CNIL – Centre hospitalier régional X – MED-2024-056

Décision

🏷️ Nom:

Centre hospitalier régional X

🔢 Numéro:

MED-2024-056

📅 Date:

26 avril 2024

⚖️ Autorité:

CNIL ou équivalent

🌍 Pays:

France

🔗 Lien:

Décision non publiée

Contexte

Information non disponible.
Source: CNIL, Tables Informatique et Libertés v1.10

Apport(s)
Dossiers Patients Informatisés (DPI) - Politique de gestion des accès et d'habilitation des personnels - Application Extrait(s) pertinent(s)En application des articles L.1110-4 et L.1110-12 du code de la santé publique et de la Politique générale de sécurité des systèmes d’information de santé élaborée par l’Agence du Numérique en Santé (PGSSI-S), le responsable de traitement d’un dispositif de dossiers patients informatisés (DPI) doit mettre en place une politique d’habilitation rigoureuse et adaptée aux besoins de l’établissement, de sorte que chaque professionnel de santé et agent de l’établissement n’accède qu’aux dossiers dont il a à connaître. Cette politique d’habilitation doit combiner deux critères : d’une part, le métier exercé : ainsi, un agent responsable de l’accueil des patients dans la structure ne doit accéder qu’au dossier administratif du patient et non aux données médicales, alors qu’un médecin accèdera également aux données médicales ; d’autre part, la prise en compte de la notion d’équipe de soins, telle que définie par l’article L. 1110-12 du code de la santé publique précité, afin que seuls les professionnels effectivement impliqués dans la prise en charge d’un patient ou dans les soins qui lui sont prodigués puissent avoir accès aux informations couvertes par le secret médical. En outre, il est recommandé de prévoir des mesures de confidentialité renforcées pour certains dossiers particuliers (par exemple, les dossiers de patients provenant d’un établissement pénitentiaire). Les habilitations accordées peuvent être complétées d’un mode « bris de glace », défini par le référentiel d’authentification des acteurs de santé de la PGSSI-S comme « l’attribution temporaire et exceptionnelle de droits étendus en situation de crise », permettant aux agents administratifs et professionnels de santé, en cas d’urgence, d’avoir accès à d’autres données pour tout patient. L’utilisation de ce mode « bris de glace » doit être particulièrement bien tracé et surveillé afin que toute personne y ayant recours puisse être identifiée et justifier des conditions de son utilisation. Le paramétrage d’un DPI ne permettant pas de limiter le recours en mode « bris de glace » aux situations exceptionnelles est susceptible de constituer un manquement à l’article 32 du RGPD. Article(s) du RGPD Article 32 – Sécurité du traitement Thème(s)Authentification Fait référence à Autres informations

Apport(s)

Dossiers Patients Informatisés (DPI) - Politique de gestion des accès et d'habilitation des personnels - Application

Extrait(s) pertinent(s)En application des articles L.1110-4 et L.1110-12 du code de la santé publique et de la Politique générale de sécurité des systèmes d’information de santé élaborée par l’Agence du Numérique en Santé (PGSSI-S), le responsable de traitement d’un dispositif de dossiers patients informatisés (DPI) doit mettre en place une politique d’habilitation rigoureuse et adaptée aux besoins de l’établissement, de sorte que chaque professionnel de santé et agent de l’établissement n’accède qu’aux dossiers dont il a à connaître. Cette politique d’habilitation doit combiner deux critères :
d’une part, le métier exercé : ainsi, un agent responsable de l’accueil des patients dans la structure ne doit accéder qu’au dossier administratif du patient et non aux données médicales, alors qu’un médecin accèdera également aux données médicales ;
d’autre part, la prise en compte de la notion d’équipe de soins, telle que définie par l’article L. 1110-12 du code de la santé publique précité, afin que seuls les professionnels effectivement impliqués dans la prise en charge d’un patient ou dans les soins qui lui sont prodigués puissent avoir accès aux informations couvertes par le secret médical.

En outre, il est recommandé de prévoir des mesures de confidentialité renforcées pour certains dossiers particuliers (par exemple, les dossiers de patients provenant d’un établissement pénitentiaire).

Les habilitations accordées peuvent être complétées d’un mode « bris de glace », défini par le référentiel d’authentification des acteurs de santé de la PGSSI-S comme « l’attribution temporaire et exceptionnelle de droits étendus en situation de crise », permettant aux agents administratifs et professionnels de santé, en cas d’urgence, d’avoir accès à d’autres données pour tout patient. L’utilisation de ce mode « bris de glace » doit être particulièrement bien tracé et surveillé afin que toute personne y ayant recours puisse être identifiée et justifier des conditions de son utilisation.

Le paramétrage d’un DPI ne permettant pas de limiter le recours en mode « bris de glace » aux situations exceptionnelles est susceptible de constituer un manquement à l’article 32 du RGPD.
Article(s) du RGPD Article 32 – Sécurité du traitement
Thème(s)Authentification
Fait référence à
Autres informations

Références

Cette décision cite...

Cette décision est citée par...

Signaler une erreur / Faire une suggestion