Cybersécurité 2: la vie privée, un sujet d’actualité brûlant

Des géants de la technologie tels que Google et Amazon qui ont accès à des millions de données de patients, des patients qui se plaignent du partage non autorisé de leurs données, un pharmacien anglais qui se voit infliger une lourde amende en matière de RGPD pour avoir « jeté dans la rue » des milliers de données de patients… Ce ne sont là que quelques exemples illustrant que la vie privée et la cybersécurité sont des sujets d’actualité brûlants.

La numérisation dans le secteur des soins de santé est en constante progression : les dossiers électroniques de patients et les e-prescriptions, les technologies de détection et de suivi, les applications, l’automatisation des processus et de la communication, les analyses de big data, l’IdO, etc. sont autant d’éléments qui démontrent l’importance des TIC et rendent notre secteur particulièrement vulnérable. Les communiqués à propos de rançongiciels déjouant les systèmes d’hôpitaux, d’universités, etc. sont légion de nos jours. Les pirates informatiques ne redonnant généralement accès aux données que contre rémunération, il est important de garantir une sécurité adéquate pour éviter une telle situation.

Photo: DPO Denis Hanjoul (à gauche) et Lieven Zwaenepoel, Président APB

Semer la panique

Nexuzhealth, partenariat médical entre plusieurs hôpitaux flamands, a récemment fait parler de lui pour la négligence avec laquelle il traiterait les données de patients. La vie privée des patients est une question sensible, mais il arrive trop souvent que l’on propage des demi-vérités ou que l’on fasse des généralisations à partir de cas isolés. La prudence s’impose ici et une bonne communication est d’importance cruciale. Nexuzhealth n’a pas réagi rapidement – la faute probablement à la période de Noël –, mais l’UZLeuven a immédiatement expliqué sur son site la façon dont les données médicales sont partagées et a souligné le strict contrôle des accès et l’enregistrement de chaque consultation du dossier de patient. Le site mentionne également que chaque patient reçoit, au moment de la consultation ou de l’admission, une brochure d’information sur le dossier de patient et le respect de la vie privée.

Nuance

Des informations nuancées à ce sujet sont nécessaires. Le magazine Knack a publié un article avec des questions tendantieuses du journaliste qui interviewait le professeur Hans de Loof (UAntwerp), comme quoi la disparition de la prescription papier entraînerait de nombreux problèmes en matière de confidentialité, qu’il n’était en outre pas évident de savoir qui a droit de consultation sur un dossier, car on n’explique pas clairement au patient les implications de son consentement, et que le DPP n’est pas tout à fait correct. En réponse à cette interview, Lieven Zwaenepoel, président de l’APB, apporte des nuances : même si la numérisation totale devient la norme et le papier l’exception –ce qui ne sera certainement pas le cas avant octobre 2020 –, les patients devraient toujours pouvoir faire valoir leurs droits, même sans ordinateur. D’où la nécessité d’impliquer activement les représentants des associations de patients dans les décisions à ce sujet. Il explique également que des données telles que l’état de santé d’un patient ou les médicaments qui lui sont délivrés ne sont consultables que si votre activité dans le domaine des soins de santé ou votre relation thérapeutique avec ce patient en particulier vous y autorise, ou si le patient a donné son consentement eHealth.

FarmaFlux

Un exemple illustrant l’importance de traiter avec précaution les données de patients est l’amende colossale qu’un pharmacien anglais s’est vu infliger pour avoir déposé un demi-million de documents médicaux contenant des informations sensibles dans un conteneur non fermé. On est assez loin de l’image modèle du pharmacien conscient des normes RGPD… Afin d’éviter de telles situations, FarmaFlux a établi début 2019, en collaboration avec les services de tarification, les associations professionnelles et le BeMeSo, un guide pratique sur le RGPD destiné aux acteurs du réseau de pharmaciens (accessible uniquement au moyen de l’identifiant APB). Le point 19 traite de la suppression/destruction sécurisée de données à caractère personnel (numériques) :

 Les données doivent être effacées endéans les 30 jours suivant l’expiration de la durée de conservation applicable. Documentez – de préférence dans votre registre de traitement – comment ce processus fonctionne. Sur support analogique (par ex. papier) : La destruction de documents contenant des données à caractère personnel doit se faire de manière contrôlée. Les documents contenant des données à caractère personnel doivent être détruits à l’aide d’un destructeur de document (déchiqueteuse) ou d’une corbeille à papier fermée (de type DestraBox). Le contenu de ces conteneurs est détruit par une société spécialisée. La destruction de données originales ne peut se faire qu’avec l’accord du responsable du traitement et compte tenu des dispositions légales applicables.

Outre ce guide pratique sur le RGPD, FarmaFlux a également rendu entièrement conforme au RGPD la version papier de son contrat de sous-traitance avec tous les pharmaciens affiliés l’année dernière, afin d’être en règle même sur papier.

Les pharmaciens ayant des questions sur la RGPD peuvent contacter notre DPO Denis Hanjoul via gdpr@apb.be.