Les dernières actualités . Mot clé : RGPD

Fiche conseil : cabinet de radiologie et RGPD

publiée le 27 septembre 2019

Fiche conseil 👍

Imagerie médicale, numéro de sécurité sociale, dossier patient, coordonnées des médecins traitants, prise de rendez-vous, notes de frais, fiche de paie ou encore messages électroniques sont autant de données à caractère personnel, parfois « sensibles », qui sont quotidiennement manipulées par les Cabinets de radiologie.

Le traitement de ces informations doit respecter les obligations du Règlement Général de la Protection des Données, plus connu sous l’acronyme de « RGPD », qui est entré en application le 25 mai 2018. Régulièrement source d’incompréhensions, le RGPD est généralement perçu comme une contrainte forte par les professionnels de santé, lourde à mettre en place et in fine peu structurante voire inutile.
Et pourtant, le RGPD se veut un texte protecteur des intérêts des « personnes concernées » et complète utilement les impératifs déontologiques relatifs au secret professionnel et à la conservation et la protection des documents médicaux. Pour assurer cette protection, des sanctions importantes ont été prévues par le législateur européen, allant de la simple mise en demeure publique (avec un risque d’image conséquent) au paiement d’une amende administrative substantielle, voire à l’arrêt complet des opérations de traitement effectués, se traduisant par l’arrêt de l’activité.
Le Cabinet Haas Avocats, triplement labélisé par la CNIL pour ses prestations d’audit et de formation, vous propose un rapide décryptage de ce qu’il faut faire et ne pas faire en matière de conformité RGPD.

Ce qu'il faut faire :

  • Tenir un registre des activités de traitement : en cas de contrôle de la CNIL, il s’agit du premier élément qui sera audité par les agents de la Commission. Au-delà de cet aspect, il ne faut pas négliger l’importance de cette cartographie de l’ensemble des traitements qui offre un outil de pilotage et de gouvernance unique permettant d’établir un plan d’action de conformité inscrit dans la durée.

  • Réaliser des analyses d’impact sur la protection des données : de telles analyses sont obligatoires en présence de traitements susceptibles de générer des risques pour les personnes concernées. Sont en particulier visés par la CNIL les traitements de données de santé mis en œuvre par les structures médicales tels que les traitements de dossier « patients » ou les dispositifs de télémédecine. L’analyse d’impact permet de s’assurer que ces traitements génèrent des risques acceptables pour les personnes concernées, notamment du point de vue de la sécurité des données.

  • Informer les patients et le personnel : l’information des personnes est la première condition à la licéité d’une opération de traitement. L’information des patients passe généralement par l’établissement d’une Charte de gestion des données patients, laquelle doit être compréhensible par ces derniers (ce qui nécessite quelques ajustements pour les personnes âgées ou les mineurs) et accessible à tout moment, via un affichage et si possible une diffusion en ligne. Il en va de même pour les salariés qui doivent eux aussi être informés via un dispositif similaire.

  • Gérer le cycle de vie des données collectées : cet aspect est connu des Cabinet de radiologie, faisant déjà l’objet d’un encadrement spécial pour la conservation du dossier médical (art. R1112-7 CSP). Cependant il faut garder à l’esprit que le respect des durées de conservation ne concerne pas uniquement le dossier médical des patients, mais bien l’ensemble des données personnelles collectées par les Cabinets, y compris les données de salariés. Une politique d’archivage sécurisé et de suppression des informations doit être implémentée afin de satisfaire à cette exigence légale. Elle permet également de réduire le volume des données, et partant l’impact d’une éventuelle attaque informatique.

Ce qu'il ne faut pas faire

  • Négliger l’importance de la sécurité des données : la sécurité des données à caractère personnel constitue un des piliers du RGPD. Il faut bien garder à l’esprit que les centres de radiologie, et plus généralement les structures médicales, constituent une des cibles privilégiées des pirates informatiques. Les informations sensibles telles que les dossiers médicaux des patients ou encore les numéros de sécurité social se revendent à prix d’or sur les marchés parallèles présents sur le Darkweb. Il est dès lors essentiel de s’assurer du haut niveau de sécurité de son système d’information, et de contracter une assurance cyber-risques pour se prémunir des pertes importantes que peut générer une attaque informatique.

  • Désigner un « DPO de paille » : le Délégué à la Protection des Données (DPD ou DPO en anglais) est un acteur essentiel de la conformité dont la désignation est obligatoire pour les Cabinets de radiologie. Il jouera notamment le rôle de conseil et de point de contact avec les personnes concernées et la CNIL. Le DPO doit être désigné en tenant compte de son indépendance et de ses qualités professionnelles. Dans la mesure où les Cabinets de radiologie sont généralement amenés à traiter quotidiennement un nombre important de données médicales sensibles concernant des patients, identifiés comme des « personnes vulnérables », le DPO devra ainsi jouir de qualités professionnelles reconnues (formation spécifique au RGPD), sous peine d’engager à la fois sa propre responsabilité et celle du Cabinet.

  • Ne pas contrôler ses fournisseurs, prestataires ou partenaires : qu’ils s’agissent de co-responsable de traitement ou de sous-traitants, les partenaires des Cabinets de radiologie (et notamment les fournisseurs de logiciels et de matériel d’imagerie médicale) se doivent de tenir en respect le RGPD, au risque de voir la responsabilité du Cabinet engagée pour défaillance d’un de ses partenaires. Pour cette raison, les Cabinets de radiologie devront contracter avec ces derniers des accords dédiés à la protection des données.
Ces mesures et mises en garde ne sauraient être exhaustives. L’utilisation sereine des nouvelles technologies au sein des Cabinets de radiologie suppose une prise en compte des spécificités de chaque structure, de son organisation ainsi qu’une sensibilisation de l’ensemble des équipes. Pour plus de renseignements, n’hésitez pas à nous contacter.


32, rue La Boétie
75008 PARIS
Tel : 01 56 43 68 80

Fiche conseil : le partage des données de vos patients

publiée le 14 mai 2019

Fiche conseil 👍

Entré en application en mai 2018, le règlement général sur la protection des données (RGPD) pose de nouvelles règles pour la gestion et le partage des données santé des patients. Qu’est-ce qui change ou ne change pas pour les professionnels de santé libéraux ? On fait le point. 

Quelles sont les données de vos patients concernées par le RGPD ?

Les données collectées doivent être limitées aux seules informations nécessaires à la prise en charge du patient. Ainsi, il est en principe inapproprié de noter des informations concernant la vie familiale du patient.
Toutes les données personnelles des patients collectées par le soignant sont concernées par les dispositions du RGPD, qu’elles soient informatisées ou notées dans des dossiers papiers.

Auprès de qui pouvez-vous transmettre les données de santé de vos patients ?

L’accès aux données de vos patients doit être restreint aux seules personnes qui en ont besoin pour l’exercice de leurs missions. Par exemple un ou une secrétaire médicale aura accès aux données administratives utiles pour la prise de rendez-vous mais pas à l’intégralité du dossier du patient.

Quelle est la durée de conservation des données ?

Les données de vos patients doivent être conservées pendant une durée limitée. En ce qui concerne les médecins libéraux, la période de conservation d’un dossier médical est fixée à 20 ans après la dernière consultation.

Les patients doivent-ils savoir comment sont traitées leurs données ?

Il est obligatoire d’informer les patients sur le traitement des données que vous collectez. L’information délivrée doit être concise, transparente, compréhensible et aisément accessible. Pour faciliter la compréhension, vous pouvez utiliser des pictogrammes visuels, surligner les informations essentielles. Il suffit par exemple d’une simple affiche dans la salle d’attente.
En revanche vous n’avez pas l’obligation de recueillir le consentement d’un patient pour collecter et conserver ses données de santé dans la mesure où elles sont nécessaires au diagnostic médical et à la prise en charge sanitaire ou sociale du patient.

Quelles sont les contraintes de protections des données ?

Le professionnel de santé libéral est responsable de la sécurité des données de ses patients afin de les protéger d’un accès non autorisé, de la perte… La CNIL a édité un guide pour vous aider à prendre les mesures appropriées en termes de technique (matériels, logiciels…) et d’organisation (définir des profils d’habilitation, tracer les accès aux données…)

Existe-t-il toujours des informations à déclarer à la CNIL ?

Depuis la mise en application du RGPD, le professionnel de santé n’a plus de déclaration à faire auprès de la CNIL. Mais le RGDP impose désormais de recenser dans un registre tous les traitements de données personnelles des patients : quelles sont les catégories de données traitées, à quoi servent ces données, pendant combien de temps elles sont conservées, comment elles sont sécurisées…

Pour aller plus loin ...

RGPD

publiée le 12 octobre 2018

Le Règlement Général sur la Protection des Données (RGPD) est entré en application le 25 mai 2018. Ce texte qui encadre la collecte et le traitement des données à caractère personnel s’applique aussi aux professionnels de santé libéraux. Ces derniers sont en effet amenés à recueillir et à émettre un certain nombre d’informations sur leurs patients dans le cadre de leur suivi. Ces dernières sont ensuite intégrées dans leur dossier, numérique ou papier. Ils collectent également des données sur le personnel qu’ils emploient, leurs fournisseurs, …. Autant d’informations qui sont considérées comme des données personnelles, donc sensibles. 
La CNIL (Commission nationale de l’informatique et des libertés) et le Conseil national de l’Ordre des médecins viennent de publier un guide pour aider les médecins à se mettre en conformité. Nous vous en présentons les grandes lignes. Faites attention également aux tentatives de fraude au RGPD qui se multiplient.

Des mesures souvent de bon sens

Le guide dresse la liste des bonnes pratiques à respecter pour le traitement réservé aux données concernant les patients :

  • Limiter les informations collectées au nécessaire, c’est-à-dire à l’activité de prévention, de diagnostic et de soin. Ces données concernent l’identification du patient, le numéro de sécurité sociale, la situation de famille, et selon les contextes, la vie professionnelle, la santé (historique médical, des soins, diagnostics médicaux, …), et les habitudes de vie.
  • Utiliser les dossiers patients conformément à leurs finalités (pour le suivi) ; Toute utilisation commerciale est interdite bien évidemment.
  • Supprimer les dossiers patients et de manière générale toute information ayant dépassé la durée de conservation préconisée ; le Conseil national de l’Ordre des médecins recommande de s’aligner sur les délais de conservation prévus pour les dossiers médicaux des établissements de santé : 20 ans à compter de la date de la dernière consultation du patient, jusqu’à l’âge minimum de 28 ans pour un patient mineur, …
  • Prendre les précautions utiles pour sécuriser et protéger les dossiers « patients » et les données de santé ; Si vous faites appel à un prestataire, il faut signer un contrat de sous-traitance comprenant différentes mentions sur la confidentialité des données, la sécurité, …
  • Informer les patients de l’existence des dossiers et s’assurer du respect de leurs droits, soit par voie d’affichage dans la salle d’attente, soit par la remise d’un document spécifique.
  • Tenir à jour un registre des activités de « traitements » recensant tous les traitements que vous mettez en œuvre dans le cadre de votre exercice.
En cas de non-respect du RGPD, le professionnel de santé peut faire l'objet d'une sanction administrative de la part de la CNIL, et même d'une sanction pénale. Il est donc impératif de se mettre en conformité et de le prouver.

Le guide donne également le cadre à appliquer à la prise de rendez-vous (si elle est confiée à un prestataire), à l’utilisation d’une messagerie électronique (une messagerie de santé sécurisée par exemple), aux téléphones portables et tablettes, et enfin à la télémédecine. 

Attention aux arnaques et aux cyber-attaques

Avec l’entrée en vigueur du RGPD, les professionnels de santé doivent se montrer vigilants aux sollicitations qu’ils peuvent recevoir, et notamment aux démarchages frauduleux au titre de la mise en conformité du nouveau règlement. 
Des courriers avec en tête « Mise en conformité – dernier rappel » sont ainsi envoyés, invitant les récipiendaires à appeler un numéro. Ce qu’il faut évidemment ne pas faire. Sur Twitter, des médecins se plaignent ainsi depuis plusieurs mois d’avoir reçu ce type de courrier, comme @GingeryDeer, médecin dans le Nord, le 6 septembre dernier. Et, ils font passer le message à leurs followers.
Si la lecture du guide ne vous suffit pas, et si vous souhaitez faire appel à une société extérieure pour de l’aide, renseignez-vous sur elle, et dans le doute, contactez la CNIL (01 53 73 22 22).

Les professions médicales ne peuvent plus ignorer qu’elles doivent se protéger contre les attaques sur Internet et le piratage des fichiers.

Si ce type d’incident se produit, vous pouvez contacter le dispositif d’assistance aux victimes d’actes de cybermalveillance : cybermalveillance.gouv.fr
Surtout, vous devez impérativement déposer plainte auprès de la police, de la gendarmerie ou par courrier au procureur de la République du Tribunal de grande instance. Vous devez également en informer la CNIL. Vous disposez désormais de 72 heures pour signaler l’incident à votre régulateur sous peine de payer une amende.

Afin que nos assurés soient rapidement couverts au regard de la réglementation et des risques encourus, nous proposons une garantie Cyber-risque en inclusion de nos contrats Multirisques professionnelles.

Cybersécurité des données de santé

publiée le 30 avril 2018

La protection et la confidentialité des données personnelles et leurs conditions d’utilisation vont être renforcées par le Règlement Général sur la Protection des Données (RGPD) qui entre en vigueur le 25 mai prochain. Les professionnels de santé sont directement concernés par la lutte contre la cybercriminalité.


Depuis des semaines, vos boîtes mails sont assaillies par divers messages de vos prestataires indiquant « qu’en prévision de la mise en place du RGPD, vous êtes invité à accepter nos nouvelles conditions générales d’utilisation » … Et de rappeler que « vous êtes maître de vos données personnelles de santé » et que « vos données personnelles de santé sont stockées et protégées chez deux hébergeurs bénéficiant de l’agrément HDS (Hébergeur de Données de Santé) ». 
Mais quid des données de vos patients ? Qu’implique ce nouveau règlement européen qui impose des obligations techniques et matérielles plus lourdes pour garantir sécurité et confidentialité des données dans votre pratique ? Le texte prévoit que tout « Responsable de Traitements de Données » doit expliquer « la finalité et les modalités de collecte des données, effectuer une EIVP (Etude d’Impact sur la Vie Privée), ou AIPD (Analyse d’Impact relative à la Protection des Données), c’est-à-dire une analyse des risques encourus par les données de santé collectées et hébergées… Et faire appel à un DPD (Délégué à la Protection des Données). Autant dire mission impossible pour un médecin libéral !

Vos meilleurs interlocuteurs : la CNIL …


Pour autant, tout professionnel de santé qui sauvegarde des données personnelles de patients doit les sécuriser, les conserver 20 ans et prouver qu’il respecte le règlement. Malgré la nouvelle règlementation européenne, la CNIL demeure le meilleur interlocuteur en ce qui concerne les règles de sécurité à mettre en œuvre au cabinet médical. Les points clés à surveiller sont les mots de passe, le verrouillage de votre ordinateur ou de votre smartphone et, faut-il encore le rappeler, la seule et stricte utilisation d’une adresse mail cryptée pour tout ce qui concerne les transferts de données des patients. Par ailleurs, le médecin doit clairement informer les patients de la façon dont il traite ses données et qu’il s’est engagé à assurer leur sécurité informatique. A ce titre, la CSMF conseille d’afficher en salle d’attente les droits des patients sur l’accès à leurs données et les modifications de celles-ci."  

… et les pouvoirs publics

Si votre carte de professionnel de santé (CPS) protège également une partie des transmissions de données de vos patients, il n’en est pas de même des logiciels et documents numériques que vous utilisez dans votre pratique qui demeurent trop souvent encore conservés en local sur le matériel informatique de votre cabinet. C’est pour cela que les hébergeurs estampillés HDS (Hébergeur de Données de Santé) tentent de vous séduire avec de nouvelles offres sécurité proposant notamment un « coffre-fort » de vos données. Paradoxe, cette surenchère à la sécurité et à la confidentialité ne risque-t-elle pas d’accélérer la course à la cession de données anonymisées ? La question reste posée, même si la loi apparaît comme le premier rempart 
pour lutter contre la cybermalveillance.

Téléconsultation : comment vous y préparer !

publiée le 16 février 2018

Fiche conseil 👍

Les négociations vont bon train entre l’assurance maladie et les partenaires conventionnels en vue de l’adoption de nouveaux avenants sur la télémédecine. Avec le remboursement des actes inscrits dans la loi de financement de la Sécurité sociale (LFSS) 2018, la téléconsultation entrera-t-elle enfin en médecine de ville ?
Il est temps de vous y préparer et d’en informer vos patients.


Lancées et encadrées par le décret du 19 octobre 2010, les premières expériences de téléconsultations se sont développées en premier lieu pour des patients atteints de maladies chroniques et sont devenues presque monnaie courante pour les personnes âgées vivant en Ehpad. Éviter de nombreux déplacements chez le médecin reste l’objectif de cette pratique médicale. Les autres expériences étaient réservées à des spécialistes requis et le modèle n’a pas fonctionné car trop complexe au niveau juridique et organisationnel.

2018 sera-t-elle l’année de la téléconsultation dans le parcours de soins ?

Ce que dit la loi

Avec l’article 36 de la LFSS 2018, le médecin traitant pourra utiliser la téléconsultation dans le parcours de soins avec sa patientèle sous réserve d’un périmètre de bénéficiaires. Seuls les actes effectués par vidéotransmission seront remboursés par l’assurance maladie obligatoire (AMO). Un nouvel avenant doit fixer les nouveaux tarifs de ces actes dans la nomenclature CCAM.

Comment ça marche ?

La nouvelle loi confirme les prérequis de celle de 2010.
  • La téléconsultation ne peut se faire qu’à partir d’un cabinet médical ou d’une maison de santé et par vidéotransmission.
  • Celle-ci doit être organisée avec le consentement du patient dûment informé sur les bénéfices et risques de ce nouvel mode d’exercice à distance.

Comment s’équiper ?

Contrairement à d’autres pays, une simple connexion SKYPE ne pourra être utilisée pour une visioconférence de consultation.
  • Pour connaître les outils de vidéotransmission et bénéficier d’une assistance technologique en matière de téléconsultation, le plus simple est de contacter l’une des plateformes publiques de l'espace numérique régional en santé (ENRS).
  • Un équipement lourd n’est pas forcément nécessaire, un ordinateur, une tablette ou encore un smartphone peuvent suffire.
Attention aux sociétés commerciales et plateformes privées qui ne manqueront pas de vous solliciter dans les prochaines semaines pour vous proposer des solutions clé en main !

Les obligations incontournables

Comme dans toute consultation traditionnelle dans le colloque singulier, vous êtes soumis au Code de déontologie.
  • Vous devez recueillir le consentement de votre patient avant de lancer la téléconsultation.
  • Vous devez respecter le secret médical, ce qui implique de sécuriser vos échanges et les données médicales. Si l’utilisation de votre carte de professionnel de santé (CPS) et l’utilisation de sa carte vitale par le patient vous protègent, il faut demander en sus une autorisation de la CNIL
  • Vous devez souscrire une seconde assurance Responsabilité Civile Professionnelle couvrant les risques de la téléconsultation. Renseignez-vous sur une éventuelle surprime.

Un besoin de formation complémentaire ?

Contactez votre Union Régionale des Professionnels de Santé (URPS) et le Portail d’accompagnement des Professionnels de santé qui vous orienteront vers des ateliers de formation et vous indiqueront également les éventuelles aides auxquelles vous pourrez prétendre pour l’équipement numérique du cabinet.

Bon à savoir A ce jour, l’assurance maladie donne un mode d’emploi de la téléconsultation pour les expériences menées. A consulter car il récapitule l’ensemble de vos futurs interlocuteurs.

Les chiffres :
  • Plus d’un Français sur deux est prêt à consulter son médecin traitant à distance.
  • 64 % des Français n'ont pas confiance dans l’utilisation de leurs données personnelles.
Sources : enquête de l'Observatoire Cetelem réalisée par Harris Interactive (septembre 2017).

À lire aussi : Télémédecine : les attentes des futurs médecins

     1 2  

Contactez-nous

La Médicale propose des solutions d'assurances dédiées aux professionnels de la santé : Responsabilité Civile Professionnelle, Prévoyance, Multirisque Professionnelle mais aussi Santé, Auto, Habitation, Assurance Emprunteur... Quelle que soit votre activité, découvrez l'ensemble des offres de La Médicale pour vous couvrir aussi bien dans votre vie professionnelle que privée.