RGDP: Quels sont pour vous les points d’attention

Partager

À partir du 25 mai 2018, le Règlement général sur la protection des données (RGPD) entrera en vigueur en Europe. Cette nouvelle législation vise à assurer une protection et une sécurité adéquates des données à caractère personnel. Dans le secteur de la santé, il est très important que les données à caractère personnel soient traitées de manière correcte. Nous sommes heureux de vous fournir un aperçu des principaux points d’attention à prendre en compte tant dans votre application que dans votre cabinet en général.

Quels sont pour moi les points d’attention dans le cadre des applications Corilus ?

Nos applications vous aident considérablement à vous conformer au RGPD, mais cela ne signifie pas que vous satisfaites automatiquement à toutes les exigences du RGPD. Vous pouvez comparer cette situation avec un coffre où vous stockez des informations sensibles. Il est important que vous possédiez un coffre solide avec une serrure difficile à forcer, mais si vous laissez le coffre-fort ouvert en permanence ou si vous en donnez le code à tout le monde, cette sécurité s’avèrera peu efficace. Nous voulons donc aller au-delà des points d’attention pour que vous soyez parfaitement en règle avec le RGPD lorsque vous utilisez notre application.

Utilisateurs

Assurez-vous que chaque employé de votre cabinet possède un compte utilisateur propre. De cette façon, vous savez facilement qui a accès à quelles données dans le programme.
 
Chaque utilisateur doit obligatoirement choisir un mot de passe. Nous recommandons ici l'utilisation de l'authentification multifactorielle, comme eID ou Corilus Passport. Lors de l'utilisation de mots de passe, ceux-ci doivent être suffisamment forts, c'est-à-dire avec au moins 8 caractères comprenant des chiffres, des lettres minuscules, des lettres majuscules et des caractères spéciaux (par exemple % ! ? ? * # # @ + +). Changez régulièrement votre mot de passe. Nous vous conseillons de le faire annuellement.
 

eHealth

Idéalement, chaque utilisateur doit disposer d’une licence personnelle pour utiliser les services eHealth. Conservez soigneusement cette licence.

Communication

eHealthbox

eHealthbox est la méthode de communication privilégiée avec les autres prestataires de soins de santé. Vous pouvez communiquer avec des médecins disposant d’une licence eHealth ainsi qu’avec des médecins hospitaliers.
 

E-mail

Nous vous recommandons de communiquer autant que possible via eHealthbox. Si vous communiquez toujours par e-mail, nous vous recommandons d’utiliser un compte de messagerie protégé par une authentification et un cryptage. Si les e-mails sont envoyés sans authentification et sans cryptage, vous courez le risque qu’ils puissent être interceptés plus facilement et qu’une personne malveillante puisse envoyer des e-mails en votre nom.
 
Il est important de savoir que le cryptage d’un e-mail ne s’applique qu’au contenu du message, pas à l’objet. Essayez donc de faire en sorte que l’objet soit aussi neutre que possible et évitez de mentionner les données du patient dans l’objet (par exemple, n’écrivez pas « Radios de Jean Dupont », mais bien « Cabinet dentaire La dent blanche »).
 

Communications vers le patient

L’utilisation de données à caractère personnel dans les communications aux patients comme les rappels de rendez-vous ne pose aucun problème quand il s’agit de données telles que le nom du patient, la date et l’heure du rendez-vous, l’adresse e-mail, etc.
 
Nous vous déconseillons fortement de communiquer des données médicales au patient par e-mail (par exemple prescriptions, radios, références, etc.) car ce sont là des données sensibles. En tant que responsable du traitement, vous restez responsable de la transmission de ces informations au patient. La communication par e-mail s’accompagne toujours de risques, même si vous envoyez vos e-mails avec un cryptage. Vous voulez quand même envoyer des données médicales au patient par e-mail ? Gardez à l’esprit les points suivants :
  • Assurez-vous que les données du patient sont correctes. Évitez par exemple qu’on vous communique une adresse e-mail par téléphone, il est préférable de la demander quand le patient est physiquement présent dans le cabinet.
  • Faites-en sorte que l’objet de chaque e-mail soit aussi neutre que possible.
  • N’ajoutez aucun autre destinataire en CC.
  • Informez le patient des risques encourus lors de l’envoi de données médicales par e-mail.
  • Assurez-vous de vous rappeler avoir envoyé l’e-mail au patient.

Export des données des patients

Lorsque vous exportez et/ou imprimez les données d’un patient ou une liste de patients (par exemple vers un fichier PDF), gardez à l’esprit les points suivants :
  • Dossiers comptables : Évitez ou supprimez les données des patients dans les dossiers que vous fournissez à votre comptable.
  • Listes personnalisées de patients : Si vous utilisez cette méthode, évitez autant que possible d’inclure des données sensibles sur les patients dans ces listes (par exemple le NISS, le solde impayé, le type d’assurance, etc.).
  • Général : Assurez-vous que les données des patients imprimées / exportées ne sont accessibles que pour les personnes qui ont besoin d’y accéder. Gardez par exemple vos documents sous clé et placez les fichiers numériques dans un dossier protégé.
  • Général : Ne stockez pas les données des patients imprimées / exportées plus longtemps que nécessaire. Conseil : utilisez un destructeur de papier pour les documents dont vous n’avez plus besoin.

Quels sont les points d’attention quand je contacte le Helpdesk de Corilus ?

Gardez à l’esprit les 3 conseils suivants lorsque vous contactez notre Helpdesk :
  1. Évitez d’envoyer des e-mails pour nous communiquer vos questions ou problèmes. Nous vous recommandons d’utiliser autant que possible notre Helpdesk en ligne. Pour les problèmes urgents, contactez-nous de préférence par téléphone.
  2. Indiquez le moins possible de données à caractère personnel des patients dans votre question. Si possible, utilisez le numéro du patient au lieu du nom du patient.
  3. Lorsque vous faites des captures d’écran, évitez que des informations personnelles y soient visibles. Rendez-les par exemple illisibles.

Quels sont les points d’attention pour mon cabinet en général ?

Le traitement des données à caractère personnel s’étend au-delà de votre logiciel de gestion des patients. Pour un avis complet sur la façon de mettre votre cabinet en conformité avec la législation RGPD, veuillez contacter votre association professionnelle ou un spécialiste en la matière. Corilus vous aide cependant avec les trucs et astuces suivants :
 

Mesures organisationnelles

  • Prévoyez une protection physique de votre cabinet (fichiers sous clé, système d’alarme, bureau verrouillé).
  • Sensibilisez vos collaborateurs internes aux risques et à l’importance de la protection des données.
  • Évitez que le patient puisse voir l’écran de votre ordinateur. Si vous voulez montrer quelque chose au patient, assurez-vous qu’aucune donnée d’autres patients n’est visible.
  • Respectez la vie privée de vos patients, ne discutez pas de dossiers si les personnes dans votre salle d’attente peuvent entendre ce que vous dites.
  • Rédigez une déclaration de confidentialité qui explique comment vous gérez les données à caractère personnel de vos patients. Informez les patients à ce sujet via une affiche ou des brochures dans votre salle d’attente. Pour plus d’informations sur l’élaboration de ces documents, veuillez contacter votre association professionnelle.
  • Mettez en place une procédure pour le cas où les données de vos patients seraient divulguées. Votre association professionnelle peut vous y aider.
  • Assurez-vous que les supports de données tels que disques durs, clés USB, cartes mémoire, .... sont cryptés et/ou protégés. Ne jetez pas les clés USB, PC et disques durs usagés. Celles-ci contiennent encore souvent des données personnelles. Assurez-vous d'abord que toutes les données qui s'y trouvent ont été effacées.
  • N'accordez pas l'accès à votre réseau à des inconnus. Assurez-vous que votre réseau WiFi est sécurisé et que si vous offrez le WiFi à vos patients, cela se fait sur un réseau WiFi séparé.

Mesures techniques

  • N’ouvrez pas d’e-mails suspects, soyez toujours méfiant en ce qui concerne les e-mails, surtout ceux qui proviennent d’expéditeurs que vous ne connaissez pas.
  • Sécurisez les ordinateurs dans votre cabinet en utilisant un pare-feu et un antivirus. Si cela vous intéresse, Corilus peut vous aider sur ce point. Prenez pour ce faire contact avec votre représentant.
  • Assurez-vous toujours que les données à caractère personnel sont stockées en Europe. Évitez les sociétés d’hébergement non européennes (par exemple Dropbox) pour stocker vos informations. Cela s’applique également à ceux qui utilisent un système de sauvegarde en ligne. La sauvegarde en ligne proposée par Corilus est stockée sur des serveurs belges. Votre représentant se fera un plaisir de vous aider si cette solution vous intéresse.
  • Prévoyez un mot de passe au démarrage de votre ordinateur.
  • Ne donnez pas à vos employés ou collaborateurs plus de droits d’accès à vos systèmes que nécessaire pour l’exécution de leur travail.
 

Que faire si j’ai d’autres questions sur le RGPD ?

Pour des questions générales sur la façon de vous assurer que votre cabinet est entièrement conforme au RGPD, vous devez contacter votre association professionnelle ou un spécialiste en la matière. Si vous avez des questions spécifiques sur notre application, nous vous assisterons volontiers via notre Helpdesk.