Expert RGPD - DPO externalisé - Etablissements de santé

Depuis l’entrée en vigueur du Règlement Européen sur les Données Personnelles (RGPD/GDPR) le 24 mai 2018, les établissements de santé doivent prouver à tout moment leur conformité au RGPD, qu’ils exercent ou non en profession libérale : cabinets médicaux, cabinets d’orthophonie, cabinets d’infirmiers, opticiens, centres d’imagerie médicale, pharmacies, laboratoires de biologie médicale etc.

Par exemple, ils doivent mettre en place un registre recensant tous les traitements de données personnelles, mais aussi les modalités pratiques de l’information délivrée aux patients (affichage en salle d’attente, documents papiers, site Web etc.), les actions menées pour garantir la sécurité des données de santé (carte de professionnel de santé, politique des mots de passe, messagerie sécurisée pour les échanges entre professionnels de santé etc.), la sécurisation des prestataires à qui ils confient des données personnelles (maintenance du logiciel de dossier patients, maintenance des postes de travail informatique, solutions de gestion des dossiers patients hébergée dans le cloud etc.)…

Si l’établissement de santé traite des données personnelles “à grande échelle” au sens du RGPD, c’est à dire si l’activité est exercée au sein d’un réseau de professionnels, maisons de santé, centre de santé, EHPAD etc. et que plus généralement les dossiers patients sont partagés entre plusieurs professionnels de santé (par exemple via un logiciel commun de gestion des patients), il faut mettre en place un RGPD “renforcé” :

  • Des analyses d’impact (AIPD) obligatoires sur les traitements de données de santé,
  • La nomination obligatoire d’un Délégué à la Protection des Données (DPO).

Contrairement à l’ancien CIL (Correspondant Informatique et Liberté), le DPO ne doit pas être juge et partie dans la définition des traitements de données personnelles (ce qui exclut par exemple les professionnels de santé ou le responsable admninistratif et financier) et doit posséder les compétences requises dans le RGPD ainsi que les moyens nécessaires à sa mission.

Nommer un DPO externalisé constitue par conséquent la solution la plus efficace pour gérer à la fois la question de l’indépendance et celle de l’obligation de moyens qui sera décrites formellement dans un contrat.

Pour s’assurer des compétences requises, nous avons depuis 2018 une certification des compétences du DPO agréée par la Commission Nationale Informatique et Libertés (CNIL), réalisée par Bureau Veritas Certification France.

Bureau Veritas Certification - Certification des personnes - Délégué à la Protection des Données

Parce que nous connaissons les problématiques spécifiques à votre métier, nous pouvons vous accompagner au mieux dans cette démarche de mise en conformité au RGPD :

  • Sensibilisation de vos équipes au RGPD (assistantes médicales, manipulateurs, professionnels de santé, équipes administratives…) ;
  • Accompagnement dans la mise en place du RGPD (cartographie, documentation support, plan d’action…) ;
  • Délégué à la Protection des Données (DPO) externalisé de votre établissement de santé.

N’hésitez pas à nous contacter si vous êtes sur Lyon, Grenoble, Chambéry, Annecy…