Vivakit

Vivakit

Améliorer l'ostéopathie une idée à la fois

Étiquette : données personnelles

Le RGPD expliqué aux ostéopathes

Le RGPD ou Règlement Général sur la Protection des Données personnelles, est un règlement de l’Union Européene qui va entrer en vigueur ce vendredi 25 mai 2018. Dès cette date,…

Le RGPD ou Règlement Général sur la Protection des Données personnelles, est un règlement de l’Union Européene qui va entrer en vigueur ce vendredi 25 mai 2018. Dès cette date, tous les ostéopathes seront concernés par cette loi, que vous preniez vos notes sur papier ou informatique. Dans cet article, nous verrons concrêtement ce que cela représente pour nous, ostéopathes.

Résumé du RGPD et de ses implications pour les ostéopathes

Pour résumer ce règlement: il vise à renforcer le droit à la confidentialité des individus. Cela se traduit par une transparence et une responsabilité accrue sur l’utilisation, la récolte et le traitement des données des patients. En soit, c’est une règlementation très louable car elle permet à chacun de mieux gérer ses données et pouvoir empêcher de nombreuses dérives (publicité ciblée en ligne, profilage clients, …). La même règlementation s’applique aux grands groupes ainsi qu’aux petites structures, d’où une mise en place très variables suivant le contexte.

Par données personnelles, c’est toute information se rapportant à une personne physique identifiée ou identifiable: numéro de téléphone, nom, adresse, numéro de sécurité sociale, histoire personnelle, … C’est à dire quasiment toutes les données du dossier patient.

La règlementation RGPD prévoit, que les données personnelles soient « traitées de manière licite, loyale et transparente au regard de la personne concernée ». Dans le cadre de notre pratique, les informations que nous demandons pour l’anamnèse et le dossier patient sont nécessaires à notre pratique et il n’est donc pas nécessaire de demander une autorisation explicite au patient. Par contre, si vous souhaitez faire des statistiques, partager des dossiers patients avec d’autres praticiens, ou toute autre utilisation qui sort du simple cadre de la consultation, il vous faudra demander une autorisation explicite et éclairée du patient (dans l’idéal sous forme écrite). Autre point important sur lequel le texte insiste: il est aussi simple de retirer que de donner son consentement et ce retrait pourra avoir lieu à tout moment. Il faut donc prévoir ce « droit à l’oubli » sauf quand il va à l’encontre d’une tracabilité légale. Par exemple, on ne peut pas supprimer une ligne comptable même si le patient demande à supprimer son dossier.

Autre chose notable avec ce nouveau règlement, il n’est plus nécessaire de faire de déclaration à la CNIL, car désormais la responsabilité du bon respect de ces règles est sur le responsable du traitement, c’est à dire l’ostéopathe. Il devra aussi être en mesure de démontrer que ceux-ci sont respectés et en assumer la charge de la preuve. Cela veut donc dire que l’ostéopathe devra assumer les conséquences d’une violation de ces dispositions, et elle s’applique aussi chez ses prestataires externes qui doivent fournir des garanties suffisantes (pensez ici: logiciel en ligne, agenda externalisé, partage de cabinet/assistanat, …). Il faudra donc avoir un document dans lequel vous indiquez quelles mesures vous avez prises pour protéger les données de vos patients et que vos prestataires externes également.

Concrêtement, cela se traduit par les situations suivantes (donné à titre indicatif, la liste n’est pas exhaustive).

  • un document précisant les mesures de sécurité appliquées pour protéger les données des patients en temps normal ainsi que les procédures en cas de piratage ou de destruction accidentelle des dossiers.
  • un registre prouvant le respect de la règlementation (la CNIL fournit un Excel basique) qui vous permet de renseigner quelles données vous gérez, à quoi elles servent et pendant combien de temps vous les conservez.
  • préciser aux patients, si nécessaire, que leurs données sont stockées sur support informatique et leurs droits en matière d’accès, de suppression ou de modification des données les concernant (un affichage dans la salle d’attente suffit).

La suite contient quelques conseils suivant votre situation.

Vous stockez vos dossiers patients sur papier

Vous devez préciser dans le document comment sont protégés vos documents: votre secrétaire, collègue de maison de santé ou personne chargée du nettoyage ne doit pas pouvoir y accéder facilement. Un tiroir fermant à clé peut suffire. Vous pouvez y ajouter un destructeur de documents pour les dossiers que vous jetez.

Vous stockez vos dossiers patients sur support informatique

Vous devez connaître un minimum où et comment sont stockés vos dossiers et qui y a accès et comment supprimer un dossier patient si on vous le demande (sans supprimer les données de traçabilité comme la comptabilité).

Pour tous les logiciels qui sont sur votre poste et qui n’utilisent pas internet, c’est assez simple: ne pas laisser son ordinateur sans surveillance et protégé par un mot de passe est un bon début. Vous pouvez y ajouter du chiffrement de disque si vous savez faire. Vous pouvez  aussi ajouter un anti-virus mais le plus important est de veiller à garder votre ordinateur professionnel uniquement à cet usage et ne pas y installer de logiciels ou des fichiers venant de sources douteuses qui sont la principale source de virus et autres malwares de toutes sortes qui pourraient récupérer vos dossiers (par piratage informatique).

Pour les solutions en ligne (agenda, dossier patients), vous devez vous assurer qu’ils ont des garanties suffisantes pour pouvoir y stocker vos données patients. C’est ici une zone d’ombre car « des garanties suffisantes » sont un terme bien flou et dépendent du niveau de connaissance technique de chacun. Le site doit par exemple être uniquement utilisé via connexion sécurisée HTTPS et garantir la confidentialité des données stockées. La plupart des acteurs sérieux sur le marché devraient faire l’affaire, mais n’hésitez pas à nous contacter pour nous demander si vous avez un doute.

Il est conseillé de faire des sauvegarde de vos dossiers régulièrement et de les chiffrer: perdre une clé USB non-chiffrée avec les données patient dessus serait bien fâcheux car il sera possible pour n’importe qui d’y accéder !

Attention aussi à l’utilisation de smartphones: si vos données de cabinet sont dessus, il faut aussi penser à protéger votre smartphone pour ne pas qu’il fuite de données privées en cas de perte ou de vol.

Partage avec des collègues, communications en ligne

Dans le cadre des communications en ligne, les dossiers patients sont normalement soumis, comme tout secret professionel, à une obligation de secret. C’est pourquoi la transmission de données personnelles doit toujours être faite de façon chiffrée. Les boîtes email personnelles chez un fournisseur d’accès à internet ou sur un service en ligne (gmail, yahoo, hotmail, outlook etc.) sont interdites car les données sont lisibles et accessibles par les administrateurs de ces plateformes. C’est aussi le cas des services de stockage en ligne (Dropbox, Google Drive, SkyDrive et autres espaces de stockage en ligne).

Malheureusement, il n’existe pour le moment pas de messagerie sécurisée à destination des ostéopathes, mais il existe des outils de communication chiffrées de bout en bout comme Signal, Telegram, WhatsApp. Si vous avez un doute, demandez-nous 😉

Si vous êtes dans un cabinet pluri-praticiens, ils vous faudra afficher et préciser aux patient(e)s que leur dossier peut être partagé avec d’autres praticiens, sous quel format (papier/informatique) et qu’ils/elles peuvent s’y opposer. Évidemment, dans ce cas, il vous faudra prévoir un casier ou un dossier auquel vous êtes le/la seul(e) à avoir accès.

Conclusion

L’arrivée du RGPD est un changement majeur pour de nombreuses organisations et c’est aussi le cas pour nous. Le but de la règlementation est très louable, tout le monde espère que cela permettra à chacun de mieux gérer ses données personnelles. Il est vrai qu’il reste encore un vrai flou sur ce qui va se passer lors de l’application de la loi vu sa portée mais avec les 2-3 bonnes pratiques données dans cet article, vous ne devriez pas avoir d’ennuis !

N’hésitez pas à nous contacter à l’adresse bonjour [arobase] vivakit.com ou sur facebook et/ou twitter s’il manque de précisions pour que nous ajoutions des détails à cet article !

Nous vous recommandons de lire les ressources suivantes pour en savoir plus:

Commentaires fermés sur Le RGPD expliqué aux ostéopathes

Type on the field below and hit Enter/Return to search