Le RGPD dans ma pratique de mdecin gnraliste

Le RGPD dans ma pratique de médecin généraliste 14/10/2019 Jean-Marc Van Gyseghem, Avocat associé (www. rawlingsgiles. be) et DPO d’Abrumet (www. reseausantebruxellois. be)

« Il faut se réserver une arrière-boutique toute nôtre, toute franche, en laquelle nous établissons notre vraie liberté et principale retraite et solitude » Montaigne (1533 -1592) Le RGPD dans ma pratique de médecin généraliste - Bruxelles, 14. 10. 2019 • 2

3 Plan 1. 2. 3. 4. 5. Introduction Quelques concepts Quelle sécurité? Faut-il un registre d’activités de traitement? Faut-il un Data protection Officer? 6. 7. 8. 9. 10. 11. Faut-il effectuer une analyse d’impact? Quid en cas de transfert des données? Droits de la personne concernée? Faut-il un document d’information? Le Réseau Santé Bruxellois Le RGPD, le Réseau Santé Bruxellois et le médecin généraliste Le RGPD dans ma pratique de médecin généraliste - Bruxelles, 14. 10. 2019 • 3

4 Introduction • Le règlement est identique pour toute l’Union européenne; • Le RGPD ne bouleverse pas fondamentalement la protection des données; • Le RGPD renforce des aspects dont la sécurité, l’accountability, etc; • Les acteurs doivent analyser leur situation avec vision conjointe juridique et informatique. Le RGPD dans ma pratique de médecin généraliste - Bruxelles, 14. 10. 2019 • 4

5 Introduction • • Transparence; Loyauté; Accountability; Minimisation: Données anonymes Données pseudonymisées (codées) Données non pseudonymisées Le RGPD dans ma pratique de médecin généraliste - Bruxelles, 14. 10. 2019 • 5

Plan 1. 2. 3. 4. 5. Introduction Quelques concepts Quelle sécurité? Faut-il un registre d’activités de traitement? Faut-il un Data protection Officer? 6. 7. 8. 9. 10. 11. Faut-il effectuer une analyse d’impact? Quid en cas de transfert des données? Droits de la personne concernée? Faut-il un document d’information? Le Réseau Santé Bruxellois Le RGPD, le Réseau Santé Bruxellois et le médecin généraliste Le RGPD dans ma pratique de médecin généraliste - Bruxelles, 14. 10. 2019 • 6

Quelques concepts • Données à caractère personnel: Toute information Personne physique Identifiée ou identifiable Le RGPD dans ma pratique de médecin généraliste - Bruxelles, 14. 10. 2019 • 7

Quelques concepts • Les différentes catégories de données personnelles: . . Identité sociale Caractéristiq ues physiques . Online-ID, IP-adres Localisation . Données médicales . Données économiques. Identité culturelle © Alain Brisy, Naxos IT Le RGPD dans ma pratique de médecin généraliste - Bruxelles, 14. 10. 2019 • 8

Quelques concepts Opinions politiques Données biométriques, génétiques . . Physique Identité Sociale . Identifiant en ligne, adresse IP Localisation Dossier médical. . Economique Médicale. Cultural identity Origine raciale ou ethnique Certaines données à caractère personnel sont « sensibles » © Alain Brisy, Naxos IT • 9

Quelques concepts • Traitement Toute opération Données à caractère personnel Moyens automatisés ou non Le RGPD dans ma pratique de médecin généraliste - Bruxelles, 14. 10. 2019 • 10

Quelques concepts • Traitement Collecte Diffusion Transfert Enregistrement Stockage Effacement Utilisation Consultation Modification Le “Traitement de données” à caractère personnel est l’opération ou ensemble d’opérations appliquée(s) à toute(s) donnée(s) se rapportant à une personne Identifiée ou identifiable Mais aussi la divulgation, l’anonymisation, la destruction…. © Alain Brisy, Naxos IT • 11

Quelques concepts • Responsable de traitement: • Caractéristiques (article 4, 7 du GDPR): • personne physique ou morale, l'autorité publique, le service ou un autre organisme • seul ou conjointement avec d'autres, détermine • • les finalités (pourquoi? ) et les moyens (comment? ) du traitement Le RGPD dans ma pratique de médecin généraliste - Bruxelles, 14. 10. 2019 • 12

Quelques concepts • Sous-traitant: • Caractéristiques (article 4, 8 du GDPR): • personne physique ou morale, l'autorité publique, le service ou un autre organisme • traite des données à caractère personnel • pour le compte et sous les instruction du responsable du traitement • Critères de choix (article 28, 1 du GDPR) : • Garanties suffisantes: • • mise en œuvre de mesures techniques et organisationnelles appropriées; traitement répond aux exigences du Règlement et garantit la protection des droits de la personne concernée; • Obligations (article 28, 3 du GDPR) : • Contrat de sous-traitance: • • • Devoirs du sous-traitant; Sous-sous-traitance; Etc • Garantir le « non traitement » des données pour une autre finalité. Le RGPD dans ma pratique de médecin généraliste - Bruxelles, 14. 10. 2019 • 13

Plan 1. 2. 3. 4. 5. Introduction Quelques concepts Quelle sécurité? Faut-il un registre d’activités de traitement? Faut-il un Data protection Officer? 6. 7. 8. 9. 10. 11. Faut-il effectuer une analyse d’impact? Quid en cas de transfert des données? Droits de la personne concernée? Faut-il un document d’information? Le Réseau Santé Bruxellois Le RGPD, le Réseau Santé Bruxellois et le médecin généraliste Le RGPD dans ma pratique de médecin généraliste - Bruxelles, 14. 10. 2019 • 14

Quelle sécurité? Nature Volume gravité Probabilité Mesures organisationnelles et techniques de sécurité Traitement Critères Détermination du risque Sécurité appropriée Le RGPD dans ma pratique de médecin généraliste - Bruxelles, 14. 10. 2019 • 15

Quelle sécurité? Mesures organisationnelles: * Information des personnes traitant les données; * Structure mise en place pour éviter: * Perte de données; * Accès non autorisé; * Etc S É C U R I T E Mesures techniques: * Gestion des accès; * pérennité des données (contre l’effacement, détérioration, etc); * procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement; * Etc Le RGPD dans ma pratique de médecin généraliste - Bruxelles, 14. 10. 2019 • 16

Quelle sécurité? • Violation de données/data breach (articles 33 et ss. ): « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données; » (article 4. 12) + indisponibilité des données Le RGPD dans ma pratique de médecin généraliste - Bruxelles, 14. 10. 2019 • 17

Quelle sécurité? • Sécurité et confidentialité: • Principe de notification: • A l’Autorité de protection des données (APD); • A la personne concernée • Exception: la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes concernées. • Registre d’incidents • Notification à l’Autorité de protection des données (article 33): • • Délais: 72 heures après connaissance; Si après 72 heures: il faut motiver le retard Possibilité de communiquer les informations de manière échelonnée • Notification à la personne concernée (article 34): • meilleurs délais • Exceptions : • mesures techniques, • Mesures ultérieurs Le RGPD dans ma pratique de médecin généraliste - Bruxelles, 14. 10. 2019 • 18

Quelle sécurité? Laptop volé OUI Le disque est encrypté? NON ET Contient p. ex. la base de donnée des demandeurs Notification de brèche © Alain Brisy, Naxos IT • 19

2 0 Quelle sécurité? Vous avez envoyé un email contenant des données à caractère personnel à une adresse erronée ? Vous avez été victime de phishing (hameçonnage) ? Votre PC a été volé ou utilisé par un intrus ? Avez-vous envoyé des données à caractère personnel en attachement sans encryption ? Le site web de votre entreprise n’est plus accessible/a été hacké? Ces incidents de sécurité sont des exemples de brèches ou brèches potentielles de données, elles doivent être rapportées sans délai ! © Alain Brisy, Naxos IT Le RGPD dans ma pratique de médecin généraliste - Bruxelles, 14. 10. 2019 • 20

Plan 1. 2. 3. 4. 5. Introduction Quelques concepts Quelle sécurité? Faut-il un registre d’activités de traitement? Faut-il un Data protection Officer? 6. 7. 8. 9. 10. 11. Faut-il effectuer une analyse d’impact? Quid en cas de transfert des données? Droits de la personne concernée? Faut-il un document d’information? Le Réseau Santé Bruxellois Le RGPD, le Réseau Santé Bruxellois et le médecin généraliste Le RGPD dans ma pratique de médecin généraliste - Bruxelles, 14. 10. 2019 • 21

Faut-il un registre des activités de traitement? • Obligation pour le responsable de traitement de tenir un registre des activités de traitement • Exception: entreprise ou organisation de moins de 250 employés; • Exception à l’exception: traitement effectué "est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s'il n'est pas occasionnel ou s'il porte notamment sur les catégories particulières de données visées à l'article 9, paragraphe 1, ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10" • Exemples: e-Santé ou Cnil Le RGPD dans ma pratique de médecin généraliste - Bruxelles, 14. 10. 2019 • 22

Plan 1. 2. 3. 4. 5. Introduction Quelques concepts Quelle sécurité? Faut-il un registre d’activités de traitement? Faut-il un Data protection Officer? 6. 7. 8. 9. 10. 11. Faut-il effectuer une analyse d’impact? Quid en cas de transfert des données? Droits de la personne concernée? Faut-il un document d’information? Le Réseau Santé Bruxellois Le RGPD, le Réseau Santé Bruxellois et le médecin généraliste Le RGPD dans ma pratique de médecin généraliste - Bruxelles, 14. 10. 2019 • 23

Faut-il un Data Protection Officer? • les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; le traitement de données fait partie intégrante de l’activité du responsable du traitement ou du sous-traitant. Régulier: • continu ou se produisant à intervalles réguliers au cours d’une période donnée; • récurrent ou se répétant à des moments fixes; • ayant lieu de manière constante ou périodique. Systématique: • se produisant conformément à un système; • préétabli, organisé ou méthodique; • ayant lieu dans le cadre d’un programme général de collecte de données; • effectué dans le cadre d’une stratégie. wp 243 Facteurs d’analyse: • le nombre de personnes concernées, soit en valeur absolue, soit en valeur relative par rapport à la population concernée; • le volume de données et/ou le spectre des données traitées; • la durée, ou la permanence, des activités de traitement des données; • l’étendue géographique de l’activité de traitement. Le RGPD dans ma pratique de médecin généraliste - Bruxelles, 14. 10. 2019 • 24

Faut-il un Data Protection Officer? • les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l'article 9 ou et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10. Analyse factuelle WP 243 art. 29, Guidelines on Data Protection Officers (‘DPOs’), 13. 12. 2016 Attention: • aux maisons médicales. • aux grosses structures. Le RGPD dans ma pratique de médecin généraliste - Bruxelles, 14. 10. 2019 • 25

Plan 1. 2. 3. 4. 5. Introduction Quelques concepts Quelle sécurité? Faut-il un registre d’activités de traitement? Faut-il un Data protection Officer? 6. 7. 8. 9. 10. 11. Faut-il effectuer une analyse d’impact? Quid en cas de transfert des données? Droits de la personne concernée? Faut-il un document d’information? Le Réseau Santé Bruxellois Le RGPD, le Réseau Santé Bruxellois et le médecin généraliste Le RGPD dans ma pratique de médecin généraliste - Bruxelles, 14. 10. 2019 • 26

Faut-il effectuer une analyse d’impact? • Analyse d’impact (article 35 + Groupe 29, WP 248): • Quand? • Risque élevé pour les droits et libertés des personnes physiques; • (…) • le traitement à grande échelle de catégories particulières de données visées à l’article 9, paragraphe 1, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 [du RGPD] • (…) Le RGPD dans ma pratique de médecin généraliste - Bruxelles, 14. 10. 2019 • 27

Faut-il effectuer une analyse d’impact? • • Mais attention à l’utilisation d’un logiciel de gestion de clientèle en commun par plusieurs médecins. En cas de doute, effectuons une analyse d’impact! Le RGPD dans ma pratique de médecin généraliste - Bruxelles, 14. 10. 2019 • 28

Plan 1. 2. 3. 4. 5. Introduction Quelques concepts Quelle sécurité? Faut-il un registre d’activités de traitement? Faut-il un Data protection Officer? 6. 7. 8. 9. 10. 11. Faut-il effectuer une analyse d’impact? Quid en cas de transfert des données? Droits de la personne concernée? Faut-il un document d’information? Le Réseau Santé Bruxellois Le RGPD, le Réseau Santé Bruxellois et le médecin généraliste Le RGPD dans ma pratique de médecin généraliste - Bruxelles, 14. 10. 2019 • 29

Quid en cas de transfert de données? • Transfert des données: • Toujours évaluer: • La nécessité du transfert (base légale, etc ); • Les données nécessaires; • Secret professionnel s’applique toujours. Le RGPD dans ma pratique de médecin généraliste - Bruxelles, 14. 10. 2019 • 30

Plan 1. 2. 3. 4. 5. Introduction Quelques concepts Quelle sécurité? Faut-il un registre d’activités de traitement? Faut-il un Data protection Officer? 6. 7. 8. 9. 10. Faut-il effectuer une analyse d’impact? Quid en cas de transfert des données? Droits de la personne concernée? Le Réseau Santé Bruxellois Le RGPD, le Réseau Santé Bruxellois et le médecin généraliste Le RGPD dans ma pratique de médecin généraliste - Bruxelles, 14. 10. 2019 • 31

Droits de la personne concernée? • • Attention au secret professionnel Attention au délai de conservation des données (effacement) Attention aux règles d’accès issues de la loi relative aux droits du patient Etc Le RGPD dans ma pratique de médecin généraliste - Bruxelles, 14. 10. 2019 • 32

Plan 1. 2. 3. 4. 5. Introduction Quelques concepts Quelle sécurité? Faut-il un registre d’activités de traitement? Faut-il un Data protection Officer? 6. 7. 8. 9. 10. 11. Faut-il effectuer une analyse d’impact? Quid en cas de transfert des données? Droits de la personne concernée? Faut-il un document d’information? Le Réseau Santé Bruxellois Le RGPD, le Réseau Santé Bruxellois et le médecin généraliste Le RGPD dans ma pratique de médecin généraliste - Bruxelles, 14. 10. 2019 • 33

Faut-il un document d’information? • Obligation pour le responsable du traitement d’informer la personne concernée: • • De la finalité; Des données traitées; De la source des données; Du transfert de données; Des sous-traitants; etc Exemple Le RGPD dans ma pratique de médecin généraliste - Bruxelles, 14. 10. 2019 • 34

Plan 1. 2. 3. 4. 5. Introduction Quelques concepts Quelle sécurité? Faut-il un registre d’activités de traitement? Faut-il un Data protection Officer? 6. 7. 8. 9. 10. 11. Faut-il effectuer une analyse d’impact? Quid en cas de transfert des données? Droits de la personne concernée? Faut-il un document d’information? Le Réseau Santé Bruxellois Le RGPD, le Réseau Santé Bruxellois et le médecin généraliste Le RGPD dans ma pratique de médecin généraliste - Bruxelles, 14. 10. 2019 • 35

Le Réseau Santé Bruxellois • Un réseau par et pour les Médecins depuis 2012: • Le Réseau Santé Bruxellois a été créé par et pour les institutions hospitalières et les Médecins généralistes qui souhaitaient une meilleure collaboration autour du patient • 100% opéré par le terrain • généralistes – hospitaliers Le RGPD dans ma pratique de médecin généraliste - Bruxelles, 14. 10. 2019 • 36

20 15 15 4 /2 /1 5 01 5 2/ 1/ 20 4/ 16 1/ 20 6/ 16 1/ 20 8/ 16 1/ 2 10 016 /1 /2 12 016 /1 /2 0 2/ 16 1/ 20 4/ 17 1/ 20 6/ 17 1/ 20 8/ 17 1/ 2 10 017 /1 /2 12 017 /1 /2 0 2/ 17 1/ 20 4/ 18 1/ 20 6/ 18 1/ 20 8/ 18 1/ 2 10 018 /1 /2 12 018 /1 /2 0 2/ 18 1/ 20 4/ 19 1/ 20 6/ 19 1/ 20 8/ 19 1/ 20 19 01 /2 /1 12 10 1/ 8/ 20 1/ 6/ 20 1/ 4/ 20 1/ 01 4 14 14 01 /2 /1 2/ 12 10 20 20 1/ 8/ 1/ 6/ Total published documents 35, 000 31, 845, 466 30, 000 25, 000 20, 000 15, 000 10, 000 5, 000 0 Le RGPD dans ma pratique de médecin généraliste - Bruxelles, 14. 10. 2019 • 37

Total of published documents per hospital per number of bed Nbr of documents consulted per hospital over the last month per bed 2, 646 HUDERF Iris Sud 3 7, 960 Institut Jules Bordet Clinique Saint-Jean 6 1, 636 CHU Brugmann Cliniques de l'Europe 8 2, 493 CHU St-Pierre ERASME 7 2, 093 ERASME UZ Brussel 8 3, 716 Clinique Saint-Jean CHU St-Pierre 11 3, 249 UZ Brussel CHU Brugmann 9 4, 144 Cliniques de l'Europe CHIREC 12 6, 323 Iris Sud Institut Jules Bordet 58 8, 869 CHIREC 29 Cliniques universitaires Saint-Luc 9, 075 Cliniques universitaires Saint-Luc 0 0 2, 000 4, 000 6, 000 8, 000 10 20 30 40 50 60 70 10, 000 Le RGPD dans ma pratique de médecin généraliste - Bruxelles, 14. 10. 2019 • 38

Réseau Santé Bruxellois • Les destinataires: • Les Médecins; • Depuis Janvier 2019: les patients peuvent accéder à une partie des documents partagés • A la demande des patients • Lorsque les institutions et/ou lorsque les auteurs de documents le permettent (décision de chaque institution/MG) • Bientôt: d’autres prestataires de la première ligne, pour une meilleure continuité des soins au patient • A votre demande: décision prise en CA • Financé par les pouvoir publics pour près de 2 millions d’euros • Selon une “matrice d’accès” qui régit strictement les accès en fonction des besoins Le RGPD dans ma pratique de médecin généraliste - Bruxelles, 14. 10. 2019 • 39

Réseau Santé Bruxellois • Ojectifs • L’échange de documents dans le cadre de la continuité des soins • La connexion s’opère: • Au travers du logiciel métier • Logiciel hospitalier • Dossier medical informatisé (DMI) des généralistes • Le RSB n’en est, en quelque sorte, qu’une extension pour des documents extra-muros qui concernent le patient que le médecin a en face de lui ! • Eventuellement, en dehors du cabinet, via le portail professionnel. Le RGPD dans ma pratique de médecin généraliste - Bruxelles, 14. 10. 2019 • 40

Réseau Santé Bruxellois • Caractéristiques • Consentement: • Du professionnel de la santé. • Du patient. Confirmé dans le projet de loi relatif à la qualité de la pratique des soins de santé fixe les éléments minimum devant être repris (article 34) • Dossier partagé: • Pas tout le dossier médical; • Information échangée entre acteurs de santé; • Documents partagés restent hébergés chez le médecin ou sur Brusafe qui sert de lieu d’hébergement. • La totalité de documents se trouvent chez le médecin (sous forme exhaustive, imprimable…) • Des extraits PDF sont disponibles sur le Réseau Santé Bruxellois Le RGPD dans ma pratique de médecin généraliste - Bruxelles, 14. 10. 2019 • 41

Réseau Santé Bruxellois • Il ne s’agit pas d’un dossier santé exhaustif !! • Sur une base volontaire: • Des patients • Des Médecins Le Réseau Santé Bruxellois ne remplace jamais un examen approfondi du patient par le médecin! Le RGPD dans ma pratique de médecin généraliste - Bruxelles, 14. 10. 2019 • 42

Le Réseau Santé Bruxellois • Règles d’accès nationales = matrice d’accès • Définies en concertation au sein du GT Accès de la Plateforme e. Health: travaux accessibles publiquement • Approbation en Comité de Concertation des utilisateurs de la Plateforme e. Health • Validé parle Comité de Gestion de la Plateforme e. Health: c’est national et public N. B. : Chaque hub définit la durée du lien thérapeutique variable selon besoins des profession (court pour urgentiste – long pour généraliste) Le RGPD dans ma pratique de médecin généraliste - Bruxelles, 14. 10. 2019 • 43

Le réseau Santé Bruxellois Matrice d’accès fédérale approuvée par le Comité de gestion de la Plate-forme e. Health 24 mai 2017: Le RGPD dans ma pratique de médecin généraliste - Bruxelles, 14. 10. 2019 • 44

Le Réseau Santé Bruxellois • Matrice d’accès Réseau Santé Bruxellois et RSW très légèrement élargie, par décision des médecins et hôpitaux de la Fratem: • L’accès « partiel » au sumehr signifie plus précisément l’accès aux éléments de médication et de vaccination, aux allergies, aux intolérances médicamenteuses et aux facteurs de risque médicaux • « limité* » : les infirmiers, kinésithérapeutes, ergothérapeutes et logopèdes peuvent accéder aux documents de l’ensemble de ces 4 catégories • « limité** » : les dentistes peuvent accéder aux documents médicaux de chirurgie maxillofaciale ou lié à la dentisterie • « conditionné » : l’accès aux documents à caractère psychiatrique est limité aux professionnels de la santé accrédités. Le RGPD dans ma pratique de médecin généraliste - Bruxelles, 14. 10. 2019 • 45

Le Réseau Santé Bruxellois • Réglage fin de l’accès par le patient, possible à tous les niveaux: • • • Peut exclure certains médecins de l’accès à tous ses documents: documents totalement invisibles pour ceux-ci • Peut exclure un médecin spécifique de l’accès à un document spécifique: document deviant invisible pr celui-ci • Peut supprimer définitivement un document: devient alors invisible pour tous les Médecins qui le soignent • BXL et Wallonie: liens thérapeutiques sont personnels -> pas possible d’exclure une institution Réaction instantanée Action invisible aux médecins: protection de vie privée!! Le RGPD dans ma pratique de médecin généraliste - Bruxelles, 14. 10. 2019 • 46

Le Réseau Santé Bruxellois • Logs d’accès • Toutes les actions sont tracées • Inscription d’un patient • Consultation de documents • Publication de documents • Conservés 30 ans • Transmis suite à investigation/plainte du patient Le RGPD dans ma pratique de médecin généraliste - Bruxelles, 14. 10. 2019 • 47

Plan 1. 2. 3. 4. 5. Introduction Quelques concepts Quelle sécurité? Faut-il un registre d’activités de traitement? Faut-il un Data protection Officer? 6. 7. 8. 9. 10. 11. Faut-il effectuer une analyse d’impact? Quid en cas de transfert des données? Droits de la personne concernée? Faut-il un document d’information? Le Réseau Santé Bruxellois Le RGPD, le Réseau Santé Bruxellois et le médecin généraliste Le RGPD dans ma pratique de médecin généraliste - Bruxelles, 14. 10. 2019 • 48

Le RGPD, le Réseau Santé Bruxellois et vous • Transmission de documents santé: • conforme au RGPD: • Le Réseau Santé permet de mettre des documents de santé à disposition de tous les confrères qui suivent ou qui suivront un même patient. • La e. Health Box permet un envoi adressé. • Non conforme au RGPD: • Email Classique • Réseaux Sociaux Le RGPD dans ma pratique de médecin généraliste - Bruxelles, 14. 10. 2019 • 49

5 0 Plus d’information • www. reseausantebruxellois. be • https: //e-santewallonie. be/rgpd/#fiche • www. autoriteprotectiondonnees. be/ Le RGPD dans ma pratique de médecin généraliste - Bruxelles, 14. 10. 2019 • 50

Merci !