/

/

support de première ligne en matière de rgpd dans le secteur médical

RGDP & Cybersécurité
02 juillet 2021

par Evelien Callewaert

Support de première ligne en matière de RGPD dans le secteur médical

Trois ans après l'entrée en vigueur du RGPD, il est avéré que le secteur médical n'a pas non plus été épargné par les amendes. Divers hôpitaux européens ont déjà été sanctionnés. Une politique d'accès inadéquate et négligente en était souvent la cause, par exemple parce que tous les médecins avaient accès aux dossiers des patients, même sans être le médecin traitant, ou parce qu'un dossier de patient demandé n'avait pu être retrouvé. Bien que les cabinets de médecins ou autres soignants soient hors de la ligne de mire pour l'instant, il y a de fortes chances que le cours des choses s’inverse prochainement. Comment se préparer à un éventuel audit ?

Support de première ligne en matière de RGPD dans le secteur médical

Établissez un registre de traitement

Toute organisation ou personne concernée par le traitement de données à caractère personnel est tenue de disposer d'un registre des activités de traitement ou registre de traitement. Vous consignerez dans ce registre toutes les activités de votre cabinet qui impliquent l'utilisation de données à caractère personnel, telles que la création d'un dossier patient ou la consultation du dossier médical d'un patient.

Informez vos patients

La transparence et l'information occupent une place centrale dans la législation en matière de RGPD. Informez donc clairement vos patients quant à la gestion de leurs données à caractère personnel, quant aux personnes avec lesquelles vous les partagez et quant aux droits dont ils bénéficient. Ces informations sont souvent rassemblées dans une déclaration de confidentialité, que vous pouvez publier sur votre site Web ou afficher dans votre salle d'attente.

Concluez des accords de traitement

Les données à caractère personnel collectées sont-elles traitées par une partie externe, comme par des applications logicielles qui sauvegardent vos dossiers de patients dans le cloud ? Dans ce cas, vous devez toujours conclure un accord de traitement avec ces tiers. Cette mesure garantira que la partie externe ne peut traiter les données à caractère personnel à ses propres fins.

Notifiez les fuites de données

Afin de traiter une fuite de données avec professionnalisme, il est primordial que vous établissiez une procédure interne exposant la démarche à suivre pour y faire face. Après une violation des données, vous disposez de 72 heures pour notifier en bonne et due forme la violation des données à l'Autorité de protection des données. Quelques exemples de violations de données : une personne non habilitée a accès aux données à caractère personnel, vous perdez un dossier de patient ou vous saisissez accidentellement les données d'un autre patient.

Vérifiez vos mesures de sécurité

Dès qu'un dossier patient est consulté, il est essentiel que cela soit enregistré. Cela signifie que chaque collaborateur de l'hôpital ou de votre cabinet médical doit disposer d'un compte utilisateur personnel. Vous pouvez définir des droits d'accès personnels pour chaque collaborateur.

Partager cet article

Evelien Callewaert

Senior Advisor Legal evelien.callewaert@vdl.be

Clause de non-responsabilité
Nos avis s'appuient sur la législation, les interprétations et la doctrine en vigueur. Cela n'empêche que l'administration peut les remettre en cause ou que les interprétations existantes peuvent changer.


Informations et perspectives

Lisez nos derniers articles et communiqués de presse pour vous tenir informé(e) des changements dans votre secteur.