Cyber risques dans le secteur hospitalier
Récemment, les attaques de pirates informatiques ont de nouveau fait la une des journaux - cette fois dans le secteur des soins de santé, en particulier en Allemagne, aux États-Unis et maintenant aussi en Suisse. Jusqu'à présent, les hôpitaux suisses étaient considérés comme particulièrement sûrs pour de nombreuses raisons, mais les apparences sont trompeuses : les cyber-risques ne connaissent pas la vie privée, au contraire.
Contrairement aux numéros de carte de crédit réinitialisables, les données sur les patients fournissent des "données clés" aux espions de la santé pendant toute une vie, voire des générations.
Un récent rapport d'IBM sur la sécurité informatique énumère les plus grands cyber-risques. Il montre que les cyberattaques contre le secteur des soins de santé atteignent un niveau élevé. Les motifs des attaquants, comme le souligne l'indice de sécurité IBM, visent probablement l'usurpation d'identité. Ces "incidents" détectés étaient le fait d'initiés - souvent des employés ou des entrepreneurs.
En ce qui concerne les dangers numériques provenant de l'extérieur, mais aussi des utilisateurs expérimentés eux-mêmes, il faut tenir compte des aspects dans le secteur de la santé et des services sociaux qui sont moins mis en avant dans d'autres secteurs : Il s'agit de données sensibles sur les patients et les clients, qui devraient être tenues secrètes à tout moment - même dans le secteur ambulatoire.
Contrairement aux numéros de carte de crédit réinitialisables, les données sur les patients fournissent des "données clés" aux espions de la santé pendant toute une vie, voire des générations.
Dossier patient électronique
Naturellement, les données électroniques des patients sous forme de dossier sont considérées comme "particulièrement dignes de protection" par le législateur. A partir de décembre 2016, les dossiers des médecins et des patients seront standardisés dans toute la Suisse grâce à la loi sur le dossier médical électronique (DMPE), qui n'est en fait qu'une loi-cadre.
Quelques avantages : Le patient est informé de toute demande de renseignements ou d'ajouts effectués par un médecin. En cas d'urgence, les avis des spécialistes sont enregistrés. Le patient peut également encoder lui-même les rapports, ajouter des données supplémentaires, par exemple sur les allergies ou consulter les prescriptions du médecin). Les organismes de vérification certifieront et contrôleront les communautés de données décentralisées.
Deux inconvénients majeurs : Les entretiens explicatifs personnels avec le médecin deviennent obsolètes. - Le cryptage dépend en fin de compte de M. et Mme Swiss.
Le plus grand défi, si l'on pense aux systèmes actuels d'enregistrement interne à l'hôpital ou à d'autres appareils de mesure privés, est le suivant : le contrôle et la distribution des données des patients ne sont pas encore réglementés de manière cohérente.
Territoire : Secret médical
En plus de tous les aspects techniques et organisationnels, il y a un élément particulièrement important à prendre en compte dans le secteur des soins de santé : le secret médical. D'une part, elle prend une nouvelle dimension à l'heure de la révolution numérique, et d'autre part, les médecins et leurs adjoints pourraient être dupés à grande échelle par des cyber-espions lors de la comparaison de dossiers de patients ambulatoires.
La technologie numérique ne connaît pas le secret professionnel et ne permet pas non plus de distinguer quel bit ou octet n'est pas approprié ou ne mérite pas d'être protégé (voir la loi sur la protection des données du DSG), sensible ou habituel ? Cette tâche incombe toujours aux médecins, respectivement aux utilisateurs, et commence avec l'ordinateur du cabinet. Qui est responsable des données relatives aux patients qui y sont stockées ? Qui gère la sauvegarde ou un nuage externe d'e-santé ?
Dans la pratique de l'avenir, il se peut qu'il n'y ait que des tabloïds. Ceux-ci pourraient être infectés par des cryptovirus via des applications. La conséquence : au lieu de chiffrer réellement les données des patients de A à Z, les cybercriminels pourraient copier et manipuler les processus individuels - et même se connecter à d'autres appareils d'une entreprise.
Qui assume maintenant la responsabilité de quel processus de traitement si quelque chose devait soudainement mal tourner ? La situation des dégâts serait de toute façon catastrophique.
Pour les médecins et les utilisateurs, une chose est claire : les médias électroniques favorisent considérablement l'échange de données et de fichiers d'images sur la santé. Mais à ces avantages s'ajoute une accélération des clarifications et des diagnostics délicats. Si, par exemple, ceux-ci devaient être retardés par de simples virus à retardement, le secret professionnel médical serait en jeu.
Vie privée et sécurité ?
Après tout, ce ne sont pas seulement les médecins, les médecins assistants, les dentistes, les pharmaciens, les sages-femmes, les chiropracteurs ou les psychologues qui sont soumis à une plus grande responsabilité en termes de "sécurité des données" et de "devoir de confidentialité", mais aussi les patients et les facturiers. C'est là que se trouve le véritable nœud du problème lorsqu'il s'agit de la protection des données officielles et de la sécurité de ses propres données.
Par Michael Merz (galledia verlag ag). L'article éditorial sur le Dossier Patient Electronique se trouve dans Management & Quality, numéro 5/2016.
