispositions légales. Une classification des données vise à déterminer et à catégoriser les besoins de protection des données existantes. Les différentes catégories définissent la valeur de protection de certaines informations et la manière dont elles doivent être traitées. Il convient d’en tenir compte également dans le stockage des données.

Les quatre classes d’information

 

PUBLIC
Les données et informations classées comme publiques sont soit publiées, soit destinées à être publiées. Il s’agit p. ex. des rapports annuels publics, du matériel publicitaire ou du contenu d’un site web externe.

INTERNE
Bien que ces données et informations soient internes et ne soient pas destinées à être publiées, leur publication n’aurait que peu ou pas de conséquences négatives. Il s’agit p. ex. de la correspondance avec les fournisseurs, mais aussi de concepts et de divers autres documents.

CONFIDENTIEL
La publication d’informations de la classe de données Confidentiel entraîne des conséquences juridiques, financières ou en termes de réputation. Il convient donc d’empêcher toute publication non souhaitée. Il s’agit p. ex. d’informations sur les clients et les collaborateurs, des chiffres financiers internes ou des informations sur les salaires.

SECRET
Les données et informations secrètes méritent une protection particulière. Si elles tombent entre des mains non autorisées, les conséquences pourraient être importantes. Il s’agit p. ex. de données de santé et de données sur les patients.

La protection de l’information peut être illimitée ou limitée dans le temps, ou changer de manière permanente, par exemple lorsqu’une information confidentielle est publiée. Le contrôle périodique de la classe d’information et son éventuelle adaptation incombent au R-PSD ou au propriétaire du cabinet.

La classe correspondante (SECRET ou CONFIDENTIEL) doit être apposée sur chaque page des documents, et ce, de manière bien visible. Sur les autres supports d’information, la mention doit être apposée de sorte à ne pas passer inaperçue. Les documents non classés ont automatiquement le statut INTERNE. La diffusion de documents secrets doit être limitée au minimum.

Élimination correcte des informations sensibles

Les informations SECRÈTES et CONFIDENTIELLES doivent être éliminées de façon à rendre toute récupération durablement impossible. Cela est également valable pour les appareils devant être réparés. Les données doivent être effacées avant la réparation si cela est encore possible. Dans le cas contraire, il faut démonter le disque dur, voire détruire tout l’appareil. Pour des raisons de sécurité, nous déconseillons de vendre les supports informatiques qui ne sont plus nécessaires et qui contenaient des données sensibles.

Téléchargez notre fiche d’information «Élimination des informations»

L’inventaire informatique est votre guide dans l’environnement informatique

 

La base de l’organisation informatique de votre cabinet est l’inventaire informatique. En effet, seuls les systèmes connus dans le cabinet peuvent être protégés. L’inventaire informatique vous donne une bonne vue d’ensemble de tous les systèmes: des ordinateurs et supports de données aux appareils de laboratoire et médicaux, en passant par les systèmes d’exploitation et les droits d’accès. La définition des processus est tout aussi importante. Le manque de responsabilités, les absences pour cause de vacances ou de maladie ont vite fait de rendre l’image de l’environnement informatique incomplète ou obsolète.

Téléchargez notre modèle d’inventaire informatique

Nous avons déjà publié trois articles de blog sur la sécurité informatique. Le premier concerne la sauvegarde, le deuxième la protection du réseau et le troisième la protection des accès. Les articles vous aident à établir votre inventaire informatique et à le tenir à jour.

Pensez aussi à la sécurité physique de votre cabinet

 

Le thème de la sécurité des données est souvent restreint à la sphère numérique. Cependant, une vision globale inclut également l’aménagement des locaux, qui est une condition de base essentielle pour l’exploitation sûre d’un cabinet. Les locaux doivent être aménagés de manière à pouvoir immédiatement voir les personnes qui entrent. Les données physiques doivent être soit mises sous clé, soit détruites, tandis que les écrans doivent être positionnés de telle sorte que seules les personnes autorisées puissent les consulter. Les serveurs, les composants réseau, la mémoire et les disques durs externes doivent, dans la mesure du possible, être exploités et stockés dans un local non accessible à des tiers. Cette pièce doit également être fermée à clé. S’il n’y a pas de local séparé, ces composants devraient être utilisés dans une armoire verrouillable conçue à cet effet.

Les processus sont préventifs

 

En définissant les responsabilités, les processus et les mesures à prendre, vous serez rapidement prêt à réagir en cas de demande critique ou d’urgence, et vous aurez moins de pertes de données ou de réputation. Se préoccuper activement de la sécurité des données est donc un travail préventif qui porte ses fruits. Avec la mise en œuvre de nos recommandations et des exigences minimales de la FMH pour la sécurité informatique, vous pouvez créer un climat de confiance et de sérénité pour vous et vos collaborateurs. Vous donnez en outre confiance à vos patients, qui savent que leurs données sont entre de bonnes mains.

Informations complémentaires

Health Info Net SA: Modèle de convention responsable de la protection des données
Health Info Net SA: Fiche d’information «Élemination des informations»
Health Info Net SA: Modèle d’inventaire informatique
Daniel Huser
Auteur: Daniel Huser - Membre de la direction élargie, responsable du secteur Gestion de projet & architecture informatique

En tant qu’expert en solutions et projets innovants, je vous présente de nouveaux produits et services, mais aussi des raccordements pour de nouvelles applications chez des prestataires tiers. Je vous dévoilerai également quelques petites avant-premières sur de futurs lancements. Plongez-vous avec moi dans le monde unique de l’ingénierie et découvrez comment les solutions peuvent apparaître avant les problèmes.

Compétences
Je suis à l’aise dans les domaines du Business Engineering et de la gestion de projet pour la santé. Après plusieurs années dans le support technique et la Solution Engineer, je me suis tourné vers la gestion de projet, domaine dans lequel je travaille aujourd’hui encore. Résoudre des problèmes avant qu’ils ne surviennent fait partie de mes objectifs prioritaires. Que ce soit avec de nouvelles fonctions, des mises à jour ou le développement d’idées pour créer des services entièrement novateurs. C’est ce que j’entreprends depuis plus de cinq ans pour HIN.

Contenu rédactionnel
En tant qu’expert en solutions et projets innovants, je vous présente de nouveaux produits et services, mais aussi des raccordements pour de nouvelles applications chez des prestataires tiers. Je vous dévoilerai également quelques petites avant-premières sur de futurs lancements. Plongez-vous avec moi dans le monde unique de l’ingénierie et dé-couvrez comment les solutions peuvent apparaître avant les problèmes.

Côté privé
Passer du temps avec ma famille est sacré. Mes enfants sont tout pour moi. J’aime partager avec eux des voyages ou simplement d’agréables journées à la maison.

 

Autres articles de Weitere Artikel von Daniel Huser