Publicité

Dossier patient informatisé : la Cnil met en demeure plusieurs établissements de santé

  • dossier-patient-informatise-cnil-met-demeure-plusieurs-etablissements-sante.jpg

    Dossier-patient-informatise-Cnil-met-demeure-plusieurs-etablissements-sante
    La CNIL a mis en demeure plusieurs établissements de santé pour ne pas avoir pris les mesures permettant d’assurer la sécurité du dossier patient informatisé. (freepik/armmypicca)
  • La Cnil met en demeure plusieurs établissements de santé pour ne pas avoir assuré la sécurité et la confidentialité du dossier patient informatisé (DPI) et rappelle les mesures de sécurité à mettre en œuvre. 

    Alerte sur la protection des données de santé ! La Cnil annonce dans un communiqué avoir mis en demeure plusieurs établissement de santé (sans les nommer) au regard de leurs manquements concernant les mesures prises pour assurer la sécurité du dossier patient informatisé (DPI). Cette décision fait suite à 13 contrôles réalisés entre 2020 et 2024 auprès d'établissements de santé, suite à des alertes répétées concernant des accès illégitimes aux données de patients contenues dans le DPI. La Cnil annonce également prévoir des mesures correctrices contre d’autres établissements au cours de l'année 2024.

    Accès ouvert aux données sensibles

    Lors de ces contrôles, la Cnil affirme avoir remarqué que “les mesures de sécurité informatique et la politique de gestion des habilitations étaient parfois inadaptées aux besoins des établissements, en permettant notamment à des professionnels de santé ne participant pas à la prise en charge du patient d’accéder à des informations relatives à ce dernier”. Rappelons pourtant que le DPI, qui renferme l'ensemble des données de santé des patients pris en charge au sein d'un établissement, contient un volume de données particulièrement sensibles (comptes-rendus de consultations et de séjours hospitaliers, examens biologiques ou radiologiques, prescriptions médicales, etc.) et doit bénéficier de mesures de sécurité renforcées.

    Trois types de protection pour le dossier patient informatisé (DPI)

    A la suite de ces mises en demeures, la Cnil rappelle ses recommandations pour préserver la sécurité et la confidentialité du DPI. Trois types de mesures doivent être mises en place :

    • la sécurisation des accès au système grâce à une politique d’authentification “robuste”, notamment avec des mots de passe suffisamment complexes;
    • le déploiement d’habilitations spécifiques permettant à chaque professionnel de santé ou agent de l’établissement d'accéder aux dossiers qui le concernent;
    • la traçabilité des accès au DPI. Cette mesure doit permettre d’indiquer qui s’est connecté à quelle base de données et à quel moment. En outre, des contrôles réguliers de ces accès doivent être opérés afin d’identifier ceux susceptibles d’être frauduleux ou illégitimes.
    À lire sur Archimag
    Les podcasts d'Archimag
    Êtes-vous prêts à renoncer à des services numériques ou à vos appareils électroniques pour le bien commun ? Face à l'urgence climatique, notre rapport au progrès et à la technologie est souvent remis en question. Archimag Podcast a rencontré Alexandre Monnin, philosophe, directeur du master Sciences, Stratégie et Design pour l’Anthropocène à l’ESC Clermont Business School et auteur de l'ouvrage "Politiser le renoncement", aux Éditions Divergences. Il est aussi co-initiateur du courant de la redirection écologique, dont il nous explique le principe.
    Publicité

    Serda Formations Data 2023