Professionnel

RGPD Le Règlement Général sur la Protection des Données

Adopté par le Parlement européen le 14 avril 2016, le Réglement Général sur la Protection des Données est entré en vigueur depuis le 24 mai 2016, le Règlement est

applicable depuis le 25 mai 2018. Depuis cette date, il faut pouvoir prouver que le processus requis est, au moins, en cours d’implémentation car il est admis qu’il est /
sera en constant développement.

L’idée générale du Règlement est que le client, l’employé ou le patient obtienne un contrôle accru de ses données personnelles. Est concerné quiconque collecte et traite des données personnelles,
celles qui en d’autres termes, permettent d’identifier une personne : nom, adresse, numéro de registre national, données salariales, données de login, ….
Les données relatives à la santé sont dites ‘sensibles’ et entraînent de ce fait des contraintes supplémentaires. Nous sommes cependant soumis depuis toujours au respect du secret médical et nous avons intégré depuis longtemps les principes émis dans la loi relative aux Droits du Patient (2002).

Les mesures imposées par le RGPD en matière de collecte, stockage, traitement et sécurité des données à caractère personnel, ne sont donc pas insurmontables à intégrer dans la pratique.
Pour le prouver, je voudrais partager avec vous mon expérience personnelle.

Attention, l’auteur étant praticien ‘actif’, sans aucune formation juridique - mais cela les lecteurs le savent bien -, les informations données, récoltées à plusieurs sources, a priori fiables, n’engagent cependant nullement la Société de Médecine Dentaire.

Le but du présent article est d’aider les membres à se conformer à la nouvelle législation en matière de protection des données personnelles au sein de l’Union Européenne. Les dérives
récentes de Facebook et Cambridge Analytica ont bien mis en évidence la nécessité de la démarche.

Principe 1 : Licéité, loyauté et transparence - les données à caractère personnel sont traitées de manière licite, loyale et transparente au regard de la personne concernée.

Limitation des finalités - les données à caractère personnel sont collectées pour des finalités déterminées, explicites et légitimes, et ne peuvent être traitées que d’une manière compatible avec ces finalités.
Minimisation des données - les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. Il n’est pas non plus permis de conserver plus de données à caractère personnel que nécessaire.

En clair : les données collectées, conservées et exploitées sont transparentes et supportées par une finalité justifiée et clairement définie. Il faut donc, à tout moment, pouvoir expliquer ce que nous
faisons des données récoltées et pourquoi nous le faisons.

Devons-nous noter dans le dossier qu’un couple de patients est divorcé ? Non, mais pourtant oui, s’il s’agit de savoir auquel des parents envoyer la note d’honoraires après traitement de leur enfant (Il faut au préalable avoir recueilli le consentement éclairé des 2 parents).
Devons-nous noter dans le dossier qu’un patient est musulman pratiquant ? Non, mais pourtant oui, s’il s’agit de placer une membrane à base de protéines de porc ou de prescrire des médicaments
pendant le Ramadan.

Un registre (papier ou sous forme de tableur) reprend toutes les données que nous collectons ainsi que leur finalité. Plus d’informations au sujet du registre, outil de conscientisation de la pertinence des informations collectées, seront données plus loin.

Un ‘Règlement relatif à la protection des données à caractère personnel des travailleurs dans le cadre de leur dossier personnel et des données salariales’, reprenant l’ensemble des droits et devoirs
de l’employeur et des employés, acquis auprès du secrétariat social, est entré en vigueur au cabinet le 25 mai 2018.

Principe 2 : Exactitude – les données à caractère personnel doivent être exactes et tenues à jour. Les données qui sont inexactes doivent être effacées ou rectifiées.
A signaler que le RGPD prescrit des concepts incompatibles avec d’autres législations. Ainsi le « droit à l’oubli » ou la demande par le patient d’effacer des données d’un dossier médical ne peuvent être rencontrées car nous avons l’obligation de ne rien effacer des dossiers médicaux. Nous pouvons cependant y rectifier des données qui s’avèreraient inexactes sans toutefois effacer l’historique de l’encodage de la donnée en question.

En clair : n’effacer aucune donnée mais la biffer et la faire suivre de sa rectification.

Principe 3 : Limitation de la conservation – les données à caractère personnel ne peuvent pas être conservées plus longtemps que nécessaire. Il est interdit de conserver ces données pour une durée
indéterminée ou illimitée.

En clair : le dentiste-employeur doit informer son personnel de la durée de conservation des données à caractère personnel (y compris, par exemple, les certificats médicaux). les dossiers des patients sont conservés pendant 20 ans au moins (durée de notre responsabilité professionnelle) ou jusqu’à 30 ans (si on se réfère aux directives auxquels sont soumis les médecins et le projet de loi de la ministre De Block).

N’étant (toujours pas) informatisé, j’ai acquis une déchiqueteuse pour détruire les dossiers arrivés à obsolescence, avant de les jeter dans les sacs jaunes. (Les radiographies argentiques sont remises, sans leurs supports nominatifs, à l’entreprise de collecte des déchets chimiques).

Principe 4 : Intégrité et confidentialité - les mesures (techniques et organisationnelles) nécessaires sont prises pour garantir un traitement sécurisé des données à caractère personnel

En clair : les données personnelles et médicales collectées, conservées et exploitées sont sécurisées. Il faut veiller à la sécurisation de notre système de base de données (informatisée ou non) pour éviter toute fuite dont nous pourrions être rendus responsables.

Les armoires à dossiers sont maintenant fermées à clef (et la clef est conservée à l’abri).
Les dossiers ne sont plus laissés à vue sur le comptoir au secrétariat.
Les dossiers archivés sont stockés en hauteur dans une cave qui ne présente pas de risque d’inondation.
Les rapports destinés aux référents sont donnés directement au patient qui peut cependant toujours opter pour l’envoi par courrier postal (indication ad hoc dans le dossier dans ce cas).
Je compte bien aussi utiliser la eHealthBox via le portail, avec identification aisée par itsme®.
Pour les cabinets informatisés, les recommandations sont connues. Réseau sécurisé (Firewall, antivirus mis à jour, mot de passe modifié régulièrement).

Back-ups fréquents, et gardés à l’abri, pour éviter les pertes de données en cas de crash de disque dur. Interdiction de sauvegarder les données sensibles sur le Cloud public sans pseudonymisation ou encryptage.

En résumé :
Je traite les données enregistrées de manière loyale et transparente.
J’informe clairement les personnes concernées par les données.
Je fais un inventaire de tous les traitements et des données traitées ainsi que leurs objectifs.
J’enregistre uniquement les données nécessaires et ne les conserve pas au-delà de la période utile.
Je prends les mesures adéquates de protection des traitements et des données.
Je mets en place une politique de protection des données et de la vie privée en interne.

En conclusion, si cette nouvelle réglementation européenne a de quoi effrayer, c’est surtout l’occasion de revoir notre approche en matière de gestion des données.

« Wouldn’t it be nice to live in a world in which you could specify exactly how - and for how long – your data may be used, no matter who the data is given to?”

Assistant professor computer science, Mrs Jean Yang, Carnegie Mellon
University, Pittsburgh

 

Depuis le 25 mai 2018, la Commission de la protection de la vie privée a cédé la place à l’Autorité de protection des données. En cas de contrôle, nous devrons démontrer que le processus requis par le RGPD est, au moins, en cours d’implémentation car il est d’ores et déjà admis qu’il est et sera en constant développement.

 

Que nous serait-il éventuellement demandé ?

 1. Qui est la personne responsable du traitement et de la protection des données et de la vie privée (Data Protection Officer – ‘DPO’ dans les textes en anglais) au sein du cabinet ?
Le registre (papier ou sous forme de tableur) reprend les coordonnées de la personne en question et son statut au sein de l’entreprise. Le DPO doit pouvoir démontrer qu’au cabinet les principes de base du respect de la vie privée sont respectés. Il a évalué de façon objective la probabilité de l’occurrence d’un incident et la gravité des conséquences dans ce cas. Le principe fondamental est ‘accountability’, qui se traduit par ‘responsabilité’, dans le sens de ‘rendre des comptes’. Le DPO analyse le risque propre au cabinet : comprenez donc bien qu’il n’y a pas de formule toute faite et ceciexplique pourquoi la SMD ne peut fournir une solution ‘clef-sur-porte’. Cette notion de DPO peut paraître exagérée pour un cabinet dentaire, mais il faut bien se rendre compte que la configuration des cabinets peut aller d’un praticien seul à des équipes comprenant plusieurs dizaines de personnes, collaborateurs et/ou salariés. La désignation d’un DPO a tout son sens dès le travail en groupe. A noter que de longue date, la législation prévoit qu’un praticien soit officiellement désigné pour diriger le cabinet : Lorsque plusieurs praticiens qualifiés conformément à l’article 1er exercent leur profession dans un même cabinet dentaire, que ce soit en association, au service ou sous le couvert d’un tiers ou d’une collectivité, d’un d’eux doit assumer la direction du cabinet et en donner immédiatement information par écrit à la commission médicale provinciale du ressort (...).

 2. Le Registre des activités de traitement des données qui reprend toutes les données que nous collectons ainsi que leur finalité. En tant qu’outil de conscientisation de la pertinence des informations collectées et de leur utilisation, il est le document-clef de la procédure RGPD.

Les données ne sont pas simplement ‘traitées’, mais toujours traitées dans le but d’atteindre un certain objectif. Vous traitez les données des patients afin d’être en mesure de les soigner et de leur donner accès à des remboursements, alors que vous conservez les données relatives au personnel dans un tout autre but, à savoir pouvoir leur verser un salaire. Le terme ”objectif” signifie donc : pour quelle raison les données sont-elles traitées ?

Dans le cadre du RGPD, il est très important d’examiner attentivement les objectifs pour lesquels vous traitez les données. Il s’agit de l’une des étapes les plus importantes du RGPD.

Les objectifs que vous choisirez serviront de base pour toutes les étapes suivantes de la mise en oeuvre du RGPD et détermineront ce que vous pouvez faire avec vos données et, par exemple, combien de temps vous pouvez les garder.

Enfin, les données collectées ne peuvent être utilisées que dans le cadre strict du but premier. En clair, les données dont nous disposons ne peuvent être utilisées en dehors du domaine des soins, à l’exception toutefois des études épidémiologiques ou scientifiques après approbation par l’Autorité de protection des données ou exécutées sur ordre de l’INAMI.

Les données recensées dans mon registre sont présentées en Annexe 1a et 1b.

3. Le document présentant notre politique de protection des données et de la vie privée en interne. Il s’agit d’une part d’une déclaration à porter à la connaissance des patients et d’autre part d’un document à l’attention des dentistes-collaborateurs et membres du personnel. Quiconque collecte et traite des données personnelles dans le cabinet doit déclarer par écrit respecter les obligations énoncées dans le RGPD. Ces personnes, sensibilisées à la problématique, sont répertoriées et identifiées dans le registre.

Le document devra également indiquer, si applicable, la période de rétention des images enregistrées par les caméras de surveillance (CCTV). Le document-type que j’utilise est présenté en annexe 2a et 2b.

4. Le document décrivant notre politique de protection des données et de la vie privée en externe. Il s’agit des copies de contrats entre le DPO et nos sous-traitants : c’est-à-dire ceux qui traitent les données pour le compte du Responsable du traitement. Par exemple, la société informatique qui assure la maintenance des logiciels dentaires et/ou des serveurs ou les fournisseurs de dispositifs médicaux sur mesure, le secrétariat social, les logiciels de comptabilité et les firmes qui ont placé les caméras de surveillance. Sans oublier les spécialistes ou confrères avec qui des données de patients sont échangées. Les firmes informatiques devront certifier que leurs programmes installés respectent la famille des normes ISO 27000, qui aide les entreprises et organisations à assurer la sécurité de leurs informations (dont question dans le RGPD).

Pour ceux d’entre vous qui ont un site web, il faut annoncer aux visiteurs l’utilisation éventuelle de cookies et la politique en la matière ainsi que l’utilisation éventuelle des données récoltées, suivant en cela le respect du principe de transparence.

Sur le site web du cabinet, toute case pré-remplie est interdite. C’est bien au patient-visiteur de cocher les options proposées. En ce qui me concerne, pas de site mais le document que je compte faire parvenir aux confrères et consœurs référents est basé sur celui présenté en annexe 2b.

5. Notre connaissance de la procédure à suivre en cas de violation de données à caractère personnel, c’est-à-dire avertir l’autorité de contrôle ainsi que les patients concernés au plus vite et si possible endéans les 72 heures. Comment ferons-nous pour contacter les patients s’il s’avère que l’incident entraîne un risque élevé à l’encontre de leurs droits et libertés individuels, vol d’identité, par exemple ?

En cas de non-respect de cette obligation de notification, les patients concernés auront droit à une réparation financière en sus de l’amende administrative, pouvant aller jusqu’à 2 à 4 % du chiffre d’affaires.

En conclusion, inutile de payer fort cher des consultants et surtout pas de stress inutile.

 Annexe 1a.

Registre des Activités de Traitement des Données : quelles sont les données que je collecte ?

Données d’identification personnelles
Langue (de communication) / sexe / Nom / Prénom / adresse / téléphone (privé, professionnel, GSM) / e-mail (éventuellement) / tuteur (éventuellement).
Si applicable chez vous, ajoutez : date de naissance, état civil /nationalité / lieu de naissance / N° Fax / adresse IP / profession - employeur / relation avec d’autres patients / N° NISS / N° eID / Mutualité et N° matricule / N° compte bancaire / Composition de famille / Comptes de réseaux sociaux, / Niveau d’éducation / ....

Données d’identification administratives 
Titulaire Mutuelle belge / Assurance complémentaire / Assurance UE / Assurance étrangère / date et procédure de rappel.
Si applicable chez vous, ajoutez : Code d’identification interne / Tiers payant applicable / Nomenclature pour patients hospitalisés / Nomenclature pour besoins particuliers / Date lecture e-ID / Historique des demandes d’assurabilité / Données administratives orthodontie / ….

Contacts
Médecin de famille (éventuellement) / Autres professionnels de santé (éventuellement).
Si applicable chez vous, ajoutez : Mutualité / Fournisseurs de dispositifs médicaux sur mesure / ….

Données médicales
Anamnèse médicale / Anamnèse dentaire / Pathologies orales / Lettres envoyées et reçues / motif de rendez-vous (RV) actuel / Plan de traitement / date du dernier RV / date du dernier rappel / historique des consultations / historique des RV manqués / historique (transcription) des communications téléphoniques /Traitements effectués (Date / N° dent / raison du traitement) / code nomenclature / matériaux et produits utilisés / remarques éventuelles / historique des envois (poste, e-mail, eHealth box ou remise en main propre) des rapports.

Si applicable chez vous, ajoutez : Statut buccal (Dents présentes et absentes et restaurations présentes) / N° couleur et teintier utilisé / photo visage ou intra-orale / Données orthodontiques / ….

Données financières
Estimation d’honoraires / Montant des honoraires (payés ou à recevoir).
Si applicable chez vous, ajoutez : Acomptes / Requêtes eTar / N° attestation / Montant du remboursement / Soins hors nomenclature / N° de communication structurée / Moyen de paiement / ….

 Annexe 1b.
Registre des Activités de Traitement des Données : traitement des données.
Pour les catégories de données ci-après,
- Traitements de patients
- Mutualités et Assurances
- Gestion des commandes de produits et d’équipements
- Comptabilité
- Administration du personnel
Si applicable chez vous, ajoutez :
- Commandes aux fournisseurs de dispositifs médicaux sur mesure.
- Caméra(s) de surveillance,
il faut satisfaire aux exigences suivantes :
- Finalité de la collecte et du traitement des données ?
- Les données concernent qui ?
- Quelles sont les données collectées ?
- A qui sont destinées les données ? Au sein de l’UE ou en dehors ?
- Délai de conservation des données ?
- Base(s) légale(s), juridique(s) ou réglementaire(s) de la collecte et du traitement des données ?
- Mesures de sécurité techniques et organisationnelles ?
- Où sont stockées les données ?
- Qui a accès à la base de données ?
 Annexe 2a.
Document de politique interne en matière de protection des données et de la vie privée (à l’attention des patients).
« Le dentiste Patrick Bogaerts, du Cabinet Endodontie PB, collecte, traite et partage les données personnelles conformément aux dispositions du Règlement Général sur la Protection des Données (UE) 2016/679.
Le Règlement Général sur la Protection des Données (RGPD), en vigueur depuis le 25 mai 2018, protège les personnes physiques à l’égard de la collecte et du traitement des données à caractère
personnel et à la libre circulation de ces données.
Vos données sont utilisées aux fins de création de dossiers médicodentaires, de facturation de soins, de prescriptions de médicaments et de soins, de demandes d’examens et de gestion de la continuité des soins éventuellement avec d’autres acteurs de santé.

Vous bénéficiez des droits de consultation et de rectification de vos données personnelles.

 Annexe 2b.
Document de politique interne en matière de protection des données et de la vie privée (à compléter par les collaborateurs – au sens large – du cabinet).
« Madame…………………………………………………………………………, assistante dentaire au sein du Cabinet XXXXXXXX, N° d’Entreprise…………………………..,
déclare par la présente avoir pris connaissance des obligations liées au RGPD et agir conformément aux dispositions reprises dans le Règlement Général sur la Protection
des Données (UE) 2016/679 ».

Date et signature 

 ²A noter que la recommandation de bonne pratique pour communiquer avec le laboratoire ou les fournisseurs d’implants est de le faire sous forme codée. De nombreux logiciels-métiers associent le patient à un numéro d’ordre. En effet, le nom du patient n’est pas une donnée pertinente, nécessaire à la confection d’une couronne ou à la commande d’un implant.