En tant que praticien de la rééducation, vous êtes soumis à la RGPD santé, la réglementation générale sur la protection des données de santé (source: CNIL).
Pourquoi ?
Les données de vos patients sont sensibles car elles renseignent de leur état de santé. Si ces données sont volées, perdues, ou simplement lisibles par des tiers non autorisés, il s’agit d’une atteinte à leur vie privée et à leur dignité. Pour éviter cela, votre administratif (comptabilité, factures, prise de rendez-vous en ligne, comptes-rendus de bilan…) doit être effectué selon un protocole strict, défini par la RGPD.
Vous verrez notamment que ce protocole en 5 étapes peut être délégué et automatisé grâce à des logiciels sécurisés en ligne.
Qu’est-ce que la RGPD ?
La RGPD (réglementation générale sur la protection des données), initiée en 2018, est le texte légal de référence en matière de protection de données. Il s’applique au sol Européen.
Ce règlement prévoit des mesures pour assurer la sécurité des données comme la santé, et le respect des droits de vos patients.
Ces mesures sont applicables à chaque traitement de données (collecte, stockage, partage, gestion…) dans vos tâches administratives, papier comme numérique. Tous les professionnels de santé doivent être conforme à la RGPD.
Appliquer la RGPD est obligatoire, mais est surtout dans votre intérêt :
- pour optimiser votre organisation, simplifier vos démarches administratives et vous faire gagner du temps.
- pour le bon sens : il responsabilise et rend autonome les acteurs.
- pour l’éthique: il promeut le respect des droits de vos patients, leur vie privée et leur dignité.
- d’un point de vue juridique : en cas de non-conformité, vous êtes passible de sanctions: pénale, civile, administrative et disciplinaire.
La CNIL (Commission nationale de l’informatique et des libertés) est l’organisme de contrôle indépendant français qui se charge de sensibiliser et faire respecter la RGPD.
Que faut-il faire pour être en conformité avec la RGPD ?
Les 5 points du RGPD pour protéger vos données de santé
Pour être en conformité avec la RGPD, vous devez pouvoir démontrer avoir entrepris des actions concrètes vis-à- vis des 5 principes ci-dessous.
SÉCURITÉ
- Confidentialité
- Intégrité
- Suivi
DROIT DES PATIENTS
- Transparence
- Disponibilité
SÉCURITÉ (article 32)
Ce point rassemble les directives à tenir pour empêcher le vol, la perte et la lisibilité des documents de santé au personne non concernée.
Vous devez instaurer une sécurité physique et une sécurité informatique à hauteur du risque qu’induisent les données de santé.
1) Confidentialité : Limitez l’accès aux données de santé de vos patients.
Seules certaines personnes peuvent y avoir accès au regard de leur mission.
Cela signifie que:
Vous devez gérer les droits d’accès.
Vous devez vous prémunir contre le vol.
Vous devez rendre vos données illisibles en cas de vol.
- Chiffrez vos fichiers, ordinateur, disques durs..
- Définissez un mot de passe complexe à votre ordinateur
- N’utilisez pas de messagerie classique, uniquement des messageries sécurisées, certifiées “HDS”. (ex: Apicrypt, MsSanté, Docorga…)
- N’utilisez que des plateformes en ligne certifiées « HDS »
2) Intégrité : Protégez vos données contre la perte, les incidents, les dommages.
Un document papier ou un ordinateur peuvent être perdus ou volés. Quelques conseils :
- Placez vos dossiers et documents de santé sous clés
- Placez vos disques durs sous clés
- Ouvrez un compte Docorga : stockées en ligne sur nos plateformes, les données de vos patients sont protégées du vol et de la perte, conformément à la loi ( article L. 1111-8 du code de la santé publique).
3) Suivi : Tenez un registre des traitements.
C’est un document type Excel qui référence qui fait quoi, pourquoi, avec quelles données, jusqu’à quand et comment.
Docorga vous met à disposition un registre de document préremplit, issue des référentiels de la CNIL. Tout a été simplifié pour ne pas vous faire perdre de temps à fouiller dans la législation. 5 minutes de lecture et d’infos à remplir, c’est tout ! 🙂
Cliquez sur l’image ci-dessous pour télécharger le registre de traitement :
Si vous utilisez une plateforme en ligne agréée santé et RGPD, vous n’avez rien à faire, ce registre se trouve en bas de page dans les CGU (conditions générales d’utilisation).
18 praticiens rédacteurs
16 chapitres complets
100 % gratuit
RESPECT DU DROIT DE VOS PATIENTS (article 17 à 21)
Vos patients ont des droits vis-à- vis de leurs données personnelles et de santé. Vous devez les informer de la façon dont vous collectez, stockez, gérez et partagez ces données.
4) Transparence : Informez votre patient
Vous n’avez plus à recueillir le consentement du patient pour traiter ses données.
En revanche vous devez l’informer de la façon dont vous traitez ses données et l’informer de ses droits. (article 39)
Cela revient à informer votre patientèle de votre bonne conformité à la RGPD.
5) Disponibilité : Conservez 20 ans vos dossiers médicaux
Les dossiers médicaux de vos patients doivent impérativement être conservés pour une durée de 20 ans minimum, à compter de leur dernière consultation. Ensuite, elles pourront être supprimées ou archivées.
Si vous jetez un dossier médical avant cette limite de temps, votre patient peut porter plainte.
D’autre part, les documents doivent être facilement accessibles : vous avez 8 jours pour en donner l’accès au patient s’il vous le demande (article 14).
Quels documents prouvent votre conformité à la RGPD ?
Maintenant que vous avez bien compris l’intérêt et les principes de la RGPD, récapitulons.
> 9 actions importantes à faire pour vous mettre en conformité.<
1 – Ne collecter que les données vraiment nécessaires à la prise en charge
2 – Informez vos patients de manière transparente sur le traitement de leurs données
3 – Tenez compte des droits de vos patients, sachez comment les honorer
4 – Gardez vos dossiers patients 20 ans minimum
5 – Limitez strictement l’accès aux données de santé aux seules personnes autorisées
6 – Vérifiez que votre logiciel de gestion patientèle est agréé santé
7 – Faites attention au partage de données (mail, courrier…)
8 – Sécurisez vos données : implémenter des mesures concrètes (physiques et informatiques)
9 – Restez informée : la RGPD peut évoluer
Un logiciel certifié “HDS” automatise les points 4, 5, 7, 8, 9, et facilite ainsi votre conformité à la RGPD (voir plus bas).
> 7 documents pour prouver votre conformité à la RGPD <
Vous devez constituer un dossier avec les documents suivants pour être en mesure de prouver votre conformité en cas de contrôle ou d’incident.
1 – Document d’information des patients à afficher dans le cabinet (obligatoire)
2 – Registre de traitement (obligatoire)
3 – Désigner un DPO (facultatif)
Le DPO est le délégué chargé de constituer le dossier de conformité (n’est obligatoire que pour les cabinets ou structures médicales accueillant plus de 10 000 patients par an). Sachez que depuis le 1er janvier 2023, la mise en conformité RGPD et la protection de vos données personnelles sur Docorga est assurée par un DIPEEO, un DPO externe Français certifié. Pour toutes questions relatives à la RGPD santé, contactez notre DPO à cette adresse : rgpd@docorga.com
4 – Un document d’analyse des risques (AIPD) (facultatif)
L’analyse d’impact n’est obligatoire que pour les cabinets ou structures médicales traitant des données de santé en grande quantité (voir la FAQ ci-dessous)
5 – Document qui répertorie les mesures en place pour sécuriser vos données de santé (obligatoire)
6 – Contrat avec les sous-traitants (si approprié)
Il s’agit des CGU lorsque vous inscrivez à un logiciel de gestion patientèle agréé. Les notres sont disponibles en bas de page.
7 – Les procédures internes en cas de violations de donnée (obligatoire)
Un logiciel certifié “HDS” vous fournit directement les documents 1 à 6 (voir ci-dessous)
Docorga automatise votre mise en conformité RGPD santé
Le site de la CNIL, c’est plus 9 540 pages web indexées par Google.
Et vous l’avez vu, la mise en conformité au RGPD d’un cabinet n’est pas de tout repos. Sans un minimum de temps, c’est même carrément fastidieux.
Et pour cause …
Alors, comment en venir à bout facilement en tant que petit cabinet libéral ?
Docorga vous propose un large panel d’outil totalement conforme RGPD santé et HDS pour stocker vos données de santé, les traiter, les partager de manière sécurisé. Avec plus de 10 000 praticiens actifs, Docorga est la plus grande base d’outil gratuite et sécurisée du marché.
Vous avez une question ? Depuis janvier 2023, Docorga dispose de son propre DPO : nous répondrons avec plaisir à toutes vos questions relatives à la sécurité de vos données et celles de vos patients.
Curieux.se ? Inscris toi aujourd’hui, c’est gratuit 🙂
- Liste d'attente
- Comptabilité
- Rappels de RDV par SMS
- Prise de rendez-vous en ligne
- Frais professionnels déductibles
FAQ
La CNIL (Commission nationale de l’informatique et des libertés) est l’autorité indépendante française chargée de faire appliquer le RGPD. Elle établit des directives, conseils, aide et sanctionne afin d’assurer la protection de vos données personnelles sur internet.
Absolument toutes les entreprises lucratives ou non qui collectent des données personnelles sont concernées en Europe. Sont concernés tous les professionnels de santé, exerçant à titre libéral, en cabinet individuel ou groupé, ou encore au sein de maisons de santé. Sont donc concernés les médecins généralistes ou spécialistes, les psychologues, les psychomotriciens, les ergothérapeutes, les infirmiers, les radiologues, les masseurs kinésithérapeutes, les sages-femmes, les pédicures-podologues, les orthophonistes et orthoptistes etc. (Source : CNIL)
Vous devez sécuriser vos données. Oui, mais comment ?
L’objectif de la RGPD n’est pas de vous imposer une liste longue comme le bras de chose à faire. L’objectif est au contraire de responsabiliser, de vous laisser faire preuve de bon sens pour sécuriser, informer et évaluer les risques. Éviter la violation de vos données de santé est tout dans votre intérêt, tant sur le plan pénal qu’éthique.
Comment être certain que vous êtes bien en sécurité, dans ce cas ?
Il existe 2 solutions:
Si vous souhaitez rester sur papier ou sur des logiciels hors ligne, vous devrez appliquer la RGPD vous-même. Il existe des guides pratiques sur le site de la CNIL avec des exemples de mesures très concrètes à adopter. Ce ne sont que des préconisations et vous pouvez vous en écarter à condition de pouvoir le justifier et d’en assumer la responsabilité. L’outil PIA de la CNIL est très efficace pour évaluer l’efficacité de ces mesures.
Ces mesures ne sont pas difficiles à mettre en place, mais longues, quotidiennes, ce qui peut être stressant.
La deuxième solution est d’utiliser un sous traitant, c’est-à-dire un logiciel patientèle en ligne certifié HDS qui va vous permettre de réaliser vos tâches administratives, en étant automatiquement conforme à la RGPD.
C’est très pratique mais attention: cela ne vous dédouane pas d’informer votre patient et d’être vigilant quant au secret professionnel.
La RGPD s’applique a tous supports, pas uniquement à l’informatique.
Vous avez 3 options:
- sur papier,
- en « local » sur votre ordinateur
Ce sont des solutions numériques hors-ligne: Word, stockage sur disque dur ou clés USB
- un outil de gestion patientèle spécialisé, directement en ligne.
Voir les articles qui comparent ces supports au regard de la RGPD.
Ces deux documents sont sensiblement similaires en termes de contenu: ils informent des traitements qui sont faits des données de santé. La grande différence est leur forme, car ils ont des finalités différentes. Le registre de traitement est présenté de manière formelle et précise car il sert de justificatif en cas de contrôle de la CNIL. Vous pouvez télécharger des exemples sur leur site.
A l’inverse, le document d’information vulgarise le contenu: il est à destination des patients et doit être compris de tous.
C’est une des exigences du RGPD, qui n’est pas nécessaire si vous exercez à titre individuel. En cabinet et au-delà de 10 000 patients annuels (source: Cnil), l’AIPD est obligatoire.
C’est un document qui répertorie les risques pour les droits des personnes concernées, ainsi que les mesures adaptées pour les éviter.
L’outil gratuit PIA proposé par la CNIL émet un jugement sur l’efficacité des mesures de sécurité prises en fonction du risque relatif à un type de donnée (AIPD).
A l’inverse, le document d’information vulgarise le contenu: il est à destination des patients et doit être compris de tous.