La sécurité et la confidentialité des données sont parmi les grandes priorités des organisations accompagnant les cabinets-dentaires dans la gestion de leur patientèle. Depuis le 25 mai 2018 le RGPD (le règlement européen sur la protection des données personnelles), s’applique à tous les secteurs d’activité traitant des données personnelles.
Compte tenu du caractère confidentiel et sensible des données traitées les chirurgiens-dentistes sont particulièrement concernés par le RGPD. La protection des données se fait à 2 niveaux : de la protection des données du patient et de la protection des données dîtes “sensibles”.
Le RGPD garant de la protection des données personnelles
Le Règlement Général sur la Protection des Données couramment appelé RGPD est le texte de référence en matière de protection des données personnelles depuis 2018. Son objectif est de sécuriser des données personnelles traitées et collectées au quotidien. Les données personnelles se définissent selon la CNIL, comme toute informations se rapportant à une personne physique identifiée ou identifiable.
Le site web doit être conforme à cette règlementation en laissant à l’internaute la possibilité d’accepter ou de refuser l’utilisation des cookies. Les professionnels de santé doivent être en mesure de fournir l’accès à certaines informations à leurs patients. Avec le droit à la portabilité, le patient doit pouvoir demander à récupérer ses données.
Le patient peut demander la suppression de ses données, grâce au droit à l’oubli. Enfin, en cas de piratage des données le concernant, le patient doit en être informé sous 72h. En cas de non-respect de ces obligations, les professionnels de santé s’exposent à des sanctions
Comment mettre en application le RGPD au sein de votre structure ?
Pour vous mettre en conformité avec le RGPD certaines mesures sont nécessaires :
- Rédiger un document interne précisant les modalités de traitement des informations confidentielles et leurs conformités avec le RGDP. (Veiller à mettre les mentions légales d’informations sur tous les supports à disposition de vos patients afin d’expliquer la finalité des données collectées.)
- Désigner un délégué à la protection des données. Ce n’est pas obligatoire pour un cabinet d’un ou deux praticiens, c’est cependant essentiel pour les grands cabinets de groupe. Ce doit être un chirurgien-dentiste ou un salarié du cabinet, qui sera en charge de notifier l’ensemble des acteurs (praticiens et salariés) des règles applicables. Il doit veiller au respect du RGPD et conseillera si nécessaire pour la réalisation de l’étude d’impact et assurera le contact avec la CNIL.
- Respecter le droit des patients. Ce droit inclus : “le droit à l’information sur le traitement des données, le droit d’accès, de rectification ou de suppression, ou encore le droit d’opposition pour motif légitime. “ (Code de Santé Publique) Le RGPD ajoute le droit à la portabilité des données et le droit à l’oubli. Ces deux droits peuvent nécessiter parfois une adaptation du logiciel utilisé au cabinet dentaire et un ajustage de la procédure de communication au patient de son dossier. Quand c’est nécessaire, demander l’accord de vos patients et leur donner la possibilité de le retirer.
- Envisager toutes les possibles conséquences d’un vol, d’une détérioration, etc.… des données. Il s’agit d’étudier les risques de sécurités et les risques judiciaires liés au traitement des données.
- Vérifier le contrat avec votre prestataire (éditeur de logiciel, hébergeur, logiciel de métier…) Il est essentiel de vérifier que le contrat prévoit avec précision le contenu de leur prestations, l’obligation de sécurité et respect des clauses obligatoires pour la RGDP.
- Instaurer une procédure pour garantir la sécurité et confidentialité, et respecter les obligations liées au traitement des données. (Fixer une durée de conservation, organiser les modalités d’archivage, assurer la capacité de restitution des données de santé)
- Signaler auprès de la CNIL tout incident de sécurité impliquant des données personnelles (obligation qui s’ajoute à celle de signalement des incidents de sécurité des systèmes d’information de santé prévue à l’article L.1111-8-2 du CSP).
D’autres bonnes pratiques favorisant la sécurité des données dans votre cabinet existent, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) met gratuitement à votre disposition un guide. Les mesures de sécurité doivent être adaptées à la sensibilité des données.
La protection et l’hébergement des données personnelles de santé
Des bonnes pratiques, comme celles évoquées précédemment et l’application du RGPD favorisent la protection des données. En France, les acteurs de santé ont l’obligation de faire stocker les données de santé chez un prestataire agréé HDS (Hébergeur de Données de Santé) pour garantir la traçabilité, l’intégrité, la confidentialité et la disponibilité, des données des patients.
Chez Oralnum nous stockons les données personnelles de santé en France chez Adista un expert en hébergement agréé HDS. Pour assurer la conformité et la sécurisation des données des patients et des praticiens.
