Médecin tenant une icône de roue de cadenas de sécurité avec une icône multimédia et de médias sociaux, rendu 3D.

La protection des données dans les cabinets médicaux

Sécurité informatique

La protection des données dans les cabinets médicaux

2 mai 2022
2 740 vues

Les données personnelles qui méritent une protection particulière sont traitées dans les cabinets médicaux. Les informations sur l'état de santé d'une personne étant extrêmement confidentielles, ces données doivent être traitées avec un grand sens des responsabilités, notamment en se dotant des technologies appropriées.

En effet, les interfaces et les équipements des cabinets médicaux présentent souvent de graves lacunes en termes de protection des données. Le tableau suivant indique, pour chaque interface ou environnement, les mesures qui peuvent être prises pour réduire ou éliminer les risques inhérents à l'utilisation des TI.

Interfaces et mesures utiles

  • protéger l'accès par un mot de passe ou une clé USB contenant des données biométriques ; crypter les données sensibles ;
  • avoir une bonne stratégie de sauvegarde ; RAID ;
  • assurer une bonne maintenance du système RAID ; systèmes de clusters ;
  • n'autoriser la télémaintenance du système que si le système ne contient aucune donnée sur les patients ou si les données sont cryptées -> effectuer un test avec des données fictives. Rédigez un rapport d'entretien.
  • stockez les supports de sauvegarde dans un endroit sûr (safe) ;
  • Définissez la procédure de sauvegarde de manière à ce que, en cas de perte ou de destruction d'un support de sauvegarde, toutes les données ne soient pas perdues ;
  • tester la procédure de sauvegarde -> restauration
  • ne connectez pas d'équipements d'accès inutiles et ne les éteignez pas lorsqu'ils ne sont pas utilisés ;
  • il n'est pas recommandé d'installer un réseau local sans fil (WLAN) ;
  • l'accès pour la maintenance de l'infrastructure du réseau doit être donné par le médecin, qui refermera l'accès une fois les travaux terminés ; établir un rapport de maintenance.
  • n'imprimez pas de documents contenant des données sur les patients sur une imprimante non surveillée ;
  • ne laissez pas les documents imprimés sur l'imprimante pendant trop longtemps ;
  • les textes imprimés ne doivent pas pouvoir être reconstitués, que ce soit par l'imprimante ou par le serveur d'impression ;
  • l'entretien des imprimantes doit être effectué sur place.
  • placer les écrans de manière à ce que des tiers ne puissent pas voir la vidéo ;
  • protéger l'accès par un mot de passe ou une clé USB biométrique ;
  • n'écrivez pas vos mots de passe sur un post-it ;
  • paramétrer l'économiseur d'écran pour qu'il s'active après une courte période de temps ;
  • l'accès aux dossiers.
  • verrouiller le PC lorsque le médecin n'est pas dans le cabinet ;
  • protéger l'accès par un mot de passe ou une clé USB biométrique ;
  • paramétrer l'économiseur d'écran pour qu'il s'active après une courte période de temps ;
  • l'accès aux dossiers ;
  • ne pas stocker localement les données du patient déjà stockées sur le serveur.
  • Seules des données cryptées peuvent être transférées entre le bureau et le bureau/la maison. La meilleure solution est de sauvegarder les données dont vous avez besoin sur un ordinateur portable ;
  • si elles sont stockées sur un ordinateur portable, les données des patients doivent être cryptées ;
  • Attention : les règles prévues pour le traitement au sein du cabinet médical (y compris celles relatives à la connexion Internet) s'appliquent également aux données du patient traitées sur un ordinateur privé ;
  • l'ordinateur doit être protégé contre l'accès de tiers (par exemple, les membres de la famille).
  • l'installation d'un pare-feu matériel est recommandée ;
  • si nécessaire, fournissez un PC spécialement conçu pour la navigation sur Internet. Cependant, le PC ne doit pas être connecté au réseau local du cabinet médical ;
  • dans la mesure du possible, ne vous connectez à Internet que lorsque cela est nécessaire pour des raisons professionnelles ;
  • n'installez pas d'autres connexions Internet dans l'étude ; si cela n'est pas possible, connectez-vous uniquement à travers le pare-feu ;
  • par défaut, toutes les portes doivent être fermées ;
  • en cas d'attaque, le pare-feu doit garantir automatiquement l'impénétrabilité du système ;
  • prendre des minutes des activités du pare-feu ;
  • la télémaintenance ne peut être effectuée que par modem ; un rapport de maintenance doit être établi ;
  • ne pas télécharger à partir d'Internet en utilisant le serveur d'entraînement ;
  • installer un système de protection contre les virus.
  • Les adresses électroniques du cabinet ne doivent pas être divulguées sans discernement à qui que ce soit ;
  • les courriers électroniques privés doivent être envoyés à partir d'adresses électroniques privées ;
  • n'envoyer les données des patients que dans des courriers électroniques cryptés ;
  • n'envoyez pas de données sur les patients dans un courriel de réponse ;
  • n'utilisez pas l'application de messagerie pour gérer des documents ou, pire encore, pour constituer un dossier électronique du patient. En d'autres termes : supprimer les e-mails après les avoir lus et transcrire leur contenu important dans le dossier du patient.
  • vérifiez régulièrement l'infrastructure ;
  • n'utilisez pas de matériel et de logiciels inutiles ;
  • ne permettez pas à des tiers d'accéder aux systèmes par eux-mêmes - pas même pour des travaux de maintenance ;
  • ne pas connecter les téléphones mobiles à un ordinateur dans le cabinet. Les téléphones mobiles peuvent également être utilisés pour transmettre des données.

La liste des mesures n'est pas exhaustive et, en tant que telle, ne garantit pas une protection absolue contre les abus. Néanmoins, il s'agit d'un premier pas vers une protection adéquate des données des patients contre les risques inhérents à l'utilisation des technologies de l'information. L'important est que chaque médecin comprenne qu'il sera tenu responsable de toute défaillance de son infrastructure informatique.

La règle suivante s'impose donc : le médecin doit connaître l'infrastructure informatique de son cabinet et veiller à ce qu'elle soit d'une qualité technique élevée. Étant donné qu'il traite des données extrêmement sensibles, un cabinet médical ne peut se permettre de déroger à cette règle.

La loi sur la protection des données a été mise à jour jusqu'à la mi-mai 2022, nous en parlons ici.