Protection des données 1 - Rangez vos données!
1. Inventorier
Inventoriez toutes les informations que votre institution travaille et possède. Répertoriez aussi tous vos lieux de sauvegarde.
N’oubliez aucun type de données (numériques, documents papier, photos, fichiers audio, film, etc.) ni aucun lieu de stockage (serveurs, ordinateurs portables, services cloud, copies de sauvegarde, registres, etc.).
2. Classer
Classez ces données. La classification selon les catégories suivantes a fait ses preuves:
- données confidentielles
- données internes
- données publiques
Les données personnelles font partie des «données confidentielles». Il s’agit de toutes les informations se rapportant à une personne physique identifiée ou identifiable (adresse ou téléphone privé, âge, etc.). Il s’agit aussi de toutes les informations dites sensibles concernant une personne. Par exemple: les opinions ou activités religieuses ou syndicales, la santé, l’appartenance à une race, si elle bénéficie de mesures d’aide sociale ou est sous coup de poursuites ou sanctions pénales.
Les données personnelles sont
toutes les informations se rapportant
à une personne physique identifiée
ou identifiable (adresse, âge,
mais aussi opinion, santé, etc.)
3. Protéger
Organisez la protection des données pour chaque catégorie. La liste ci-dessous vous montre comment procéder en 6 points. Nous illustrons chaque point à l’aide d’un exemple.
- Définir le droit d’accès.
Définissez qui a le droit de travailler quel genre d’informations.Travailler veut dire voir, changer effacer.
Exemple: Vous savez qui a le droit de consulter et modifier le dossier médical. - Etablir une clause de confidentialité.
Faites signer une clause de confidentialité à toute personne en contact avec des informations confidentielles.
Exemple: Vous définissez la clause de confidentialité dans le contrat d’engagement. Vous faites signer ce devoir de réserve particulier aux personnes qui ont accès au dossier médical. - Coder les informations.
Assurez un transfert sûr des informations. Mettez en place des systèmes de sécurité comme le cryptage des e-mails ou l’identification à deux facteurs (2FA) pour les personnes ayant accès aux informations depuis l’extérieur.
Exemple: Vous devez informer un partenaire de la médicamentation d’un bénéficiaire? Alors, protégez ces informations. Les emails non cryptés et les clés USB ne sont pas fiables. Et sensibilisez la personne qui reçoit ses informations sur la manière de les protéger (par exemple: ne pas imprimer et laisser traîner). - Supprimer les logins génériques.
Supprimez les logins (connexions) accessibles à plusieurs employés (generic user accounts). Chaque personne a un login personnel et reconnaissable.
Exemple: Assurez-vous que chaque personne a un login personnel. Ainsi, vous pouvez assurer et contrôler que seuls les collaborateurs certifiés ont accès au dossier médical. - Contrôler les registres du système.
Les systèmes IT tiennent automatiquement le journal des accès et des activités. Déterminez à quel rythme une personne responsable des données contrôle les comptes d’utilisateurs et les droits d’accès.
Exemple: Contrôlez régulièrement que seules les personnes autorisées ont eu accès au dossier médical. - Former le personnel.
Organisez des formations concernant la manipulation des informations confidentielles et la gestion des mots de passe.
Exemple: Formez votre personnel sur la gestion des données et des mots de passe. Par exemple sur le fait que partager son mot de passe ou le coller sous son clavier d’ordinateur est à prohiber.
Ce texte a été rédigé avec l'aide d'Ernst Liniger, directeur de Bprex.
©Image: 123RF/Suradech Kongkiatpaiboon
Votre commentaire