Notre Blog

Nos données de santé , la prunelle de nos yeux.

on juillet 23, 2018

Le marché de la donnée de santé est en plein essor, plusieurs facteurs sont les conséquences de ce développement :

  • transition numérique du corps médical avec la dématérialisation des dossiers patients.
  • étude des coûts avec migration vers des offres de clouds privés.
  • prise de conscience de la nécessité de sécuriser les données de santé.

Définition d’une donnée de santé :

“Les données à caractère personnel concernant la santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne”. cf https://www.cnil.fr/fr/quest-ce-ce-quune-donnee-de-sante

Les professions libérales et les structures médicales sont confrontées au même problème de sécurisation des données.

Le passage d’une solution interne vers une offre cloud ne doit pas se prendre à la légère. Souscrire à une offre cloud est différent que de souscrire à un abonnement Netflix ou Dropbox pour votre usage personnel. Cette transition numérique doit se faire de façon accompagnée. Outre une étude des coûts liés à cette migration il faut connaître les risques liés à cet hébergement partagé et privatif.

Je rappellerais le devoir d’une partie du corps médical et notamment les médecins qui sont responsables des dossiers de leurs patients: Même si vos dossiers ne sont plus hébergés dans votre cabinet vous en reste responsable chez votre nouveau prestataire.

Avant de choisir une offre cloud pour l’hébergement et le traitement des données de santé de vos patients il faut prendre un minimum de précaution. Le plus important est vous assurer que votre nouveau partenaire a fait les démarches nécessaires pour être agréé auprès d’un organisme reconnu par le COFRAC. Cet agrément est valide pour 3 ans avec un audit annuel. Vous êtes en droit de demander à votre prestataire de voir cet agrément. Si son agrément est en cours ou pire s’il n’existe pas je vous conseille de vous rapprocher d’un autre prestataire qui sera capable de vous montrer son agrément.

Il existe une liste des organismes agréés et autorisés à héberger des données de santé : http://esante.gouv.fr/services/referentiels/securite/hebergeurs-agrees

Une autre liste existe , elle permet de connaitre les solutions labellisées par le label e-santé v2 . http://esante.gouv.fr/services/labellisation/les-solutions-labellisees

Médecins, chirurgiens dentistes, infirmiers libéraux attention aux offres de sauvegarde en cloud privé.

Sans le savoir les données de santé de vos patients sont peut être déjà hébergées sur des clouds, notamment lors de l’utilisation de services de stockage, de sauvegarde par des prestataires qui habituellement ne stockent pas de données de santé. Il faut alors se poser des questions sur le traitement de vos sauvegardes dans leurs clouds.

  • Vos partenaires qui stockent vos données sont-ils autorisés à héberger des données de santé ?
  • Quels sont les moyens qu’ils ont mis en oeuvre pour garantir la confidentialité de ces données ?
  • Les données sont-elles chiffrées ?
  • Combien de temps sont-elles stockées ?

La société qui stocke vos données doit disposer d’un agrément en tant qu’hébergeur de données de santé à caractère personnel.

Je vous invite à lire deux articles écrits par une société qui développe un logiciel de gestion médical je partage complètement leur vision des choses sur l’hébergement des données de santé:

https://sylho.com/articles/mise-en-garde-praticiens-securite-donnees

https://sylho.com/articles/cloud-vs-auto-hebergement

Exemples d’usages:

Mon médecin a fait le choix du cloud privé:

Je ne suis pas censé savoir que mon médecin a choisi de migrer son logiciel de gestion locale (ou interne) vers une offre hébergée dans un cloud (externe). Je trouve bien dommage que l’on ne m’ait pas demandé mon avis pour savoir si j’étais d’accord pour que mes données de santé soient hébergées vers un cloud privé . D’ailleurs quels sont mes droits sur ce sujet ? Est-ce que je peux refuser d’avoir mes données externalisées ? Si je ne veux pas avoir mes données dans un cloud privé je devrais quitter le médecin qui me suit depuis des années car je doute qu’il change son nouveau système pour la prunelle de mes yeux.

D’autres questions restent pour l’instant sans réponse :

  • Comment est transféré mon dossier vers le cloud ?
  • Mon dossier est-il chiffré sur l’espace de stockage ?
  • Un journal d’accès est-il mis en oeuvre pour donner au patient la possibilité de savoir quand et qui a eu accès à son dossier ?
  • Que se passe-t-il quand le patient change de médecin ? son dossier est-il supprimé ?
  • Le patient est-il en droit de demander où est hébergé physiquement son dossier, quels moyens de sécurité sont mis en oeuvre ?

Vous avez le droit de connaître toutes les informations concernant votre santé détenues par un médecin ou par un établissement de santé.

Vous avez avez fait le choix d’internaliser les données de santé:

Ce n’est pas pour autant qu’il ne faut pas les sécuriser. Je vais encore nommer un capitaine qui va vous aider dans cette démarche, j’ai nommé le bienveillant RGPD. C’est vrai que j’en parle souvent dans mes articles mais je le trouve tellement structurant et rassurant pour tout le monde.

Sans lui vos données seraient dispersées dans la nature, avec un bout en France, un autre aux USA, un autre à Singapour … Tiens en parlant de Singapour vous avez entendu parler des 1.5 milions de données de santé qui ont été volées il y a quelques jours par des hackers ?

https://www.levif.be/actualite/international/cyberattaque-sans-precedent-a-singapour-1-5-million-de-dossiers-medicaux-voles/article-normal-868515.html

En quoi le RGPD va vous aider dans la sécurisation de vos données et renforcer la confiance de vos patients.

  1. Tout d’abord dans la cartographie des processus. Cette cartographie va vous permettre de voir où et comment sont manipulées ces données dans votre cabinet et organisation.
  2. Ensuite l’analyse de risques va vous montrer les choses à protéger et les actions à mener pour y arriver.
  3. Enfin au travers de partenaires vous allez mettre en place une organisation pour garder un cycle de vie maîtrisé de ces données.

Tout ce processus RGPD s’applique aussi sur l’hébergement cloud.

J’espère que cet article va vous permettre de faire le bon choix entre une solution hébergée localement dans votre infrastructure et une offre cloud maîtrisée de bout en bout.

Dans un prochain article je vous donnerai des outils et logiciels pour sécuriser à moindre coût les données qu’elles soient personnelles ou de santé.

 

Cédric Lamouche

adminNos données de santé , la prunelle de nos yeux.

Related Posts

Take a look at these posts