Responsabilité du médecin généraliste à l'heure de l'informatique - SSMG
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Responsabilité du médecin
généraliste à l’heure de
l’informatique
Réflexions sur la sécurisation des données, la
confidentialité, le cloud, le consentement du patient
Dr Ir Etienne Stanus
CISO / DPO Institut Jules Bordet
Etienne.stanus@bordet.be
29/09/2018 SSMG « ETHIQUEZ - nous… » 1
Le RGPD, nouveau Bug de l'An 2000 ou belle
opportunité ?
• FAQ
• Quelles mesures prendre?
• Comment et jusqu'à quel point est-on impacté ?...
• Ce qui est certain:
• fait le bonheur ( en même temps que la fortune ?)
• de certains avocats
• consultants de tous poils
• Bonne raison pour mettre de l’ordre dans les données et processus de
traitement
• Dans la pratique:
• Tant les entreprises que les indépendants / profession libérales sont quelque
peu livrés à eux-mêmes.
• La Belgique n’a publié ses lois précisant certains points que le 5/9 !
• En fait, il faudra attendre de rencontrer des manquements manifestes pour
voir les jurisprudences
29/09/2018 SSMG « ETHIQUEZ - nous… » 2
29/09/2018 SSMG « ETHIQUEZ - nous… » 3
En pratique: Guide CNIL/CMON à « belgiciser »
https://www.cnil.fr/fr/le-rgpd-applique-au-secteur-de-la-sante
• GDPR
• Obligation de tenir un registre des (processus) de traitement de données
• Obligation de prendre des mesures de sécurité raisonnables en fonction des
risques
• Sous-traitances cf
https://www.bordet.be/fichiers_web/Logistique/COMPLEMENT_RGPD.pdf
• Loi du 30/7/2018:
Art 9 : mesures de protection supplémentaires en cas de traitements
de données génétiques, biométriques ou de santé.
• En pratique: le responsable du traitement doit veiller à désigner les
catégories de personnes ayant accès aux données, avec une description
précise de leur fonction par rapport aux traitements opérés.
29/09/2018 SSMG « ETHIQUEZ - nous… » 4
Consentement
• Actes médicaux / Réseaux de santé / DMG / Dossier pharmaceutique
partagé, …
• Réseaux de santé, donner l’autorisation =
• partage avec de nombreuses parties
• Vaut également pour des prestataires futurs
• En connaissance de cause ?
• Enquête Test achat 2017:
• 1% se sont enregistré en ligne
• 96.4 enregistré via hôpitaux ou généraliste
• 37 % disent avoir donné leur consentement
• Dont 87 % n’ont jamais été voir les informations publiées les concernant
• 36 % disent ne pas savoir si elles ont consenti !
29/09/2018 SSMG « ETHIQUEZ - nous… » 5
RGPD – Droits pouvant être exercés par les
personnes concernées en fonction de la base légale
Source: Virginie Grégoire ULB
Droit de Droit à Droit à la Droit à la
Droit d’accès Droit d’opposition
rectification l’effacement limitation portabilité
droit de retirer le
Consentement X X X X X
consentement
Contrat X X X X X
Obligation légale X X X
Intérêts vitaux X X X X
Mission d’intérêt
public / exercice de X X X X
l’autorité publique
Intérêt légitime X X X X X
Toujours droit
d’opposition
contre une
décision
individuelle
automatisée
(profilage)
29/09/2018 SSMG « ETHIQUEZ - nous… » 6
Risque
• ISO 31000:2009 – Management du risque — Principes et lignes
directrices:
« Le risque est l’effet de l’incertitude sur l'atteinte des objectifs »
• ISO/CEI Guide 73:2002 X50-251: Management du risque –Vocabulaire
« Le risque est la combinaison de probabilité d’évènement et de sa
conséquence »
29/09/2018 Source cnil-pia-1-fr-methode.pdf
SSMG « ETHIQUEZ - nous… » sur www.cnil.fr 7
Cloud Forme particulière de gérance de l'informatique • IaaS (infrastructure as a service) accès à un parc informatique virtualisé AWS, Microsoft Azure, Google Cloud Platform, OVH, Orange Cloud for Business... • PaaS (platform as a service) le système d'exploitation et les outils d'infrastructure sont sous la responsabilité du fournisseur. Le consommateur a le contrôle des applications et peut ajouter ses propres outils. • SaaS (software as a service) applications mises à la disposition des consommateurs. 29/09/2018 SSMG « ETHIQUEZ - nous… » 8
Cloud • Data as a service: accès à un dépôt de données via une interface fournie par le fournisseur • Business process as a service (BPaaS): externalisation d’une procédure d'entreprise suffisamment industrialisée • Desktop as a service (DaaS) • Network as a service (NaaS) • Storage as a service (STaaS) : SharePoint, Amazon S3, Dropbox, Google Drive, HubiC, iCloud, Ubuntu One, Windows Live Mesh, Wuala… • Communication as a service (CaaS): fourniture de solutions de communication substituant aux matériels et serveurs locaux (PABX, ACD, SVI…) 29/09/2018 SSMG « ETHIQUEZ - nous… » 9
Modèle d'évaluation de sécurité cloud
https://www.smalsresearch.be/tools/cloud-security-model-fr/
Est-ce suffisant ?
• Récupération de vos données en
cas de faillite, de changement
de provider, …
• Garantie institutionnelle
• France: Hébergeurs agréés de
données de santé
http://esante.gouv.fr/services/ref
erentiels/securite/hebergeurs-
agrees
• Belgique:
• Protection réelle des accès
29/09/2018 SSMG « ETHIQUEZ - nous… » 10Capture d’écran https://www.dobcomed.com/fr/pacsonweb/soluti ons/acces-patient-de-pacsonweb 29/09/2018 SSMG « ETHIQUEZ - nous… » 11
Objets connectés
Objets
dont la vocation première n'est pas
d'être
• Un périphérique informatique
• Une interface d'accès au web,
mais auxquels l'ajout d'une
connexion réseau (Internet et/ou
Intranet) permet d'apporter une
valeur supplémentaire en termes de
fonctionnalité, d'information,
d'interaction ...
29/09/2018 SSMG « ETHIQUEZ - nous… » 12Objets connectés
En pratique dans le secteur santé:
• Building automation
• Systèmes de logistique, inventaire
et prévention des risques
• Surveillance, sécurité, soins
médicaux intra-muros,
Et …
• Soins, surveillance médicale extra
Source image: http://www.brunet-
muros saunier.com/fr/projets/1272-
• App patient et portail(s) patients nouvel_institut_jules_bordet.html
29/09/2018 SSMG « ETHIQUEZ - nous… » 13Analyse de risque: probabilité d’occurence
• Dans Homeland, assassinat à distance via pacemaker déréglé par un pirate.
• Fiction: mais la majorité des appareils connectés de ce type d’équipement intègre un faible
niveau de sécurité, voire une absence totale de mécanismes de protection => …
• Jay Radcliffe, 2011: connu pour avoir démontré qu’il était possible de pirater une
pompe à insuline (la sienne en l’occurrence) et d'en changer les dosages.
Prise de conscience par les industriels du secteur & impositions réglementaires
sur les dispositifs médicaux
Belgique: cf https://www.afmps.be/fr/humain/produits_de_sante/dispositifs_medicaux
France: décret 2016-1214 du 12/9/2016,
définit les modalités de signalement des incidents et vulnérabilités
Mise en place de dispositifs d’alerte
Exemple avril 2017: avis de sécurité sur une série d’autolaveurs-désinfecteurs
o Plan d’action: analyse de risque, cloisonnement, surveillance et correctif par la firme
Pas de comportement anormal observé
29/09/2018 SSMG « ETHIQUEZ - nous… » 14Besoins versus historique de la technologie et connectivité des objets et apps 29/09/2018 SSMG « ETHIQUEZ - nous… » 15
Exemple d’appareil médical connecté ou connectable chez le patient Captures partielles d’écrans du site web de Resmed 29/09/2018 SSMG « ETHIQUEZ - nous… » 16
Exemples d’app « santé » Extraits des sites Apple et Google 29/09/2018 SSMG « ETHIQUEZ - nous… » 17
Après les apps, le bracelet connecté à votre assurance … 29/09/2018 SSMG « ETHIQUEZ - nous… » 18
Avec un peu de publicité en prime … 29/09/2018 SSMG « ETHIQUEZ - nous… » 19
Cybersécurité des dispositifs médicaux
Contexte réglementaire européens
• Directives:
• 93/42/CE relative aux dispositifs médicaux,
• 98/79/CE relative aux dispositifs médicaux de diagnostic in vitro,
• 90/385/CEE relative aux dispositifs médicaux implantables actifs.
• 2017/745/CE
• Remplace ou amende les précédentes
• Introduit la notion de dispositif médical «purement logiciel »
• identifie la sécurité de l’information comme un des éléments des exigences essentielles de
sécurité et de performance des dispositifs médicaux
• Normes
• EN 62304 :2006 processus de cycle de vie d’un logiciel de dispositifs médicaux
requiert des exigences de sureté.
• stratégie de vérification (test unitaire, vérification de l’intégration, essais sur le logiciel) permettant de
vérifier l’efficacité des exigences de sécurité/sureté du dispositif médical.
• processus de gestion des anomalies logicielles également approprié pour le suivi des bugs relatifs à la
cybersécurité du logiciel.
• EN 14971 :2012 gestion des risques d’un dispositif médical
• basé sur une identification des situations dangereuses, une évaluation du risque (probabilité, gravité), la
mise en place d’actions de maîtrise du risque et une évaluation du risque résiduel.
29/09/2018 SSMG « ETHIQUEZ - nous… » 20Cybersécurité des dispositifs médicaux
Contexte réglementaire américain
Food and Drug Administration guides
• "Cyber security for Networked Medical Devices Containing Off-The
Shelf (OTS) Software".
• confirme la responsabilité du fabricant en ce qui concerne la cybersécurité
de son dispositif médical,
• confirme également que les processus de retour d’informations et d’actions
correctives sont applicables dans ce contexte.
• "Content of Premarket Submissions for Management of
Cybersecurity in Medical Devices" (2/10/2014)
• confirme l’approche intégrée en termes de conception et développement
ainsi qu’en termes de gestion des risques.
• développe une stratégie basée:
• sur l’identification des actifs, des menaces et des vulnérabilités,
• sur l’évaluation des impacts sur les fonctionnalités du dispositif médical et sur
l’utilisateur final.
• Par ailleurs, il affine l’évaluation des probabilités en tenant compte du fait
que la vulnérabilité doit être exploitée.
29/09/2018 SSMG « ETHIQUEZ - nous… » 21Télémédecine • Fait partie des nouvelles formes de dispensation de soins qui sont à l'étude dans le cadre du point d'action 19 du Plan d'actions e-Santé 2015-2018 rubrique mobile health • vise tant les téléconsultations ou le télémonitoring que le recours à des apps ou dispositifs permettant le soutien du patient ou la collecte d'informations relatives à sa santé. 29/09/2018 SSMG « ETHIQUEZ - nous… » 22
Télémédecine
• Pas (encore) reprise
• dans la réglementation belge relative à la santé,
• pas plus que dans le nomenclature des soins de santé.
• « Le dossier est actuellement à l’étude. Le but est d’élaborer des
critères et des règles claires afin que la santé mobile trouve une place
structurelle dans le secteur des soins de santé. Doivent encore être
discutés des aspects comme la sécurité, le respect de la vie privée, les
modes de rémunération, etc. »
Source: https://www.numerikare.be/fr/actualites/e-health/telemedecine-nbsp-
la-france-rembourse-la-belgique-attend-encore.html
29/09/2018 SSMG « ETHIQUEZ - nous… » 23Personal Health Viewer
Ouverture du dossier au patient
(masante.belgique.be)
• «la mise à disposition de données (…) relève de la responsabilité des
sources» (vers lesquelles conduit MaSanté).
• tout citoyen ne verra pas les mêmes choses via le PHV, car dépend de
• possibilité technique de la source de montrer ces données au public
• la politique d’un hub, coffre-fort, hôpital, département… de communiquer ou non ces données
aux patients»
• A l’avenir, devraient s’y arrimer
• les plates-formes numériques de l’OA du patient,
• les informations liées à son traitement médicamenteux (e-prescriptions, schéma de
médication)
• les données relatives à la vaccination, aux dépistages...
• pression à la production de sumehrs qui risque de s’exercer via la population,
puisqu’elle est poussée à en parler à son médecin si 1 document manque
• «Les prestataires de soins concernés sont responsables de la qualité des
données enregistrées»,
29/09/2018 SSMG « ETHIQUEZ - nous… » 24Quelques risques identifiés
• Réseaux de santé / masanté.be:
• non-exhaustivité des données
• compréhension / évolution du langage médical
• Sujet de données
• Déstabilisation psychologique
• Discrimination
• Menaces
• Agression
• Relation intra familiale
• Perte d’accès à des services
• Perte d’emploi
• Publicité ciblée
• Phishing
• …
• Télémédecine
• Man in the middle (personne présente hors du champ de la caméra ..)
• Enregistrement
• …
29/09/2018 SSMG « ETHIQUEZ - nous… » 25Dispositif médical connecté, étude
d’impact sur la vie privée
Sources: https://www.cnil.fr/sites/default/files/atoms/files/cnil-pia-captoo-fr.pdf
https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil
29/09/2018 SSMG « ETHIQUEZ - nous… » 26Objet connecté, étude d’impact sur la
vie privée
Source: cnil-pia-piaf-connectedobjects-fr.pdf
https://www.cnil.fr/fr/PIA-privacy-impact-assessment
29/09/2018 SSMG « ETHIQUEZ - nous… » 27Dispositif médical connecté, étude d’impact
sur la vie privée
Sources: https://www.cnil.fr/sites/default/files/atoms/files/cnil-pia-captoo-fr.pdf
https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil
29/09/2018 SSMG « ETHIQUEZ - nous… » 28Perspectives d’avenir cybersécurité et santé
Créer les conditions
de la confiance
dans le monde digital
Il appartient à chacun d’évaluer sa
propre balance risque bénéfice
• Politique d’(in)formation du
citoyen
• Usage raisonné de la limitation
Balance de précision de type des droits du sujet de données
Trébuchet - Conservatoire du que permet le GDPR
Patrimoine Hospitalier de Rennes
Source: http://www.cphr.fr/conservatoire/collections/patrimoine-
medical/autres-disciplines/biologie-medicale/balance-de-precision-de-
type-trebuchet-2/
29/09/2018 SSMG « ETHIQUEZ - nous… » 29Vous pouvez aussi lire
