Renforcer la sécurité des données dans le secteur de la santé : stratégies pour protéger les informations sensibles

Comprendre les exigences réglementaires de conformité

La loi sur la protection des informations personnelles et les documents électroniques (PIPEDA) s’applique aux organisations qui collectent, utilisent ou divulguent des informations personnelles au cours de leurs activités commerciales. Si une province a adopté une législation sur la vie privée substantiellement similaire, le gouvernement fédéral peut exempter cette organisation et/ou activité. À ce jour, en matière de soins de santé, l’Ontario, le Nouveau-Brunswick et Terre-Neuve-et-Labrador ont promulgué des lois jugées substantiellement similaires à la loi fédérale.

Bien que les activités principales des hôpitaux publics ou des établissements de soins de longue durée financés par des fonds publics ne soient pas soumises à la PIPEDA. Les professionnels de santé en pratique privée, tels que les médecins, dentistes et chiropracteurs, exercent une activité commerciale et sont donc soumis à la loi, sauf si une législation provinciale substantiellement similaire s’applique.

Les lois sur la vie privée sont complexes. Les hôpitaux et les professionnels de santé doivent s’assurer qu’ils connaissent bien la législation applicable.

Quelles informations sont en danger ?

Les hackers et les ingénieurs sociaux recherchent des données clés pouvant servir à commettre des vols d’identité et d’autres activités malveillantes. Lorsqu’elles ciblent les organisations de santé pour voler ces données, elles obtiennent ainsi accès à des identifiants personnels, qui relient les patients à leurs données de santé, notamment :

Nom du patient

Date de naissance

Numéro d’assurance sociale

Numéro de régime de santé

Informations médicales

Données financières

Les documents contenant ces informations doivent être considérés comme sensibles et sécurisés de manière appropriée afin de préserver la vie privée des patients.

Comment aider à protéger les données et prévenir les violations

Le respect des lois sur la vie privée est essentiel pour les entités concernées et ses partenaires commerciaux. En suivant ces étapes, les organisations peuvent mieux protéger les informations personnelles et aider à prévenir les violations de données :

1. Ne sous-estimez pas les risques liés au papier

Bien que les incidents de piratage ciblant des informations électroniques représentent un risque important, les violations de données sur papier représentent toujours une menace potentielle. En raison de la nature du secteur de la santé, il est probable que la majorité des documents imprimés ou générés pendant les soins contiennent des informations personnelles. Par conséquent, les organisations doivent disposer de politiques et de procédures qui régissent et soutiennent la manipulation, le stockage, l’élimination et la destruction sécurisés des documents papier.

Un service de déchiquetage expérimenté comme Shred-it^® peut effectuer la destruction de documents à intervalles réguliers afin de garantir que tout document confidentiel est détruit en toute sécurité. De plus, si une organisation subit un grand nettoyage à grande échelle, comme lors d’un nettoyage d’anciens dossiers médicaux papier, un déchiquetage ponctuel à la demande est également un choix judicieux. Pour simplifier les événements de déchiquetage périodique et ponctuels, les organisations pourraient vouloir instaurer une politique de déchiquetage de documents qui encourage le personnel à réfléchir à l’obligation de conserver le document (conformément à la politique interne) et, sinon, de s’en débarrasser immédiatement et en toute sécurité. Contrairement aux déchiqueteurs de bureau génériques, un service de déchiquetage peut gérer une variété de formats, tels que des documents indépendants, des paquets agrafés ou avec un coup de papier, des radiographies, des enregistrements IRM et des photographies.

2. Les anciennes technologies présentent des dangers

En plus de détruire en toute sécurité le papier, il est également important que toute donnée contenant sur une technologie obsolète ou inutilisée soit irrécupérable, y compris les données provenant d’anciens ordinateurs et photocopieurs, Les clés USB, et des systèmes de stockage CD-ROM ou DVD. L’une des méthodes les plus efficaces pour se débarrasser de vieux disques durs est de les faire détruire physiquement à l’aide d’un service professionnel de destruction de disques durs et de médias*.

3. La formation du personnel est essentielle

Pour garantir l’efficacité des politiques et des procédures, les organisations devraient former le personnel à la manière de préserver la confidentialité et la sécurité des informations, y compris leur rôle dans la manipulation, le stockage et l’élimination du papier. La vigilance dans une formation continue, actuelle, pertinente et basée sur le renseignement, est essentielle pour améliorer la sensibilisation aux attaques potentielles et aux délais de réponse.

Découvrez les meilleures pratiques en matière de destruction de la sécurité des données et comment la destruction sécurisée de documents Shred-it^® peut aider à protéger les informations personnelles.

^{*Contactez Shred-it® pour la disponibilité des services.}

^{Cet article est fourni à titre d’information générale uniquement et ne doit pas être interprété comme un conseil juridique sur des faits ou circonstances spécifiques.}

Personnes-ressources pour les médias

Comment aider à se protéger contre les violations de données de santé et à protéger la confidentialité des patients

Comprendre les exigences réglementaires de conformité

Quelles informations sont en danger ?

Comment aider à protéger les données et prévenir les violations

NOS SERVICES

À propos de Stericycle