fbpx

742 avis : 4,9/5 ⭐⭐⭐⭐⭐

Docorga devient gratuit pour les orthophonistes.

Votre logiciel est-il certifié HDS ?

Au vu du caractère sensible et à risque des données de santé, les logiciels de gestion qui les collectent sont soumis à de très strictes normes de sécurité.

Alors, comment savoir si votre logiciel médical est habilité à traiter des données de santé ? Quels sont les points de sécurité à vérifier ?

 

Spoiler : si vous envoyez vos ordonnances sur Gmail ou Facebook, ou que vous faites vos factures sur Google Drive cet article ne va pas vous plaire … 🙂

Sommaire

Votre logiciel médical est un sous-traitant 

“Sous traitant”, “prestataire”, sont les termes du RGPD pour désigner le logiciel de gestion patientèle du praticien.

Un sous-traitant est, pour le praticien, une aide dans la gestion de ses tâches administratives et dans sa mise en conformité au RGPD. 

Sous-traitant et praticien ont tous deux une responsabilité, et donc des obligations concernant la sécurité des données patients.

Comment savoir si votre logiciel médical en ligne est sécurisé pour la santé ?

 

Il convient de vérifier que l’outil est conforme RGPD et certifié HDS.

Pour cela, rendez-vous dans la Politique de confidentialité de l’outil. Il s’agit du contrat que vous avez passé avec la société, relatif aux traitements de vos données. Vous le signez à votre inscription, et il reste consultable à tout moment en bas de page. 

Ce document doit a minima : 

  • présenter des informations claires en matière de traitement de données : finalité, durée de conservation, exercice des droits et types de données collectées. 
Extrait de la politique de confidentialité de Docorga
Extrait de la politique de confidentialité de Docorga

                                

  • certifier que l’outil ne traite et conserve les données qu’au regard de la mission qui lui est confiée.
  • certifier utiliser des serveurs et hébergeurs agréés données santé (HDS)
  • assurer que la société, le serveur et l’hébergeur sont basés en France ou en Europe. Jusqu’alors le RGPD est une norme européenne, pas internationale.
  • mentionner les coordonnées d’un DPO (expert RGPD) prêt à répondre à vos questions, et vous accompagner.

Certains sites se disent RGPD ou HDS mais ne disposent pas de politique de confidentialité. Pourtant, c’est obligatoire. Cela vous protège en cas de faute du prestataire. Leur absence doit être rédhibitoire dans le choix de votre outil.

18 praticiens rédacteurs
16 chapitres complets
100 % gratuit

Qu’est-ce que la certification HDS ? 

Pour faire simple, la certification HDS est un ensemble de mesures concrètes qui assurent la conformité RGPD d’un logiciel de gestion patientèle. Elle est obligatoire pour tout logiciel traitant des données de santé (article L1111-8 du CSP). Liste des hébergeurs agréés | esante.gouv.fr

En disposant de cette certification, délivrée par l’ANS (agence du numérique en santé), il est dit “agrée santé”.

Elle vous assure une sécurité et une disponibilité maximale des données, en tout temps : protection physique des locaux, chiffrement des données, sécurisation des comptes, synchronisation automatique des données sur plusieurs hébergeurs…

Chez Docorga, la procédure de chiffrement rend vos données illisibles de l’application elle-même. Ainsi, vos données restent vos données, en tout temps. Seule Camille du support, soumise au secret professionnel, est habilitée à consulter vos données, sur votre accord. En ce sens, nous pouvons vous venir en aide à la moindre question ou difficulté.

 

Pourquoi les logiciels grand public sont-ils à bannir ? 

La CNIL stipule très clairement que vous ne devriez jamais fournir de données à des messageries ou outils en ligne (cloud, Gmail, outils gratuits …) qui ne possèdent pas les prérequis énoncés dans cet article. L’usage de ces outils non agréés est passible de sanctions.

 

En effet, alors que le modèle économique d’un logiciel agréé est la patientèle elle-même, celui d’outils grand public type GAFA (Google, Facebook…) est basé sur la publicité. Utiliser ces outils revient à consentir à la revente de vos données, et ce dès votre inscription. Hors, la revente de données de santé est strictement interdite, car elle peut nuire gravement à la personne concernée (le patient).

Si une violation de données de santé a pour cause l’utilisation d’un outil non agrée santé (certification HDS), vous aurez une responsabilité dans l’incident, au regard de la loi.

Mettre un mot de passe à vos mails ou pièces jointes Gmail ou Yahoo ne les rendra pas plus sécurisés pour autant. Ces messageries publiques auront accès à votre document quoi qu’il en soit. Nous vous invitons à vous orienter vers des messageries sécurisées spécifiques aux professionnels de santé.

Que se passe-t-il si mon logiciel change ses conditions d’utilisation ?

En principe, le sous-traitant est tenu de ne pas modifier les CGU ou la politique de confidentialité, car ces documents sont contractuels. S’il souhaite malgré tout apporter une modification, le sous-traitant à l’obligation d’en informer le praticien, par tous moyens (article 28 du RGPD).

Le praticien dispose d’un certain temps, défini par le sous-traitant, pour prendre connaissance des modifications. Si le responsable de traitement n’est pas en accord avec les modifications, il peut à tout moment se désinscrire. Passé ce délai, les modifications prennent effet.

Laisser un commentaire

Votre mail ne sera pas publié. Les champs marqués sont obligatoires *

D'autres articles pourraient vous intéresser

Laisser un commentaire

Votre mail ne sera pas publié. Les champs marqués sont obligatoires *