7.3. Les adaptations organisationnelles

Pour pouvoir mettre en place le dossier médical informatisé, quelques adaptations ont été nécessaires.

La première adaptation réalisée est celle de la politique de sécurité. Nous souhaitions ajouter quelques paragraphes propres au dossier médical informatisé.

Nous avons ajouté la notion de données médicales et notre volonté d'instaurer des précautions supplémentairesainsi que l'application des obligations légales pour ce type de données.

Nous avons demandéau département des ressources humaines qu'il participe plus activement à la sécurité en prenant la responsabilité d'informer les nouveaux engagés,lors de la signature du contrat,de leurs obligations en matière de sécurité des données,et plus précisément des données médicales,en intégrant dans les différents profils de fonction les rôles qu'ils jouent chacun en matière de sécurité.

Nous rappelons que l'utilisateur doit être conscient de l'importance du respect de la confidentialité, des accès autorisés et qu'il ne doit accéder qu'aux données nécessaires pour effectuer sa mission. Il doit s'engager à ne jamais transmettre son code d'accès et son mot de passe à un tiers et à ne jamais utiliser les identifiants d'autrui. L'imputabilité des actions se font sur base de l'authentification.

L'arrivée du dossier médical informatisé était pour nous l'occasion de faire signer à l'ensemble du personnel un engagement à la confidentialité et de sensibiliser à nouveau à l'importance de celle-ci (en rappelant que cette obligation perdure au-delà de la rupture du contrat de travail pour toute personne ayant accédé aux données confidentielles).

De nouveaux rôles ont été créés, de nouvelles responsabilités de sécurité ont été déterminées et il était donc important de les reporter dans le profil de fonction.

Le département médical doit mettre un comité de veille en place afin de s'assurer du bon fonctionnement du dossier, de collecter toutes les plaintes, d'analyser les situations anormales, étudier d'éventuels cas d'abus,...

Cette arrivée du dossier médical informatisé offrait aussi l'opportunité d'ajouter dans le profil du Directeur Médical la responsabilitédu traitement des données.

Soucieux d'assurer une bonne gestion des incidents prévisibles, nous avons initié le processus par une réflexion demesures à prendre suivie de la mise en place des procédures à tester. Cette préparation diminuera le temps de résilience.

Nous avons identifié quelques cas d'incidents que nous avons soumis au département médical.

- Que faire lorsque l'on constate :

o Une perte d'informations

§ un document imprimé oublié à l'imprimante

§ des données encodées et qui n'apparaissent pas

o Un vol d'informations concernant des travailleurs

o Une copie illicite d'informations

o Un cas d'abus

§ violation du secret médical

§ divulgation d'informations

§ piratage

§ sabotage

§ accès illicite

§ Curiosité de la part d'un collègue

o Transmission erronée (fax, mail contenant des informations médicales et envoyées à la mauvaise personne)

o Indisponibilité temporaire des informations en réseau.

Le maillon faible au niveau de la sécurité est l'utilisateur. La meilleurefaçon de renforcer celui-ci est d'informer l'utilisateur et de le former en matière de législation sur les données à caractère personnel ainsi que sur le droit des patients.

Le document d'engagement à la confidentialité sera signé par l'ensemble du personnel et non plus uniquement par le personnel médical. L'importance d'un tel document et les attentes au niveau de la sécurité de l'information seront explicitées.

Sensibiliser l'ensemble du personnel à l'importance que nous accordons à la politique de sécurité et des chartes / recommandations qui ont été publiées à leur attention.

Recommandations destinées aux utilisateurs du dossier médical sur les points suivants :

· Ne jamais communiquer vos login et mot de passe. Ils vous identifient et permettent de remonter jusqu'à vous en cas de souci.

· Ne jamais laisser le PC ouvert sur une application sans surveillance. Lorsque vous vous absentez de votre bureau veillez au minimum à verrouiller votre session ou mieux, quittez l'application et verrouillez votre session.

· Veiller à l'exactitude des données privées et médicales collectées sur la personne.

· Sur votre portable ne laissez pas de documents contenant des données privées ou médicales.

· Veillez à n'utiliser ou traiter que les informations nécessaires à la réalisation de la consultation.

· Les informations non transmissibles, ni accessibles aux travailleurs seront reprises dans les notes personnelles du médecin.

· Imprimer que ce qui est nécessaire et supprimer de manière efficace toutes les informations

· Lorsque vous imprimez un document confidentiel, évitez qu'une autre personne en prenne connaissance.

· Eviter de faire circuler l'information sensible par mail car celui-ci n'est pas crypté et pourrait être intercepté.

· Faire remonter tout comportement suspect ou faille que vous auriez découverts.

· Ne pas perdre de vue qu'on est responsable contractuellement et légalement des données privées et médicales. Nul ne peut invoquer la méconnaissance des lois pour fonder sa défense.

· Informer les travailleurs du fait que leurs données se trouvent dans un dossier médical informatisé et de la procédure d'accès à ces informations.

· En cas de doute sur la qualité de l'interlocuteur, ne lui confier aucune information. Diriger le vers un responsable de département, le coordinateur de sécurité ou vers le comité de veille.

· Lors de l'utilisation, de l'application ou de la synchronisation des données avec un Wifi, veillez à être toujours connecté avec un Wifi sécurisé (Wifi qui utilise une clef WPA).

· Anonymiser les informations médicales lors d'évocation de cas, conversations ou échanges d'informations.