Chaque jour, les patients confient leurs vies aux professionnels de santé. Des chirurgiens aux infirmières en passant par les techniciens du service de radiologie, ces personnes exercent un pouvoir considérable sur notre santé et notre bien-être. Il est donc essentiel de pouvoir leur faire confiance pour protéger nos informations personnelles. Ce n’est malheureusement pas toujours le cas, bien que les données de santé comptent parmi les cibles préférées des cybercriminelles ces dernières années.
Le piratage de données de santé soumises au secret médical peut avoir des conséquences dévastatrices. Découvrez l’importance d’améliorer la sécurité des systèmes d’information (SI) de santé.
Une hausse des incidents de sécurité liés aux données de santé
L’Agence française de santé numérique a enregistré une nette augmentation des compromissions de données de santé. Pour preuve, les vagues d’attaques par ransomware et DNS ciblant les hôpitaux, ont mis en danger la sécurité des patients et permis la fuite de données privées très sensibles. Ces données soumises au secret médical seront revendues très cher sur le marché noir de l’information.
Le nombre d’incidents de sécurité signalés liés aux données de santé ne s’arrête pas à l’extorsion de fonds, à l’usurpation d’identité et au vol d’information. Cela peut aller beaucoup plus loin, notamment avec le démarchage de personnes vulnérables en utilisant ces données médicales privées, volées en amont.
Dans les maisons de retraite, on a ainsi démasqué des usurpateurs qui tentaient d’obtenir des coordonnées bancaires ou des accès au patrimoine auprès des résidents en se faisant passer pour du personnel médical.
D’autres usages problématiques plus indirects ont été révélés, notamment avec le déploiement de l’application TousAntiCovid. Bien que cette application se soit révélée utile à bien des égards, elle a également soulevé des questions quant à son utilisation à d’autres fins. Il s’agit par exemple du suivi des mouvements de la population et la divulgation de données relatives au secret médical.
S’il existe des cas d’employés qui ont abusé de leurs droits d’accès aux fichiers médicaux des patients, la majeure partie des fuites de données provient malheureusement d’un défaut de sécurisation des systèmes informatiques. Ce sont en particulier des machines obsolètes connectées au réseau comme les IRM.
Avec le déploiement massif du dossier médical partagé (DMP), en raison des transitions vers le nouveau dossier médical européen (DME) et du lancement de la prescription électronique, il est urgent d’apporter des améliorations dans ce domaine.
Pourquoi la sécurité des données de santé est-elle primordiale ?
Les données relatives à la santé font partie des informations les plus sensibles qui existent. Elles peuvent être utilisées pour identifier des personnes et peuvent avoir un impact important sur leur vie si elles tombent dans le piège de la fraude.
La sécurité des données sensibles est essentielle pour protéger la vie privée des individus et assurer le bon fonctionnement du système de santé. Elles ne doivent pas être utilisées pour enrichir frauduleusement des groupes subversifs ou encore pour faire plier des gouvernements.
Pour améliorer la sécurité, les professionnels de santé doivent être formés à la protection des données et à la sécurité de l’information. Les outils de travail à distance, de stockage des données et les réseaux doivent également répondre à des exigences de sécurité accrues.
Un cadre légal pour protéger les données de santé
Le RGPD (règlement général sur la protection des données) en vigueur depuis le 25 mai 2018, exige que les données privées (dont les données de santé) soient traitées de manière équitable, transparente et sécurisée.
Le RGPD impose des amendes importantes aux entreprises qui ne se conforment pas à ses dispositions. Ces amendes s’élèvent notamment jusqu’à 4 % du chiffre d’affaires mondial ou 20 millions d’euros (le montant le plus élevé étant retenu).
En vertu du RGPD, la collecte et le stockage de données doivent être :
- légitimes et nécessaires aux fins pour lesquelles elles sont traitées,
- collectées avec exactitude et soin,
- traitées de manière transparente, cohérente et équitable,
- effacées ou détruites lorsqu’elles ne sont plus nécessaires et soumises à un contrôle régulier.
Pour protéger les données de santé, il est de la responsabilité des entreprises et des administrations de mettre en œuvre des mesures de sécurité. Elles peuvent être physiques (accès restreint aux locaux et aux ordinateurs), techniques (pare-feux et cryptage des données), ou organisationnelles (formation du personnel et les procédures de gestion des incidents).
Si vous traitez des données de santé, vous devrez mettre en œuvre des mesures de sécurité appropriées pour s’assurer que les données de vos patients ne tombent pas entre de mauvaises mains.
NetExplorer, la solution cloud pour stocker vos données de santé
NetExplorer présente de nombreux avantages pour assurer la sécurité des données de santé (data centers basés en France et diverses certifications).
Des data centers localisés en France
NetExplorer est conforme au RGPD et à la législation française, avec des data centers localisés en France. C’est une condition obligatoire pour traiter les fichiers médicaux en France, car les données sensibles des citoyens doivent légalement être traitées sur le territoire national.
Stocker des données relatives à la santé des patients en territoire étranger est interdit par la loi, même pour les administrations officielles.
Notre certification HDS
La certification HDS (Health Data Security) est une garantie supplémentaire de qualité et de fiabilité pour la protection des données de santé.
NetExplorer est par ailleurs certifiée ISO 27001 (norme internationale reconnue pour la gestion de la sécurité des données) mais aussi ISO 9001, la norme internationale en matière de qualité et d’amélioration de la qualité.
Nous mettons en œuvre des outils de travail collaboratifs sécurisés ainsi que des mesures de sécurité physiques, techniques et organisationnelles rigoureuses.
