En tant que professionnel de santé, l’audioprothésiste doit s’assurer de la protection des données de ses patients et de ses salariés. Le RGPD n’est pas une contrainte mais bien une opportunité !
Le RGPD a modifié les obligations des audioprothésistes, du parcours patient aux interactions avec leurs prescripteurs.
Depuis la mise en application du RGPD en 2018, les audioprothésistes sont soumis à des obligations élargies vis-à-vis de leurs patients et de leurs salariés. Malgré la bonne volonté des professionnels de santé, il est parfois difficile d’y voir clair.
En tant qu’expert sur la sécurité de la donnée, AudioWizard vous propose de revenir sur les 10 choses qu’un audioprothésiste doit savoir pour sécuriser les données de ses patients et de son entreprise.
I – Il ne suffit pas d’informer votre patient pour être en conformité RGPD. 🕵️♀️🕵️♂️
C’est l’une des idées reçues la plus répandue chez les audioprothésistes. En effet, nous nous sommes rendus comptes, en vous contactant, que vous êtes nombreux à avoir mis en place des informations patient en salle d’attente, c’est un premier pas, et c’est très bien !
Cependant, vos obligations concernant le RGPD sont plus larges. En effet, vous devez réaliser un registre de traitement, faire consentir vos patients, effectuer une étude de risque ou encore vous protéger via des contrats de sous-traitance.
Pas de panique, cette semaine de la sécurité de la donnée est faite pour ça !
Nous allons vous donner tous les éléments pour sécuriser votre entreprise et la donnée de vos patients.
II – Qu’est-ce qu’une donnée sensible ? 🩺
Selon la CNIL, les données de santé sont des données à caractère personnel considérées comme sensible. A ce titre, elles font l’objet d’une « protection particulière ». Ainsi, toute donnée qui révèle des informations sur l’état de santé d’une personne (comme c’est le cas de certaines données récoltées par les audioprothésistes) est considérée comme une donnée de santé.
C’est le cas de l’audiogramme, de l’historique des pathologies ORL ou encore des données relatives à la perte d’audition de vos patients. Toutes ces raisons font que les données sensibles sont spécifiquement protégées par l’article 9 du RGPD et doivent faire l’objet d’un niveau de sécurité encore plus important que les données personnelles classiques.
III – Comment sécuriser les données de santé ? 🩺🔐
Selon l’article L.1111-8 du code de la santé publique, modifié par la loi n° 2016-41 du 26 janvier 2016 : « Toute personne physique ou morale qui héberge des données de santé à caractère personnel (…)doit être agréée ou certifiée à cet effet »
La loi encadre strictement l’hébergement des données sensibles, le niveau de sécurité des installations doit être adaptés à la criticité des données.
Ainsi il existe des hébergeurs de donnée de santé certifiés HDS par un organisme certificateur accrédité par le COFRAC comme SHD cloud.
Pour vous protéger, vous devez éditer un contrat de sous-traitance.
Nous reviendrons plus tard sur la sécurité à mettre en place dans votre entreprise, notamment sur vos postes de travail.
IV – Qu’est-ce qu’un contrat de sous-traitance ? 📜
Selon l’article 28.3 du rgpd, le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable de traitement.
Ce contrat est une protection vis à vis de vos sous-traitants si ces derniers commettent une faute avec les données de vos patients ou celles de vos salariés. Les sous-traitants ne sont autres que les logiciels et services que vous utilisez au quotidien, comme Noah, les logiciels de gestion, de comptabilité, les organismes de crédit, les assurances, les mutuelles.
Pour mieux comprendre, la CNIL publie des exemples de contrat de sous-traitance pour vous aider à éditer vos propres contrats.
V – Qu’est-ce qu’un registre de traitement? 📒
Ce registre est un listing de tous les traitements effectués sur les patients et les salariés de l’entreprise. Conformément à l’article 30 du RGPD, il est obligatoire pour tous les audioprothésistes.
Il comprend notamment la gestion des fichiers patients, des fournisseurs, des paies etc. La CNIL met à disposition des modèles de registre de traitement ici, dont vous pourrez vous inspirez pour vos propres besoins.
VI – Qu’est-ce qu’une étude de risque ? 🧫🔬
Un PIA ou analyse d’impact permet d’appréhender les risques sur la donnée des patients et des salariés. Elle est utilisée dans le cadre d’étude ou de transfert de données de santé, même si elle n’est pas obligatoire.
C’est globalement une bonne pratique à adopter pour garantir la sécurité de l’entreprise contre de potentielles attaques, comme les ransomware (des virus qui bloquent votre système en vous demandant une rançon pour le redémarrer).
VII – Qu’est-ce qu’un mot de passe manager ? 👩💻👨💻🔐
Un gestionnaire de mot de passe est une application qui permet de gérer tous ses mots de passe en les centralisant grâce à un mot de passe unique. Avec cet outil, plus de post-it et d’oubli de mot de passe. En plus d’être en sécurité, le service est pratique et très utile au jour le jour si vous travaillez en équipe.
C’est pour ces raisons que chez Audiowizard, nous utilisons Dashlane, un éditeur français en qui nous avons confiance.
VIII – Qu’est-ce qu’un mail sécurisé ? 📧🔐
Comme le mot de passe manager, le mail sécurisé fait partie des indispensables de la sécurité informatique pour les audioprothésistes. C’est une solution simple et efficace pour protéger les échanges avec vos médecins prescripteurs. Cela permet par la même occasion d’échanger sur les nouvelles méthodes de transmission des comptes rendus nécessaire aux obligations du reste à charge zéro.
N’hésitez pas à ouvrir la discussion avec vos prescripteurs pour choisir l’outil le plus adapté aux échanges au sein de votre équipe pluridisciplinaire.
IX – Quelles sont les obligations de l’audioprothésiste vis à vis de ses salariés ? 👮♀️👮♂️
Tout comme les patients, les salariés sont protégés par le RGPD. En conséquence, ils doivent être informés de leurs droits et leurs traitements doivent être renseignés dans votre registre de traitement.
X – Qu’est-ce que je risque si je ne respecte pas le RGPD ? 🧨
Le RGPD prévoit des amendes et des peines importantes en cas de non-respect de vos obligations légales. De plus, avec la mise en place de la loi « reste à charge zéro » (dite RAC 0), les contrôles risquent de s’intensifier sur tous les fronts : devis normalisés, informations obligatoires des salariés, minimum de contrôle patient obligatoire, RGPD etc. Au-delà des avantages de la mise en conformité et de façon terre à terre vous risquez une amende pouvant aller jusqu’à 20 millions d’euros et une perte de crédibilité.
Bien au contraire, la mise en conformité peut se transformer en avantage vis-à-vis de vos concurrents, de vos ORL, de vos salariés et de vos patients. Tous sont de plus en plus attentifs à l’utilisation de leurs données et en particulier les patients lorsque s’agit de leur santé comme nous le rappel norton antivirus.
On note un frein dans l’utilisation des nouvelles technologies par les 60-80 ans par le fait qu’ils n’ont pas confiance dans celles-ci.
Voyez le RGPD comme une opportunité de gagner en crédibilité et de sécuriser votre entreprise tout en restant en accord avec vos valeurs de professionnels de santé. De plus lorsque vous utiliserez des données personnelles pour faire des campagnes de communication, vous économiserez du temps et de l’argent pour cibler uniquement les personnes intéressées.
Si vous voulez plus d’informations sur vos obligations, n’hésitez pas à suivre l’actualité sur notre blog ou à rentrer en contact avec nous 😉
En attendant vous pouvez évaluer la sécurité de votre entreprise en répondant à ce 👉 questionnaire 👈