La sécurité des données de santé est actuellement au cœur de toutes les préoccupations. En effet, selon Cédric O, secrétaire d’état à la transition numérique, il y a eu  27 attaques majeure d’hôpitaux sur l’année 2020.
La cible ? Le dossier patient. En effet, celui-ci contient toutes les données permettant d’identifier une personne : coordonnées, numéro de sécurité sociale, informations relatives à la santé du patient… Une aubaine pour les hackers qui revendent ces informations une fortune sur le darknet.
Mais lorsqu’un professionnel de santé subi une perte de données, c’est tout le suivi médical qui est interrompu ; d’où l’importance de bien sécuriser son système informatique. Le Docteur Véronique Soulies témoigne :

Vous sentez-vous concernée par les attaques informatiques récentes dans le monde médical ?

Je me suis toujours sentie concernée par les attaques informatiques, ma boîte mail a été piratée il y a quelques années, le hacker à quasiment réussi à pirater mon ancien logiciel et il a été difficile de tout remettre à jour.

Que pensez-vous du fait qu’un dossier patient puisse se revendre entre 250 et 500€ sur le darknet ?

Ce prix ne m’étonne pas. Nous avons tout dans le dossier patient, c’est une vraie mine d’or pour le hacker qui le revend.

Vous sentez-vous suffisamment informée sur la question ?

Oui, ayant plusieurs informaticiens dans ma famille qui travaillent dans de grandes entreprises de logiciels, je suis suffisamment informée.

Depuis que vous avez mis en place l’adresse mail professionnelle au cabinet, comment se passe vos correspondances ?

C’est très bien car je sais que ma messagerie est sécurisée et je n’hésite plus à envoyer des documents confidentiels à mes patients et eux de même. Cela évite beaucoup de courrier ou de va-et-vient surtout dans le contexte sanitaire. C’est un gain de temps du fait que cette adresse mail ne soit réservée qu’à cela. Et puis quel bonheur de n’avoir aucun spam ni aucune pub !

Comment se passe la sauvegarde de vos données ?

Très bien depuis qu’elle est réalisée par vous car elle est faite tous les jours, il m’arrivait avant cela d’oublier de temps en temps… Et elle n’est plus au cabinet donc en sécurité. De plus, je peux voir tous les jours si elle a été faite correctement.

En résumé, depuis que j’ai le service Mail Secure et Data Save cela fonctionne mieux et je suis plus sereine concernant la sécurité. Et puis si j’ai un problème je peux appeler DMP Informatique car vous connaissez les deux services.

Envie d’en savoir plus ?

Voir ou revoir le webinaire dédié à la cyber sécurité pour un cabinet médical ou dentaire c’est possible :

Saisissez vos coordonnées ci-dessous et cliquez sur le bouton « Voir le Webinaire ».

Un système de sauvegarde agréé HADS, un antivirus professionnel et supervisé quotidiennement, une messageries filtrées et sécurisées… Tous les moyens doivent être mis en œuvre pour protéger vos données patients, à défaut, vous devrez être en mesure de donner une justification valable à la CNIL. 

Malgré ses longs textes de lois souvent indigestes et difficiles à comprendre (sans parler des évolutions au fil du temps !), la réglementation RGPD n’est tout de même pas à prendre à la légère puisque les professionnels de santé négligeant la protection de leur système d’information, risquent une peine allant de 3 à 5 ans d’emprisonnement et jusqu’à 500 000 euros d’amende. Ce qui fait une bonne raison de devenir RGPD-friendly !

Nous allons dans cet article, vous faire un résumé du dernier référentiel de la CNIL paru en juillet 2020 sur les obligations RGPD pour les professionnels de santé ; une check-list pour vous aider à y voir plus clair sur vos obligations dans le traitement des données confidentielles de vos patients.

Les données patients recueillies doivent être pertinentes et limitées. Vous devez collecter uniquement les données nécessaires au traitement de gestion médicale et administrative de votre patientèle tel que :

•  l’identité et coordonnées du patient telles que le nom, prénom, date de naissance, adresse postale, adresse électronique et numéro de téléphone ;
   
• l’identifiant national de santé (INS) pour la prise en charge sanitaire ou médico-sociale d’un patient ;
   
• le numéro de sécurité sociale pour la facturation et la prise en charge financière des dépenses de santé ; 

• la situation familiale telle que la situation matrimoniale et le nombre d’enfants ;

• la situation professionnelle telle que la profession et les conditions de travail ;
   
• les éléments qui caractérise la santé du patient ;
   
• les informations relatives aux habitudes de vie si elles sont collectées avec l’approbation du patients et jugées pertinentes par le praticiens pour le diagnostic et les soins administrés.

• Les professionnels de santé et les professionnels concourant à la prévention et aux soins ;

• le secrétariat ;

• l’assurance maladie ;

• les personnels des organismes d’assurance maladie complémentaire ;

• les organismes de recherche dans le domaine de la santé et les organismes spécialisés dans l’évaluation des pratiques de soins.

Vous devez attribuer un rôle à chaque personne avec accès aux données limité (voir le 6ème point sur les mesures de sécurité).

Votre prestataire de service informatique (maintenance matériel et logiciel) a également accès aux données personnelles dans le respect du secret médical. La réglementation RGPD vous oblige à mettre en œuvre des moyens tel que le chiffrage des données pour permettre au technicien d’intervenir sur la machine sans que celui-ci puisse les lire.

Toutefois, votre prestataire peut avoir rédigé une «politique RGPD» dans laquelle le technicien s’engage à ne pas lire ou divulguer les données personnelles de vos patients. Signer ce document vous protège en cas de perte ou de fuite de vos données patients.

La réglementation RGPD pour les professionnels de santé prévoit, dans un but de gestion du cabinet médical, une durée de conservation des données de 20 ans à compter de la dernière intervention sur le dossier du patient :

• En utilisation courante (base active), durant 5 ans à partir de la dernière prise en charge du patient.

• Durant 15 ans sous forme archivées sur un support indépendant sécurisé.

• Le délai pour les copies des feuilles de soins est de trois mois.

Passé ces délais, les données doivent être supprimées ou archivées sous forme anonymisées dans le cas d’une utilisation à des fins statistiques.

Votre logiciel dossier patient doit contenir les fonctionnalités d’archivage automatique à date d’échéance. Pour se faire, vous pouvez les paramétrer manuellement ou bien faire appel à votre prestataire informatique qui se chargera de paramétrer votre logiciel dossier patient dans les conditions de sécurité conforme à la réglementation RGPD.

Interface de paramétrage du logiciel dossier patient Axisanté

Vous devez informer vos patients de la manière dont vous traitez leurs données (notamment les rôles attribués au personnel du cabinet) ainsi que leurs droits dont ils disposent sur celles-ci.

Plusieurs moyens de les informer sont possibles :

•  Affichage dynamique sur un écran en salle d’attente.
•  Remise d’un dépliant informatif, soit en mains propres ou à disposition dans la salle d’attente (déconseillé au vu de la situation sanitaire actuelle).

• Sur le mail de confirmation de rendez-vous.

Votre patient dispose de droits sur ses données confidentielles tel que :

• S’opposer au traitement de ses données, (voir conditions dans l’article 21 du RGPD).

• Accéder à son dossier patients ainsi qu’à l’intégralité de ses données.

• Rectifier  les données le concernant, si celles-ci sont inexactes.

• Effacer ses données (voir conditions dans l’article 17 du RGPD).

• Geler temporairement ses données s’il estime que celles-ci sont inexactes.

• Protéger le réseau informatique externe : protéger les écrans des regards indiscrets et préférer les sauvegardes cloud sécurisées aux disques durs externes et autres supports amovibles.

• Avoir des serveurs avec système d’exploitation sécurisé : réaliser régulièment les mises à jour et limiter les accès aux personnes habilitées.

• Sauvegarder et prévoir la continuité de l’activité : réaliser régulièrement des sauvegardes.

• Encadrer la maintenance et la destruction des données : enregistrer les interventions de maintenance dans une main courante et effacer les données de tout matériel avant de s’en séparer.

• Gérer la sous-traitance : prévoir dans le contrat du sous-traitant, des conditions de restitution et de destruction des données et s’assurer que les garanties prévues (audits de sécurité, visites…) sont effectives.

• Sécuriser les échanges entre les professionnels de santé et les patients : préférer l’utilisation de la messagerie sécurisée de santé.

• Protéger les locaux, sécuriser l’accès physique aux données : installer des alarmes anti-intrusion, sécuriser l’accès aux document imprimé avec authentification par badge par exemple. Pour les données confidentielles sur papier, utiliser un système de verrouillage des armoires et un broyeur appropriée lors de leur destruction.

• Sensibiliser les utilisateurs : informer et sensibiliser le personnel en interne.

• Authentifier les utilisateurs : définir des mots de passe sécurisés conforme au RGPD, avoir une authentification forte via la carte CPS et ne pas communiquer le mot de passe de la carte CPS au personnel du cabinet.

• Gérer les habilitations : Définir un profil d’habilitation adapté pour chaque membre du personnel en distinguant les données administratives des données médicales et supprimer les accès obsolètes.

• Sécuriser les postes de travail : Verrouillage automatique de la session informatique, mise à jour régulière des antivirus et accord de l’utilisateur avant tout traitement sur son poste. Les tablettes et smartphones doivent être hautement sécurisés car la perte de ses appareils est plus fréquente que celle d’un ordinateur de bureau.

Concernant les cabinets groupés à partir du seuil de 10 000 patients par an, La CNIL estime que la réalisation d’une AIPD (analyse d’impact relative à la protection des données) et la désignation d’un délégué à la protection des données (DPO) devraient être nécessaires.
Accéder ici à l’article de la CNIL sur l’analyse d’impact relatives à la protection des données : FAQ AIPD.

Sources :
Référentiel CNIL juillet 2020

Aujourd’hui encore (le 26 janvier 2021), un cabinet dentaire de 3 praticiens dans le nord de la Gironde a vu toutes ses données cryptées par un ramsomware.

De ce fait, la sécurité des données médicales saisies dans les cabinets de ville devient un enjeu décisif en 2021.

Les différents risques pour les données du cabinet

• Les virus et programmes malveillants :
  – Perturbation du fonctionnement de l’ordinateur.
  – Suppression, vol ou corruption des données du réseau.
  – Chiffrage des données pour demander une rançon contre déchiffrage (ransomware ou rançongiciel).

• Le phishing :
  – Mail frauduleux qui imite les messages d’organismes ou institutions et qui a pour but de demander des informations sensibles (n° de compte, de CB…).

• La perte d’information :
  Que cela provienne d’une attaque externe, d’une défaillance matérielle ou d’une erreur humaine, les pertes et fuites de données représentent 50% des failles de sécurité.

• Le piratage :
  Intrusion d’une personne tierce sans autorisation sur un réseau, un serveur ou un ordinateur.

• L’espionnage :
  Grâce à un logiciel qui s’installe sur les ordinateurs ou les smartphones, le hacker peut récupérer des informations sans que l’utilisateur en soit conscient.

Des entreprises e-santé également touchées

•  Dedalus

  L’éditeur de logiciel reconnu dans le domaine de la santé, a été victime le 7 décembre 2020 d’une attaque par rançongiciel.

•  Doctolib

  La plateforme de téléconsultation n’y a pas échappé non plus le 21 juillet 2020, avec un vol de données portant sur 6 128 rendez-vous médicaux.

Extrait du rapport annuel public 2019 de l’ANS : 

« Dans un contexte où la menace continue à se développer et à s’adapter, la cybersécurité à l’échelle de chaque structure de santé est devenue une priorité nationale. Cet enjeu est clairement affiché dans la feuille de route « Accélérer le virage numérique en santé » présentée le 25 avril 2019, où la cybersécurité constitue bien un socle de la transformation numérique en santé et se traduit par le renforcement des mesures sectorielles dans ce domaine. »

• Cabinet d’un praticien de santé sur Bordeaux (souhaitant garder l’anonymat) :

  Victime d’une cyberattaque par rançongiciel. Toutes les données de ses 3 ordinateurs ont été cryptées. L’assurance de ce client a payé la rançon (en Bitcoin) mais les données n’ont jamais été décryptées. En plus de toutes les données des patients, 20 ans de travail ont été perdus en 48h. Plusieurs facteurs s’accumulent dans ce cas :

  – Les ordinateurs ne sont pas protégés par des antivirus professionnels (freeware).
  – Les postes restent allumés car « comme ils sont anciens, ils sont long à démarrer ».
  – L’attaque a eu lieu le vendredi soir et s’est propagée tout le week-end.
  – Sauvegarde informatique inexistante donc pas de restauration possible.

• Cabinet de 8 médecins spécialistes en médecine générale

  Un matin, un de nos praticiens n’avait plus accès à ses fichiers. Notre hotline reçoit son appel et lui conseille immédiatement de débrancher le poste du réseau. Notre équipe se rend sur place et constate alors que les fichiers concernés sont renommés «.mars » : le nom de ce fameux rançongiciel ! Après intervention, aucune perte de données n’a été à déplorer. En effet sur les autres postes l’antivirus PROTECT SECURE a bien joué son rôle et l’intervention rapide de l’équipe technique a permis la reprise immédiate des consultations de ce praticien.

  On suppose, dans ce cas, l’ouverture d’un mail frauduleux par inadvertance. Les mauvaises manipulations sont souvent la source d’une attaque. Depuis, le service de protection des adresses mails : MAIL SECURE  protège toutes les messageries de ce cabinet. Et toutes les adresses mail de type @orange.fr, @wanadoo.fr, @gmail.com, @laposte.net etc. ont été proscrites.

• Pour le patient
  – Disparition de ses données de santé confiées au cabinet
  – Problème du suivi médical pour les pathologies lourdes
  – Diffusion ou utilisation de ses données contre rançon
  – Usurpation de son identité
  – Détérioration de l’image du cabinet

• Pour le praticien
  – Arrêt total d’activité
  – Pertes des données de santé confiées par son patient
  – Dommages et destruction du matériel
  – Perte de productivité
  – Plainte de la part du patient
  – Enquête médicolégale
  – Sanctions civiles et pénales

Depuis 2018 les professionnels de santé sont soumis à la loi de Réglementation Générale sur la Protection des Données (RGPD).
Voici quelques conseils pour vous aider à maintenir une protection informatique optimale et mesurée dans votre cabinet médical.

Tous les outils que vous utilisez au quotidien sont soumis à des règles précises et de bon sens

• Le dossier patient
• La prise de rendez-vous
• La messagerie electronique
• Les téléphones portables et tablettes
• La télémédecine (téléexpertise ou téléconsultation)

Vous devez vous assurer que votre prestataire informatique est bien conforme à la règlementation RGPD en vigueur, car il sera amené, dans le cadre de la maintenance de votre installation, à travailler sur les données confidentielles de vos patients. Vous devez donc vérifier la présence des mentions obligatoires dans le contrat qui vous lie.

Dans le cas où vous travaillez en cabinet de groupe, centre ou maison de santé ou avec des salariés, vous devez désigner un DPO (délégué à la protection des données) qui tiendra à jour le registre de traitement des données au sein du cabinet et les droits et devoirs de chaque personne qui y travaille.

Votre prestataire pourra vous orienter pour la mise en place de ce registre qui est directement lié avec votre installation informatique et son utilisation.

Quelques gestes simples pour renforcer la protection de votre cabinet :

• Choisir avec soin les mots de passe et s’assurer qu’ils contiennent bien 12 caractères.
• Effectuer régulièrement les mises à jour logiciels.
• Sécuriser les accès wifi.
• Télécharger les programmes sur les sites officiels des éditeurs.
• Séparer les usages personnels des usages professionnels.
• Installer un anti-virus et un pare-feu professionnel.
• Réaliser quotidiennement des sauvegardes :
  • Sur un support physique externe (disque dur USB), la sauvegarde doit être chiffrée.
  • Sur le Cloud, le prestataire doit être agréé HADS par l’Agence Numérique en Santé.
• Avoir une messagerie personnalisée de type moncabinet.fr et utiliser des adresses mails individuelles de type : « secrétaire@moncabinet.fr » , « drmartin@moncabinet.fr », etc…
• Interdire l’accès à toutes messageries non sécurisées de type gmail.com, laposte.net, orange.fr, etc… (liste non exhaustive).

Autres astuces :

• Vérifier l’URL des sites consultés : elle doit être en https, et ne pas contenir un nombre incalculable de caractères spéciaux. (exemple : https://www.dmpinformatique.fr)
• Avoir un mot de passe différent pour chaque outil, service.
• Noter les mots de passe dans un coffre-fort numérique.
• Effacer régulièrement son historique.
• Prendre soin de ses informations personnelles, professionnelles et de son identité numérique.

En règle générale, portez attention à ce que vous recevez : « Est-ce normal que je reçoive cela ? De cette manière ? » Restez incrédule : dans votre vie professionnelle comme à la maison !

Envie d’en savoir plus ?

Voir ou revoir le webinaire dédié à la cyber sécurité pour un cabinet médical ou dentaire c’est possible :

Saisissez vos coordonnées ci-dessous et cliquez sur le bouton « Voir le Webinaire ».

Sources :
Tic Santé : « L’éditeur Dedalus victime d’une cyberattaque »
Tic Santé : « Doctolib victime d’un vol de données concernant plus de 6 000 rendez-vous médicaux »
Rapport ANS 2019 : Le numérique en santé avance.