La protection des données de santé: Comment être en conformité

AVANT LA FORMATION

• Entretien téléphonique avec le formateur afin de personnaliser votre formation
• Le programme de formation ci-dessous pourra donc être modifié gratuitement en fonction de vos attentes.

JOUR 1

• Les bases légales existantes et les implications de RGPD
• Les obligations du dispositif français actuel
• Données de santé, dossier médical partagé, systèmes d'information
• Sécurité du système d'information de santé
• PGSSI-S et obligations légales de sécurité de données et systèmes d'information de santé
• En matière de sécurité et de confidentialité
• L'obligation de sécurité issue du RGPD et du droit de la santé
• Enjeux de la sécurité du SI-S: Confidentialité, Intégrité, Disponibilité, Traçabilité et imputabilité
• Les dossiers patients
• Je limite les informations collectées au nécessaire et j'utilise les dossiers patients conformément aux finalités définies (suivi des patients)
• Je tiens un registre à jour de mes "traitements&quot
• Je supprime les dossiers patients et de manière générale toute information ayant dépassé la durée de conservation préconisée
• Je mets en place les mesures appropriées de sécurité de mes dossiers "patients"
• J'informe mes patients et m'assure du respect de leurs droits
• La prise de rendez-vous
• Je limite les informations collectées par le prestataire et vérifie la conformité du prestataire avec la réglementation et notamment la présence des mentions obligatoires dans le contrat de sous-traitance que je passe avec lui
• Je tiens un registre à jour de mes "traitements&quot
• J'informe mes patients et m'assure du respect de leurs droits.
• Les échanges via la messagerie électronique
• J'utilise un service de messagerie sécurisée de santé pour mes échanges avec d'autres professionnels de santé
• Si j'utilise une messagerie électronique standard ou des messageries instantanées, je m'assure que ces messageries sont bien sécurisées et adaptées à mon utilisation professionnelle
• Je chiffre les pièces jointes lorsque j'utilise des messageries standard sur internet qui ne garantissent pas la confidentialité des messages.
• Les échanges via le téléphone portable ou la tablette
• Je sécurise l'accès à mon téléphone ou à ma tablette et à son contenu (mot de passe, chiffrement, etc)
• Je ne stocke pas d'informations médicales relatives à mes patients sur mon téléphone portable ou ma tablette
• Je m'assure que l'accès à mon logiciel de dossiers "patients" sur mon téléphone portable ou ma tablette est sécurisé
• Je consulte mon logiciel de dossiers "patients" avec précaution.
• Les données collectées dans le cadre de recherche médicales
• Je réalise une analyse d'impact avant la réalisation d'études internes sur les données de mes patients si le traitement de données est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques
• Dans le cadre de recherches en partenariat avec un tiers, je m'assure que les recherches sont menées conformément à la réglementation
• Je tiens à jour le registre des activités de traitement
• J'informe mes patients et m'assure du respect de leurs droits

JOUR 2

SENSIBILISER LES UTILISATEURS

• Faire prendre conscience à chaque utilisateur des enjeux en matière de sécurité et de vie privée
• Sensibiliser les utilisateurs travaillant avec des données personnelles aux risques liés aux libertés et à la vie privée
• Documenter les procédures d'exploitation
• Rédiger une charte informatique et lui donner une force contraignante

AUTHENTIFIER LES UTILISATEURS

• Reconnaître ses utilisateurs pour pouvoir ensuite leur donner les accès nécessaires.
• Gérer les identifiants

GÉRER LES HABILITATIONS

• Limiter les accès aux seules données dont un utilisateur a besoin
• Définir des profils d'habilitation
• Réaliser une revue annuelle des habilitations

TRACER LES ACCÈS ET GÉRER LES INCIDENTS

• Journaliser les accès et prévoir des procédures pour gérer les incidents afin de pouvoir réagir en cas de violation de données (atteinte à la confidentialité, l'intégrité ou la disponibilité)
• identifier un accès frauduleux
• enregistrer les évènements pertinents et garantir que ces enregistrements ne peuvent être altérés pas conserver ces éléments pendant une durée excessive

SÉCURISER LES POSTES DE TRAVAIL

• Prévenir les accès frauduleux, l'exécution de virus ou la prise de contrôle à distance, notamment via Internet
• Favoriser le stockage des données des utilisateurs sur un espace de stockage régulièrement sauvegardé accessible via le réseau
• Limiter la connexion de supports mobiles

SÉCURISER L'INFORMATIQUE MOBILE

• Anticiper l'atteinte à la sécurité des données consécutive au vol ou à la perte d'un équipement mobile
• Sensibiliser les utilisateurs aux risques spécifiques liés à l'utilisation d'outils informatiques mobiles
• Mettre en œuvre des mécanismes maîtrisés de sauvegardes ou de synchronisation
• Prévoir des moyens de chiffrement des postes nomades et supports de stockage mobiles

PROTÉGER LE RÉSEAU INFORMATIQUE INTERNE

• Autoriser uniquement les fonctions réseau nécessaires aux traitements mis en place.
• Limiter les accès Internet
• Gérer les réseaux Wi-Fi
• Imposer un VPN pour l'accès à distance
• S'assurer qu'aucune interface d'administration n'est accessible directement depuis Internet
• Limiter les flux réseau au strict nécessaire

SÉCURISER LES SERVEURS

• Renforcer les mesures de sécurité appliquées aux serveurs
• Limiter l'accès aux outils et interfaces d'administration aux seules personnes habilitées
• Adopter une politique spécifique de mots de passe
• Installer les mises à jour critiques
• Effectuer des sauvegardes et les vérifier régulièrement
• Mettre en œuvre le protocole
• TLS

JOUR 3

SÉCURISER LES SITES WEB

• S'assurer que les bonnes pratiques minimales sont appliquées aux sites web
• Rendre l'utilisation de TLS obligatoire
• Limiter les ports de communication
• Limiter l'accès aux outils et interfaces d'administration aux seules personnes habilitées
• Si des cookies non nécessaires au service sont utilisés, recueillir le consentement
• Limiter le nombre de composants mis en œuvre

SAUVEGARDER ET PRÉVOIR LA CONTINUITÉ D'ACTIVITÉ

• Effectuer des sauvegardes régulières pour limiter l'impact d'une disparition non désirée de données
• Effectuer des sauvegardes fréquentes des données
• Stocker les sauvegardes sur un site extérieur
• Protéger les données sauvegardées au même niveau de sécurité que celles stockées sur les serveurs d'exploitation
• Rédiger un plan de reprise et de continuité d'activité informatique
• Tester régulièrement la restauration des sauvegardes et l'application du plan de continuité ou de reprise de l'activité

ARCHIVER DE MANIÈRE SÉCURISÉE

• Archiver les données qui ne sont plus utilisées au quotidien mais qui n'ont pas encore atteint leur durée limite de conservation, par exemple parce qu'elles sont conservées afin d'être utilisées en cas de contentieux

ENCADRER LA MAINTENANCE ET LA DESTRUCTION DES DONNÉES</strong>

• Garantir la sécurité des données à tout moment du cycle de vie des matériels et des logiciels
• Enregistrer les interventions de maintenance
• Procédure de suppression sécurisée des données
• Supprimer de façon sécurisée les données des matériels avant leur mise au rebut, leur envoi en réparation chez un tiers

GÉRER LA SOUS-TRAITANCE

• Encadrer la sécurité des données avec les sous-traitants.
• Faire appel uniquement à des sous-traitants présentant des garanties suffisantes
• Assurer l'effectivité des garanties offertes par le sous-traitant
• Prévoir un contrat avec les sous-traitants

SÉCURISER LES ÉCHANGES AVEC D'AUTRES ORGANISMES</strong>

• Renforcer la sécurité de toute transmission de données à caractère personnel chiffrer les pièces
• utiliser un protocole garantissant la confidentialité et l'authentification du serveur destinataire

PROTÉGER LES LOCAUX

• Renforcer la sécurité des locaux hébergeant les serveurs informatiques et les matériels réseaux
• Mettre en place des détecteurs de fumée ainsi que des moyens de lutte contre les incendies
• Distinguer les zones des bâtiments selon les risques
• Établir les règles et moyens de contrôle d'accès des visiteurs

ENCADRER LES DÉVELOPPEMENTS INFORMATIQUES

• Intégrer sécurité et protection de la vie privée au plus tôt dans les projets
• Intégrer la protection de la vie privée, y compris ses exigences de sécurité des données, dès la concep- tion de l'application ou du service

CHIFFRER, GARANTIR L'INTÉGRITÉ OU SIGNER

• Assurer l'intégrité, la confidentialité et l'authenticité d'une information
• Utiliser un algorithme reconnu et sûra href=""javascript:void(0)""
• Utiliser les tailles de clés suffisantes
• Protéger les clés secrètes
• Rédiger une procédure indiquant la manière dont les clés et certificats vont être gérés

FIN DE LA FORMATION

• Débrief de la formation avec le formateur pour consolider vos connaissances