Les 4 étapes pour être conforme à la RGPD Santé en tant que professionnel

Depuis mai 2018, le traitement des informations personnelles collectées dans le cadre d’une activité professionnelle, privée ou associative est encadré par la Règlement Général sur la Protection des Données (RGPD).

Les données de santé sont considérées comme étant de nature « sensible » et nécessitent un traitement spécifique afin d’assurer la sécurité et la confidentialité des informations relatives à vos patients tout au long de leur prise en charge médicale.

Les implications pour la gestion de votre cabinet de soins

Il est de votre responsabilité de fournir aux patients des informations claires concernant le traitement de leurs données personnelles lors de leur prise en charge, que ce soit dans votre dossier papier ou votre logiciel de suivi. Vous pouvez notamment afficher ces informations sous forme d’affiche dans votre salle d’attente ou faire signer un document nominatif. Vous pouvez retrouver un modèle de consentement patient dans cet article.

Collecte

Les informations que vous collectez auprès de vos patients doivent être appropriées, pertinentes et limitées à ce qui est strictement nécessaire pour assurer leur prise en charge dans le cadre des activités de prévention, de diagnostic et de soins.

Partage

Il est impératif de restreindre l'accès aux données de santé de vos patients en n'autorisant l'accès qu'aux personnes qui en ont besoin dans le cadre de leurs fonctions professionnelles. Ces personnes ne peuvent consulter que les données qui sont nécessaires pour l'exercice de leurs missions.

Consentement

Le consentement des patients n'est pas requis pour la collecte et la conservation de leurs données de santé si ces opérations sont nécessaires aux diagnostics médicaux et à la prise en charge sanitaire ou sociale des patients concernés. Vous devez juste afficher l'information.

Archivage

Il est essentiel de conserver les données collectées sur vos patients pour une durée prédéterminée. Les médecins libéraux, par exemple, suivent les recommandations du Conseil national de l'Ordre des médecins en conservant les dossiers médicaux de leurs patients pendant une période de 20 ans à partir de leur dernière consultation.

Les règles édictées par le Règlement Général sur la Protection des Données (RGPD) sont universelles et concernent l’ensemble des traitements de données personnelles, quel que soit le support utilisé pour leur stockage ou leur traitement. Ainsi, ces dispositions s’appliquent aux données en format papier, mais également aux données informatiques. En effet, les données numériques sont souvent plus sensibles, car elles peuvent être plus facilement copiées, transférées, modifiées ou supprimées. Il est donc essentiel de garantir la protection et la confidentialité des données de vos patients, qu’elles soient stockées sous forme physique ou électronique.

Document pour se mettre en conformité

Il est nécessaire que vous rassembliez un dossier comprenant les documents suivants afin de pouvoir démontrer votre conformité en cas de contrôle ou d’incident.

Document d’information des patients à afficher dans le cabinet (obligatoire)
Registre de traitement (obligatoire)
Désigner un DPO (facultatif) : La désignation d’un DPO (délégué à la protection des données) est facultative, mais elle est obligatoire pour les cabinets ou structures médicales qui accueillent plus de 10 000 patients par an. Le DPO est chargé de constituer le dossier de conformité.
Un document d’analyse des risques (AIPD) (facultatif) : L’analyse d’impact n’est obligatoire que pour les cabinets ou structures médicales traitant des données de santé en grande quantité
Il est obligatoire de disposer d’un document répertoriant les mesures mises en place pour garantir la sécurité des données de santé.
Contrat avec les sous-traitants : Il s’agit des CGU lorsque vous utilisez un logiciel de gestion patientèle, ou que vous partagez des données.
Les procédures internes mise en place en cas de violation des données.

FAQ

Qu'est-ce que le RGPD ?

Le RGPD (Règlement Général sur la Protection des Données) est un ensemble de règles strictes établies par l'Union européenne pour protéger les données personnelles des citoyens européens.

Combien de temps dois-je conserver les données de mes patients ?

La conservation des dossiers médicaux des patients est une obligation légale et doit être effectuée pour une durée de 20 ans à partir de la date de leur dernière consultation. Pour en savoir plus sur les délais de conservation des données personnelles dans le domaine de la santé, la Commission nationale de l'informatique et des libertés (CNIL) met à disposition un référentiel dédié aux traitements de données personnelles dans ce domaine. Vous pouvez y accéder via le lien suivant : https://www.cnil.fr/sites/default/files/atoms/files/referentiel_-_traitements_dans_le_domaine_de_la_sante_hors_recherches.pdf

Est-ce que les patients ont le droit d'accéder aux données de santé que vous avez collectées lors de leur suivi ?

Exactement, les patients ont le droit d'accéder aux informations de leur dossier médical que vous avez collectées lors de leur suivi. Vous êtes dans l'obligation de leur fournir ces informations sur leur demande. Pour faciliter ce processus, Docorga vous offre la possibilité d'exporter les informations de vos patients afin de répondre rapidement à leurs demandes.

Où dois-je stocker les données personnelles ?

Les données personnelles doivent être stockées au sein de l'union européenne.