Asymptomatix
Bonjour Maître,
Notre cabinet médical est doté d'un logiciel abonné auprès d'un éditeur informatique qui regroupe l'ensemble des données médicales sur un cloud. La sauvegarde est assurée quotidiennement. Localement, la sécurité de notre ordinateur est assurée par un système performant et payant qui fonctionne en permanence dès la mise en route de l'ordinateur.
Serions-nous dans l'obligation de nous abonner en plus à un système complémentaire dit anti cyber-attaque dont on parle de plus en plus ?
Avec tous nos remerciements et nos meilleures salutations.
Notre cabinet médical est doté d'un logiciel abonné auprès d'un éditeur informatique qui regroupe l'ensemble des données médicales sur un cloud. La sauvegarde est assurée quotidiennement. Localement, la sécurité de notre ordinateur est assurée par un système performant et payant qui fonctionne en permanence dès la mise en route de l'ordinateur.
Serions-nous dans l'obligation de nous abonner en plus à un système complémentaire dit anti cyber-attaque dont on parle de plus en plus ?
Avec tous nos remerciements et nos meilleures salutations.
Maître Maud Geneste
Cher Docteur,
Si vous confiez les données de vos patients à un tiers (par exemple dans le cadre de l’utilisation d’un service de gestion informatisée des dossiers patients), vous devez vous assurer que ce tiers est titulaire d’un agrément ou d’un certificat d’hébergement de données de santé (HDS) conformément à l’article L.1111-8 du code de la santé publique. Si l’outil n’est pas conforme au RGPD et certifié HDS, vos données de santé ne seront jamais sécurisées, et en cas de fuite de données vous serez responsable. En étant certifié HDS, le logiciel s’engage à un haut niveau de sécurité et à répondre à des obligations. Si l’incident est dû ou amplifié par un manquement de l’outil vis-à-vis de ces obligations, il sera responsable et devra réparer les préjudices subis par le patient.
L’outil sécurisé en ligne a 5 obligations (article 28 du RGPD) :
Il ne doit traiter que les données expressément autorisées par le praticien.
Il doit prendre toutes les mesures nécessaires pour sécuriser les données, en tout temps.
Il est tenu d’informer le praticien en cas de changement des conditions d’utilisation.
Le praticien doit pouvoir refuser facilement s’il le souhaite. Le logiciel doit informer immédiatement le praticien si, selon lui, un élément constitue une violation du règlement.
Le logiciel met à disposition du praticien toutes les informations de conformité RGPD.
En définitive, vous serez seul responsable si votre outil n’est pas sécurisé HDS. En revanche, S’il est certifié HDS et qu’il y a malgré tout un incident (bien que cela soit très rare), le degré de respect du RGPD du logiciel comme du praticien sera examiné. Bien à vous.
Si vous confiez les données de vos patients à un tiers (par exemple dans le cadre de l’utilisation d’un service de gestion informatisée des dossiers patients), vous devez vous assurer que ce tiers est titulaire d’un agrément ou d’un certificat d’hébergement de données de santé (HDS) conformément à l’article L.1111-8 du code de la santé publique. Si l’outil n’est pas conforme au RGPD et certifié HDS, vos données de santé ne seront jamais sécurisées, et en cas de fuite de données vous serez responsable. En étant certifié HDS, le logiciel s’engage à un haut niveau de sécurité et à répondre à des obligations. Si l’incident est dû ou amplifié par un manquement de l’outil vis-à-vis de ces obligations, il sera responsable et devra réparer les préjudices subis par le patient.
L’outil sécurisé en ligne a 5 obligations (article 28 du RGPD) :
Il ne doit traiter que les données expressément autorisées par le praticien.
Il doit prendre toutes les mesures nécessaires pour sécuriser les données, en tout temps.
Il est tenu d’informer le praticien en cas de changement des conditions d’utilisation.
Le praticien doit pouvoir refuser facilement s’il le souhaite. Le logiciel doit informer immédiatement le praticien si, selon lui, un élément constitue une violation du règlement.
Le logiciel met à disposition du praticien toutes les informations de conformité RGPD.
En définitive, vous serez seul responsable si votre outil n’est pas sécurisé HDS. En revanche, S’il est certifié HDS et qu’il y a malgré tout un incident (bien que cela soit très rare), le degré de respect du RGPD du logiciel comme du praticien sera examiné. Bien à vous.
Me Maud Geneste - Avocat
🏠 1, rue Saint Firmin, 34000 Montpellier
⌨ https://www.ah-avocats.fr
✉ m.geneste@ah-avocats.fr
Le Droit & Vous
Quand un médecin doit-il entamer les démarches pour son départ en retraite ?
Le Droit & Vous
Les assistants des hôpitaux peuvent-ils avoir une activité salariée pendant les jours de remplacement prévus la première année de leur prise de fonction ?
Le Droit & Vous
L'Ordre peut-il réclamer des cotisations rétroactivement ?
Le Droit & Vous
En cas de départ à l'étranger, un médecin installé peut-il se faire remplacer pendant un an ?