M©mento de s©curit© informatique pour les professionnels de sant©

  • View
    220

  • Download
    1

Embed Size (px)

Text of M©mento de s©curit© informatique pour les professionnels de sant©

  • Mmento de scurit informatique pour les professionnels de sant en exercice libralPolitique Gnrale de Scurit des Systmes dInformation de Sant (PGSSI-S) - Novembre 2013 - V1.0

    MINISTREDES AFFAIRES SOCIALES

    ET DE LA SANT

  • 2 ASIP Sant/DSSIS : Mmento de scurit informatique pour les professionnels de sant en exercice libral Novembre 2013 V1.0

    Le prsent document a t labor dans le cadre dun processus collaboratif avec les principaux acteurs du secteur (institutionnels, utilisateurs et industriels) et le grand public.

    La Dlgation la Stratgie des Systmes dInformation de Sant (DSSIS) et lAgence des Systmes dInformation Partags de Sant (ASIP Sant) remercient lensemble des personnes et organisations qui ont apport leur contribution son laboration et sa relecture.

  • 3 ASIP Sant/DSSIS : Mmento de scurit informatique pour les professionnels de sant en exercice libral Novembre 2013 V1.0

    SoMMaIre

    1. Prambule ............................................................................................................. 5

    2. Pourquoi Protger les donnes de vos Patients ? ................................ 6

    2.1. Le besoin de scurit

    2.2. La diversit des menaces informatiques

    2.3. La recrudescence des actes de malveillance

    2.4. La multiplication des risques lis aux mauvais usages

    3. Comment Protger les donnes de vos Patients? ................................. 8

    Les incontournables pour la scurit des donnes de vos patients

    Dtail des rgles de protection des donnes de vos patients par thmatique

    Exemple

    Thmatique 1 : Rpondre aux obligations lgales

    Thmatique 2 : Promouvoir la scurit

    Thmatique 3 : Assurer la scurit physique du lieu dexercice

    Thmatique 4 : Protger vos quipements informatiques

    Thmatique 5 : Matriser les accs aux informations

    Thmatique 6 : Limiter la survenue et les consquences dincidents de scurit

    4. annexes ................................................................................................................22

    4.1. Annexe 1 Pour en savoir plus

    4.2. Annexe 2 Glossaire

    4.3. Annexe 3 Documents de rfrence

  • 4 ASIP Sant/DSSIS : Mmento de scurit informatique pour les professionnels de sant en exercice libral Novembre 2013 V1.0

  • 5 ASIP Sant/DSSIS : Mmento de scurit informatique pour les professionnels de sant en exercice libral Novembre 2013 V1.0

    PraMbule1. Professionnels de Sant, prenez quelques minutes pour lire ce mmento si : Vousutilisezunposteinformatique(fixe,portable,tablette,)contenantdesdonnesprofes- sionnelles, et en particulier des donnes de sant caractre personnel de patients. Les moyens informatiques que vous utilisez sont connects Internet. Vousutilisezunecartedeprofessionneldesant(CPS)parexemplepouraccderaudossier mdicalpersonnel(DMP)depatientsouenvoyerdesfeuillesdesoinslectroniques.Vousutilisezunemessagerielectroniquedesfinsprofessionnelleset/ouvouschangezdes donnes de sant caractre personnel de patients pour la coordination des parcours de soins. Vous grez votre agenda, comportant en particulier les noms de vos patients, sous format lectronique.

    Les donnes concernant vos patients doivent tre protges, quil sagisse de donnes personnelles oudedonnesdesantcaractrepersonnel,cesderniresbnficiantduneprotectionrenforceau regard de leur sensibilit : leur dmatrialisation ncessite la prise en compte des risquesinhrentsauxnouvellestechnologies.Lemmentoapourobjectifdevousaiderrespectervosobligationslgales,dontcellesportantsur le secret professionnel. Il vous permet aussi dviter de nombreux cueils pouvant allerjusqulapertedevosmoyensinformatiquesetdesdonnesdesantcaractrepersonnelquilscontiennent.

    Admisdanslintimitdespersonnes,jetairailessecretsquimeserontconfis.Reulintrieurdesmaisons,jerespecterailessecretsdesfoyersetmaconduiteneservirapascorromprelesmurs 1.

    Le cadre lgislatif et rglementaire impose le respect de rgles prcises ds lors que sont traites informatiquement des donnes caractre personnel. Ces rgles sont dautant plus contraignantes que ces donnes ont trait la sant dun patient et sont ainsi soumises au secret professionnel.Ce mmento vous accompagne dans une utilisation et une protection adquates de vos moyens informatiques au regard de ces obligations. Ce document mthodologique fait partie du corpus documentaire de la PGSSI-S, cit dans les documents de rfrence. Il appartient chaque professionnel de sant de sapproprier les diffrentes prconisations proposes, de les adapter sa propre organisation et de se reporter autant que de besoin aux documents de rfrence.

    1. Extrait de la version actualise du serment dHippocrate.

  • 6 ASIP Sant/DSSIS : Mmento de scurit informatique pour les professionnels de sant en exercice libral Novembre 2013 V1.0

    PourQuoI ProtGer leS doNNeS 2. de VoS PatIeNtS ?

    La prise en charge dun patient ncessite le recueil de donnes caractre personnel et tout particulirement des donnes de sant. Ces donnes peuvent tre partages entre professionnels de sant ou provenir dautres sources (DMP, autres professionnels de sant, institutions ou structures mdicalises,)danslerespectdusecretprofessionnel.Lapriseenchargedunpatientestdautantplusefficacequelleestralisesurlabasedinfor-mationsdisponiblesmaisaussivrifies,jour,prcisesetcohrentes.Ellencessitedesmoyensinformatiques performants et garantissant la continuit du service.

    Pour rpondre aux enjeux lis une bonne prise en charge des patients, il est ncessaire dassurer :

    la disponibilit des donnes de sant des patients et des moyens informatiques pour limiter le risquedepertedechance;la confi dentialit des donnes de santdespatientspourprserverlesecretprofessionnel;l exactitude des donnes de santdespatientspourundiagnosticrapideetjuste; le partage matris des donnes de santdespatientspourpermettrelacoordinationdessoins; la traabilit des actes mdicaux dont les prescriptions mdicales, des produits de santdispenssouadministrs,desproduitsdesantutilissouimplantslorsdunactechirurgicaletlaconservationdelhistoriquedesantcdentsmdicaux,afindeconserverlammoiredesactionsralisesdanslecadredelapriseenchargedupatient.

    Le besoin de scurit 2.1.

    Les moyens informatiques, devenus essentiels la qualit des soins, se trouvent confronts des sourcesdemenacesquicroissentennatureetennombre.Cetteinformatisationrapidencessitedetenircomptedenouveauxrisquesparrapportauxsystmesdinformationpapier.

    Denombreuxexemplesontrcemmentmisenlumirecesmenacesetlafragilitdemoyensinfor-matiquesinsuffisammentprotgs:Certains virus dtruisent trs rapidement des volumes considrables de donnes oumettent hors-serviceunordinateur.Cessituationsconduisentparfoisdevoir rinstaller tout leparcinformatique et reconstituer les donnes, et ce avec un cot lev pour un rsultat souvent trs partiel. Les vols de matriels informatiques se multiplient et conduisent trop souvent la perte de volumesconsquentsdedonnesdesant.Lesconsquencesfinancires,detempspassetdegneprofessionnellesontlevesettrscomparablescellesvoquesdanslepointprcdent.Desaltrations(effacementparerreur,modificationsindues)dedonnes,parfoisessentielles aux professionnels de sant, se produisent rgulirement, par exemple dans le cas de suivimdicalpartirdinformationsissuesdedispositifsimplants.Ellespeuventimpactertrssigni-ficativementlaqualitdusuividessoinsetdesdiagnostics.DesdossiersdepatientspeuventseretrouveraccessiblessurInternet,pardesimplesrequtes traversdesmoteursderecherchetelsqueGoogle,Yahoo,BingIlssontsouventpublissurInternetsoitparerreur,soitaprsavoirtconfisdesfournisseursdeservicesdhbergementde donnes dont la scurit est dfaillante. Ces incidents se traduisent par une mdiatisation dommageablepourlensembledusecteurdelaSant,maisaussidespoursuitespnalesengagespar les patients qui en sont victimes.

    Adhrerladmarchescuritpermetdeprvenirlesincidentslisauxmoyensinformatiquesetde limiter leurs impacts sur les donnes de sant des patients quils peuvent contenir.

    Lesmenacesquipsentsurlesmoyensinformatiquessontdenaturetechnique,organisationnelleouhumaine.Ellespeuventrsulterdunevolontmanifesteoutrefortuites.

  • 7 ASIP Sant/DSSIS : Mmento de scurit informatique pour les professionnels de sant en exercice libral Novembre 2013 V1.0

    La diversit des menaces informatiques2.2.

    Un quipement informa-tique, matriel ou logiciel, peut prsenter une panne, une dfaillance ou tre infect par un programme malveillant. Ces programmes malveillants, notamment certains virus, peuvent entrainer la destruction totale dun ordinateur et de ses donnes.

    La recrudescence des actes de malveillance2.3.

    Les vols dquipements infor-matiquessurleslieuxdexercicesont frquemment constats. Ils alimentent un vritable marchnoir des nouvelles technologies(tablettes, ordinateurs portables,tlphones, ). Ils contribuentaussi des faits dexploitationfrauduleuse des donnes de sant caractre personnel quils contiennent, par exemple pouralimenterdescampagnesciblesde courriers lectroniques de vente de mdicaments dorigine douteuse.

    Lesdonnesdesantpeuventaussitreextorquesparlebiaisdattaquesinformatiques.

    La multiplication des risques lis aux mauvais usages 2.4.

    Prter son mot de passe, envoyer par courrier lectronique des informationsconfidentiellesnonprotges, ne pas sauvegarder quotidiennement ses donnesnombreuxsontlescartspoten-tiels dont les consquences peuvent tre graves. Lorganisationdfinieauseindulieu dexercice doit considrertous les aspects lis lutilisation ou la gestion des moyens infor-matiques. Elle doit prciser lesrgles dusage respecter.

    Docteur, je ne me suis pas fait vacciner.Je crois que jai attrap un mchant

    virus.

    Les nouvelles technologies informatiques sont plus

    quintressantes. Elles sont faciles voler,

    et trs monnayables !

    Protger ma carte CPS, mettre labri le s