Juin 2017

Qu’en est-il des données personnelles relatives à la santé ?

Les données des patients dans le secteur de la santé

Voici quelques mots d’explications sur le stockage des données dans le secteur de la santé, et les défis que cela implique.

Qu’advient-il des données sensibles et des autres informations personnelles ?
Les médecins, les hôpitaux et les autres organismes liés à la santé récoltent des données sur leurs patients. Le médecin dispose d’un dossier sur ses patients, contenant des informations médicales et sensibles, qu’il peut partager avec un hôpital ou d’autres instances le cas échéant. Toutes ces données sont enregistrées et stockées quelque part. La règle en la matière est la suivante : les données sensibles – et pas uniquement les données médicales, mais aussi par exemple les données religieuses ou financières – doivent être stockées en dehors de l’institution de soins, mais doivent rester en Europe. Pour éviter d’éventuels soucis en ces temps incertains (pensez au Brexit), il est préférable de les garder en Belgique.

Il vaut mieux stocker le back-up de ces données en Belgique également. LCL dispose de trois centres de données en Belgique, distants d’au moins 25 kilomètres les uns des autres, conformément aux directives. En cas de catastrophe, le back-up des données est préservé.

La nouvelle réglementation relative à la protection de la vie privée de mai 2018 changera-t-elle la donne ?
Une nouvelle réglementation relative à la protection de la vie privée (Règlement Général européen sur la Protection des Données, RGPD, ou en anglais : General Data Protection Regulation, GDPR) entre en vigueur en mai 2018. Elle stipule comment vous devez gérer les données à caractère personnel. Le non-respect de cette nouvelle réglementation peut entraîner de lourdes amendes. Une institution de soins est tenue de conserver les données pendant un certain temps. Un patient a par exemple le droit de consulter et de modifier ses données. Dans certains cas, une personne a également le droit à « l’oubli ». Les bonnes informations doivent donc être et rester disponibles. Il est par conséquent important, en cas d’actualisation des informations, d’adapter correctement tous les back-ups, afin que les informations de sauvegarde soient actuelles en cas de crash informatique.

LCL se charge du stockage sûr de vos données, notamment avec des bâtiments hautement sécurisés, des nouvelles installations d’extinction et des systèmes de back-up puissants. Tous les mois, nous testons l’installation de back-up en coupant le courant. Vous pouvez en outre souscrire une assurance contre les cyber-risques.

Connectivité et sécurité de la connexion
L’informatisation et l’automatisation vont bon train dans le secteur de la santé. Celui-ci évolue vers un dossier patient totalement électronique. Une bonne connectivité est nécessaire pour permettre aux parties qui ont besoin des informations relatives aux patients, comme les médecins traitants et les pharmaciens, d’accéder aux données. La connectivité offerte par un centre de données professionnel est par définition optimale. Ce n’est pas toujours le cas dans un local de serveurs ou un centre de données interne, non professionnel. La connectivité vers les données est souvent plus importante que la connectivité vers l’hôpital. S’il y a peu de possibilités de connexion dans l’établissement de soins, il peut être décidé de stocker les données ailleurs (dans un centre de données, par exemple) et d’y accéder via une connexion sécurisée. Cela peut se faire à l’aide d’un VPN (Virtual Private Network), une connexion sécurisée permettant de consulter et de transférer les données rapidement et en temps réel. Un VPN permet aussi aux médecins et aux instituts de soins à domicile d’échanger des données avec d’autres instances de la santé ou avec les autorités. En revanche, les données qui circulent via une connexion Internet insuffisamment sécurisée peuvent être interceptées et utilisées à mauvais escient.

En cas de fusion d’hôpitaux, de maisons de repos et de soins ou d’autres établissements de soins, la meilleure manière de permettre à toutes les parties d’accéder aux informations est de centraliser les données. Cela simplifie les processus de sécurité et facilite la conformité avec la RGPD. Il est également plus facile de gérer un seul système et un seul logiciel. La centralisation des données est l’occasion pour les héberger dans un centre de données.

Des exigences strictes
Si un hôpital possède une salle de serveurs dans ses caves, cela constitue un risque de sécurité pour le reste du bâtiment. Les patients sont en effet moins mobiles, ce qui rend une évacuation plus complexe. Les pompiers peuvent imposer de coûteuses adaptations au bâtiment, voire la fermeture de l’hôpital en raison du risque d’incendie dans la salle des serveurs. Un hôpital doit respecter des exigences plus strictes qu’une entreprise classique.

Un faux sentiment de sécurité peut également régner. Certains instituts de soins stockent leurs données dans le cloud public, les cryptent ensuite et pensent que tout est en sécurité. Mais cela ne suffit pas. Toute forme de cryptage peut être craquée à un moment ou l’autre. Seul le cloud privé est sûr. En guise de comparaison, 79 % des entreprises cotées en bourse utilisent déjà un cloud privé, et il ne s’agit généralement pas de données personnelles, donc la réglementation RGPD n’est pas applicable. 

Que nous réserve l’avenir pour les données du secteur de la santé ?
Le secteur de la santé est en constante évolution, comme nous pouvons le constater avec les apps pour la santé et d’autres nouveautés technologiques. Ces changements peuvent avoir des implications pour le stockage des données. Des robots préemballent par exemple déjà les médicaments par patient. Il est donc important que les fournisseurs et pharmaciens externes aient toujours accès aux données les plus récentes des patients, d’une manière sécurisée et dans le respect des accords passés. Les back-ups doivent eux aussi être toujours à jour. En outre, des applications telles que les pacemakers et les pompes à insuline peuvent éventuellement être pilotées à distance, ce qui signifie que ces applications établissent une connexion avec le centre de données de l’entreprise. Une connexion et un stockage sûrs des données sont par conséquent primordiaux, afin de veiller à ce que les données restent accessibles et d’éviter que les outils ou implants ne soient piratés.

Merci à Luc Seyssens, spécialiste télécom et connectivité, et membre du Conseil d’administration de plusieurs établissements de soins.

LCL, votre partenaire en data center outsourcing