La Cybersécurité dans les cabinets dentaires
Comprendre les enjeux, connaître vos obligations et appliquer les bonnes pratiques
L’actualité est régulièrement marquée par les attaques contre des établissements de santé, que ce soient des hôpitaux ou des cabinets médicaux. Fin janvier, ce sont les mutuelles Viamedis et Almerys qui ont à leur tour été la cible d’une cyberattaque d’ampleur. Une enquête a été ouverte sur ce piratage de données, touchant 33 millions de Français, pour établir les responsabilités. Les sociétés de mutuelles vont faire l’objet de vérification sur les conditions de sécurisation de leurs systèmes. Les TPE (très petites entreprises) et le secteur de la santé sont, selon l’ANSSI, deux des trois activités les plus ciblées par les pirates. En matière de cyberattaques, sachez que, comme toute entreprise, vous avez un rôle et même des responsabilités dans la protection des données patients.
Et dans les cabinets dentaires qu’en est-il des données ?
En tant que professionnels de santé, vous gérez des données sensibles, incluant des informations personnelles et médicales. La bonne gestion des dossiers médicaux et la protection de ces données est non seulement une question de confidentialité et de confiance mais aussi une obligation légale.
Le non-respect des normes de sécurité peut entraîner des conséquences graves, allant de la perte de réputation à des sanctions juridiques.
Dossier médical : obligations légales et conservation des données
Le dossier médical est un élément central en cas de litige. Il doit contenir toutes les informations personnelles du patient et les données de santé, comme les actes dispensés, les imageries, les correspondances, etc. Un dossier incomplet ou mal géré peut entraver certaines expertises en cas de besoin et affecter votre défense en cas de litige. Mais pas que …
Depuis la loi Kouchner de 2002 et l’entrée en vigueur du RGPD en 2018, vous avez des obligations précises concernant la tenue et la conservation des dossiers médicaux. Vous devez notamment tenir un registre des traitements et vous êtes responsables de la conservation des données de vos patients. La loi impose une conservation du dossier pendant 10 ans après la consolidation du dommage le cas échéant, avec une recommandation de 20 ans ou plus.
De plus, un patient peut vous demander un accès à son dossier médical. Dans ce cas, il doit être communiqué sous huit jours pour un dossier récent ou dans un délai de deux mois pour un dossier dont la dernière pièce remonte à cinq ans ou plus.
Protection, sauvegarde et gestion des données en cas de changement de praticien
Les pertes de données peuvent survenir à tout moment et pour des raisons diverses et variées (dysfonctionnement matériel, vol, incendie, inondation…) Mais une chose est sûre c’est que de manière générale, elles ne préviennent pas. Il est recommandé d’utiliser des outils de sauvegarde intégrale chiffrée et à distance avec redondance. La certification HDS
(Hébergeur de Données de Santé) de l’hébergeur est un gage de sécurité.
En cas de départ d’un praticien, il est important de gérer correctement les données. Dans une collaboration libérale, chaque praticien doit emporter une copie de ses données et non les laisser uniquement dans la base.
Dans une SELARL, la patientèle appartient à la société qui doit en assurer la conservation. Lorsqu’un chirurgien-dentiste cesse son activité (pour retraite, déménagement, maladie, etc.), il doit transmettre ses dossiers médicaux à son successeur. Si aucun successeur n’est disponible, il doit soit conserver les dossiers lui-même, soit les confier à une société d’archivage, ou éventuellement les remettre à ses patients.
En savoir plus sur notre solution ?
Sanctions en cas de perte des données
La perte de données médicales peut entraîner des sanctions du Conseil de l’Ordre, des actions en justice, et des amendes de la CNIL pouvant atteindre 4 % du chiffre d’affaires annuel. Il est donc crucial de porter une grande attention à la gestion et la conservation des dossiers médicaux
Se tenir prêt pour une cyberattaque
Aujourd’hui, avec l’augmentation des attaques, il n’est plus question de savoir si vous allez être attaqués mais plutôt quand vous allez l’être et comment (bien) réagir. Il convient donc d’anticiper et de se tenir prêt à faire face. Nous avons d’ailleurs à ce sujet écrit plusieurs articles déjà paru sur notre blog : « Ransomwares (rançongiciels) : pourquoi sommes-nous tous des victimes potentielles ? », « Cybercriminalité : une dizaine de cabinets dentaires attaqués, contraints de payer une rançon » ou « PROTECTION DES DONNÉES EN SANTÉ : Bien se protéger en tant que professionnel ! ».