Charte d`éthique et de sécurisation des données relatives au patient
Charte d’éthique et de sécurisation des données relatives au patient
Le respect de la vie privée des individus est un droit fondamental en Europe. Il exige de
protéger la confidentialité des données personnelles de santé en toutes circonstances.
Cette confidentialité est couverte par le secret médical et par la loi :
o le Code pénal [art.458]
o la loi relative à la protection de la vie privée du 8 décembre 1992
o la loi relative aux droits des patients du 22 août 2002
o le Code de déontologie médicale [art.57 à 70]
Le secret médical n’est pas seulement prévu dans l’intérêt du patient. Il correspond à un
intérêt public qui est de garantir des relations de confiance entre le citoyen et le système
de santé. Ce principe de confiance constitue une valeur fondamentale en soi.
Cette charte rappelle les principes essentiels de la sécurisation des données.
Elle est validée par la Direction générale, le Comité d’éthique hospitalier, la Direction
médicale, la Direction du personnel et la Direction informatique de {l’Hôpital}, l’ATI et
permet :
o d’informer sur les contraintes légales (droits du patient, responsabilités des
professionnels de santé et autres membres du personnel ) ;
o de sensibiliser à ses devoirs vis-à-vis des patients et de la loi, chaque utilisateur
habilité à collecter et à utiliser des données personnelles de santé .
Il appartient aux membres {de l’Hôpital} d’adhérer aux différentes dispositions de la
charte en les respectant et en les faisant respecter. Le non respect des principes énoncés
entraînera des sanctions.
- « Le patient a droit, de la part de son praticien professionnel, à un dossier de patient
soigneusement tenu à jour et conservé en lieu sûr. A la demande du patient, le
praticien professionnel ajoute les documents fournis par le patient dans le dossier le
concernant.» [loi du 22 août 2002 ; art.9,§1]
- « Le patient a droit à la consultation du dossier le concernant…..Les annotations
personnelles d’un praticien professionnel et les données concernant des tiers
n’entrent pas dans le cadre de ce droit de consultation…. » [loi du 22 août 2002 ;
art.9,§2].
- « Le patient a droit d’obtenir, au prix coûtant, une copie du dossier le concernant ou
d’une partie de celui-ci, conformément aux règles fixées au §2. Sur chaque copie, il
est précisé que celle-ci est strictement personnelle et confidentielle. Le praticien
Introduction
Les droits du patient
professionnel refuse de donner cette copie s’il dispose d’indications claires selon
lesquelles le patient subit des pressions afin de communiquer une copie de son
dossier à des tiers. » [loi du 22 août 2002 ; art.9,§3]
- « Les informations ne sont pas fournies au patient si celui-ci en formule
expressément la demande à moins que la non-communication de ces informations ne
cause manifestement un grave préjudice à la santé du patient ou de tiers et à
condition que le praticien professionnel ait consulté préalablement un autre praticien
professionnel à ce sujet…… La demande du patient est consignée ou ajoutée dans le
dossier du patient » [loi du 22 août 2002 ; art.7,§3]
- « Le médecin peut se servir des dossiers médicaux pour ses travaux scientifiques, à
condition de ne faire paraître dans ses publications, aucun nom ni aucun détail qui
puisse permettre l’identification des malades par des tiers. » [Code de déontologie
médicale ; art.43] .
Cette utilisation se fait sous la responsabilité du Chef de Service.
La gestion des droits d’accès (création , modification, validation) est centralisée et basée
sur une hiérarchisation des fonctions selon les compétences et spécialisations de chacun ainsi
que sur une sélection des données accessibles. La définition des droits d’accès relève de la
responsabilité de la Direction médicale.
1. Obligations de tout membre du personnel
Toute personne ayant accès aux données médicales s’engage à:
o respecter strictement la confidentialité des données ;
o ne consulter que les données nécessaires à l’exercice de sa fonction ;
o pouvoir justifier de leur consultation ;
o effectuer des impressions de documents à bon escient ;
o veiller à la qualité et l’exhaustivité des données contenues dans le dossier
médical ;
o utiliser exclusivement leurs identifiant et mot de passe personnels pour
accéder aux informations ;
o ne communiquer à autrui ni leur identifiant ni leur mot de passe, qui sont
strictement confidentiels, sous peine de porter la responsabilité d’une
éventuelle utilisation frauduleuse par cette autre personne ;
o ne pas accepter le mot de passe d’autrui ;
o changer leur mot de passe aussi souvent que prescrit par le responsable de la
cellule fonctionnelle du DMI ;
o changer immédiatement de mot de passe dès qu’il y a suspicion d’utilisation
abusive de celui-ci et de l’identifiant qui lui est associé ;
Les obligations des membres du
personnel
o prévenir immédiatement le gestionnaire des données
1
dès qu’il y a suspicion de
rupture de confidentialité ;
o quitter l’application d’accès aux informations médicales dès qu’elle cesse la
consultation des données qui lui sont nécessaires ;
o n’envoyer à l’extérieur {de l’Hôpital} que des données médicales sécurisées
conformément aux recommandations du Conseil National de l’Ordre des
médecins [14 février 2001; 15 juin 2002].
2. Obligations spécifiques aux prestataires de soins
Outre le respect des engagements de tout membre du personnel, le prestataire de soins
s’engage à respecter les principes suivants :
o L’enregistrement de données personnelles médicales d’un patient dans une base de
données engage la responsabilité du prestataire.
o L’exactitude des données et/ou leur probabilité doit être certifiée par le prestataire
de soins qui les a constatées, établies ou consignées.
o La validation des données par le prestataire est indispensable ; elle est matérialisée
par une signature électronique ou manuscrite.
3. Missions du Service informatique et de l’Architecture Technique et Infrastructure (ATI)
2
Le Service informatique et l’ATI s’engagent à :
o respecter les mêmes principes que les utilisateurs tenant compte qu’ils ont la
possibilité, de par leur activité spécifique, d’accéder aux données confidentielles
d’un dossier médical ;
o mettre en œuvre, dans les limites budgétaires, tous les moyens techniques
nécessaires afin d’assurer de façon permanente :
1. La confidentialité des données :
Ils se prémunissent contre toute indiscrétion involontaire ou volontaire et
contre toute utilisation abusive.
2. L’intégrité des données :
Ils se prémunissent contre toute corruption fortuite ou délibérée.
3. La sécurité physique des données
Ils se prémunissent contre toute perte accidentelle ou intentionnelle.
4. La traçabilité des accès :
Lorsque l’application le prévoit, ils sont en mesure d’assurer la production
d’une liste exhaustive des personnes ayant consulté un dossier médical ainsi
1
Cette fonction doit être créée dans le cadre des nouvelles structures informatiques. Transitoirement, cette
fonction est assurée par le Directeur du Service informatique.
2
Les obligations de confidentialité des fournisseurs et de tout intervenant extérieur sont exprimées dans les
cahiers des charges et/ou dans les conditions contractuelles.
que des types d’accès aux données médicales en précisant s’il s’agit de
création, modification, consultation, suppression, copie, impression.
5. La conservation des données :
Ils assurent, dans la limite des moyens technologiques dont ils disposent, la
conservation des données selon les règles imposées par l’institution
conformément au code de déontologie médicale [art.46] et à la loi [art.1,§3 de
l’A.R. du 3 mai 1999 déterminant les conditions générales minimales
auxquelles le dossier médical, visé à l’article 15 de la loi sur les hôpitaux,
coordonnées le 7 août 1987, doivent répondre].
6. Les standards informatiques :
Le Service informatique et l’ATI s’assurent de l’interopérabilité des
systèmes.
7. La protection des installations informatiques :
Celle-ci comprend par exemple :
o le contrôle des voies d’accès aux locaux où sont stockées les données
o la sécurité physique du réseau et des serveurs de même que des
supports d’archivages des données ;
o la protection maximale et actualisée des données (concernant leurs
intégrité et confidentialité) contre les attaques extérieures et
intérieures.
8. La transmission des données médicales vers l’extérieur :
Ils s’assurent que l’envoi des données à l’extérieur {de l’Hôpital}
s’effectue selon les règles imposées par l’institution conformément aux
recommandations du Conseil National de l’Ordre des médecins [14 février
2001; 15 juin 2002].
Cette charte a fait l’objet d’une validation des instances suivantes :
La Direction générale
La Direction médicale
La Direction du personnel
La Direction informatique
L’ATI
Le Comité d’éthique hospitalier
Le Comité de Concertation de Base
Le Conseil provincial de l’Ordre de médecins.
1
/
4
100%
