OpenXtrem et Kheops Technologies sont concernées en tant qu’éditeur de logiciels par la mise en place de la Réglementation Générale sur la Protection des Données personnelles (RGPD) N°2016/679 applicable le 25 mai 2018.

Dans ce cadre, nous avons mis en place un certain nombre de mesures et mis à jour nos contrats clients afin d’encadrer nos obligations respectives concernant le traitement des données personnelles. Ce contrat a été élaboré selon le modèle proposé par la CNIL.

Nous sommes à jour de nos obligations au regard de cette nouvelle réglementation :

  • Nous avons procédé à un audit interne de sécurité de nos données conformément aux recommandations de la CNIL et sensibilisé toutes nos équipes.
  • Depuis de nombreuses années, nous respectons l’ensemble des recommandations de l’ANSSI, concernant les applications web et notamment celles du référentiel DAT-NT-009/ANSSI/SDE/NP
  • Nous avons recruté au sein du partenariat OpenXtrem – Kheops Technologies SA un DPO (Data Protection Officer) joignable à l’adresse DPO@kheops.ch
  • Nous tenons à jour un registre interne de traitement des données en notre qualité de sous-traitant.

Les structures de santé ont des obligations en tant que responsable de traitement de données personnelles au sens du RGPD. En particulier ils doivent répondre aux éléments suivant :

Recueillir le consentement explicite de la personne dont vous recueillez les données comme défini à l’art 9 du RGPD et fournir à la personne concernée un certain nombre d’informations définies à l’article 13 du RGPD

Afin de faciliter cette démarche pour nos clients, nous leur proposons sans surcoût les options suivantes dans MediBoard (activables ou non) :

  1. Information aux utilisateurs de MediBoard quant à l’utilisation de leurs données personnelles et recueil de leur consentement dès leur authentification.
  2. Information aux utilisateurs de notre ERP quant à l’utilisation de leurs données personnelles et recueil de leur consentement. Ceci inclut l’ensemble des acteurs intervenant sur ces systèmes d’information, internes et externes.
  3. Information aux personnes dont des données sont stockées dans MediBoard quant à l’utilisation de leurs données personnelles (Patients, assurés, correspondants médicaux…) via l’envoi d’un email contenant les informations suivantes :
    • Informations mentionnées à l’article 13 du RGPD
    • Trace de l’envoi

Être en mesure de répondre aux demandes formulées dans le délai d’un mois comme défini à l’article 12 du RGPD.

Nous avons pour cela mis en place des outils permettant de :

  • Générer un document imprimable contenant les informations sur un séjour
  • Générer un document imprimable contenant les informations sur le patient, son dossier médical et ses consultations

Donner un droit d’accès aux données, un droit de rectification, éventuellement un droit à l’effacement, un droit à la portabilité des données.

Le patient sera informé de l’ensemble de ses droits et sera ainsi en mesure de contacter le responsable de traitement (l’établissement) excepté la rectification et l’effacement des données médicales que d’autres réglementations imposent de conserver.

De plus, depuis de nombreuses années, MediBoard propose l’exportation de l’ensemble des données pour chaque patient.

Nous proposons en outre à notre catalogue un portail patient – AppFine – lui permettant un accès direct à ses données sans passer par l’établissement de santé.

Tenir un registre de traitement de données.

Nous conseillons nos clients pour la mise en place d’un tel registre. La CNIL a par ailleurs mis à la disposition des entreprises un modèle en ligne sur leur site internet.

Sécuriser les traitements

En addition à toutes les mesures de sécurité prises en tant qu’éditeur de logiciel, nous conseillons à nos clients de consulter le guide édité par la CNIL sur ce sujet.

Mettre en place une procédure de notification et d’information en cas de violation de données.

Cette procédure doit être documentée au sein des établissements. Il s’agit d’informer les autorités compétentes et éventuellement les personnes concernées de la violation de données. (Articles 33 et 34 du RGPD)

Éventuellement réaliser une analyse d’impact et nommer un DPO.

Nous sommes à la disposition de nos clients pour les aider à réaliser une analyse d’impact. Il est à noter que la CNIL met à la disposition des entreprises un logiciel permettant de réaliser cette analyse.

En tant qu’acteurs économiques de l’informatique, nous prenons à cœur de participer avec l’ensemble de nos client à la mise en place des droits des citoyens sur leurs données personnelles.