7. Lamise en oeuvre de la
sécurisation du dossier médicalinformatisé
7.1. Cahier de charges de la sécurité
Nous avons établi un questionnaire de
sécurité reprenant nos recommandations minimales pour le dossier
médical informatisé. L'obligation de répondre par
l'affirmative ou de pouvoir démontrer qu'il y a bien eu prise en charge
de la problématique à chaque question était le
prérequis à l'introduction de la demande à la commission
de la vie privée.
1. Avez-vous désigné une personne
référente au sein du département médical qui sera
en lien avec le coordinateur de sécurité ?Avez-vous mis en
place un comité de veille ?
2. Avez-vous défini les objectifs de
sécurité souhaités pour le DMI, évalué les
menaces de sécurité pesant sur le DMI et proposé des
mesures afin de diminuer les risques de sécurité ?
3. Avez-vous formulé par écrit vos exigences
minimales auxquelles doit répondre le DMI au niveau
sécurité?
4. Des données à caractère privé et
médical seront-elles également stockées ailleurs qu'en
site central (serveurs du service informatique) et dans l'affirmative avez-vous
fait un inventaire des différents types de support (PC, clé ou
disque USB,...)?
5. Avez-vous informé et formé le personnel
médical de ses obligations légales, déontologiques,
éthiques ainsi que des attentes du département médical au
niveau sécurité des données?
6. Avez-vous mis en oeuvre un processus donnant
régulièrement au référent médical de la
sécurité le nom des personnes ayant eu accès au dossier
afin de vérifier que des personnes non autorisées n'ont pas eu la
possibilité d'y accéder ?
7. Pouvez-vous compléter le tableau suivant ?
|
Accès\Fonctions
|
Médecin
|
Assistante
|
Développeur
|
Helpdesk
|
Pers. Adm.
|
Autres
|
|
Accès au DMI
|
|
|
|
|
|
|
|
Lecture
|
|
|
|
|
|
|
|
Création
|
|
|
|
|
|
|
|
Modification
|
|
|
|
|
|
|
|
Impression
|
|
|
|
|
|
|
|
Notes Perso.
|
|
|
|
|
|
|
|
Accès à la DB
|
|
|
|
|
|
|
8. Avez-vous eu des garanties que tout a été mis en
oeuvre lors de l'analyse et du développement du logiciel et que les
données médicales du DMI seront accessibles uniquement par les
personnes ou les fonctions désignées par le
DirecteurMédical ?
9. Comment avez-vous mis en route la traçabilité
des actions effectuées par les personnes qui ont accès au DMI ?
Quelles sont les informations de traçabilité que vous
sauvegardez ? Quelles sont les personnes du département
médical qui vont analyser les informations de traçabilité
et à quelle fréquence ?
10. Avez-vous prévu d'effectuer des vérifications
afin de s'assurer du bon fonctionnement de la sécurité des
informations?
11. Avez-vous mis en place des procédures de gestion
d'urgence?
a. Que doit faire le personnel médical quand les
données sont inaccessibles ?
b. Que doit faire le personnel médical en cas de perte ou
vol de données ou de matériel contenant des données
médicales ?
c. Que doit faire le personnel médical en cas d'envoi
d'information médicale à un mauvais destinataire (par courrier,
mail, fax, ...) ?
12. Disposez-vous pour le DMI d'un dossier technique et
fonctionnel intégrant la sécurité des
données ?
| 
