A partir du 25 mai 2018, de nouvelles obligations relatives à la protection des données personnelles réglementeront le recueil de celles-ci pour les citoyens européens.

Le règlement 2016/679 du Parlement européen impose un certain nombre d’obligations aux acteurs économiques sous peine de lourdes sanctions.

  

OPENXTREM ET KHEOPS Technologies : En conformité avec le RGPD

OpenXtrem et Kheops Technologies, en tant qu’éditeurs de logiciels, sont d’ores et déjà en conformité de toutes leurs obligations de sous-traitant au regard du RGPD :

• Nous avons procédé à un audit interne de sécurité de nos données conformément aux recommandations de la CNIL et sensibilisé toutes nos équipes.

• Depuis de nombreuses années, nous respectons l’ensemble des recommandations de l’ANSSI, concernant les applications web et notamment celles du référentiel DAT-NT- 009/ANSSI/SDE/NP

• Nous avons recruté au sein du partenariat OpenXtrem - Kheops Technologies SA un DPO, joignable à l’adresse This e-mail address is being protected from spambots. You need JavaScript enabled to view it

• Nous tenons à jour un registre interne de traitement des données en notre qualité de sous- traitant.

 

Vos conseillers privilégiés pour votre mise en conformité au RGPD

Nous mettons à votre disposition un certain nombre d’outils et de conseils afin de faciliter votre mise en conformité à vos obligations suivantes en tant que responsable de traitement :

Recueillir le consentement explicite de la personne dont vous recueillez les données comme défini à l’art 9 du RGPD et fournir à la personne concernée un certain nombre d’informations définies à l’article 13 du RGPD.

Afin de faciliter cette démarche pour vous, nous vous proposons sans surcoût les options suivantes dans MediBoard (activables ou non) :

1) Information aux utilisateurs de MediBoard quant à l’utilisation de leurs données personnelles et recueil de leur consentement dès leur authentification.

2) Information aux utilisateurs de notre ERP quant à l’utilisation de leurs données personnelles et recueil de leur consentement. Ceci inclut l’ensemble des acteurs intervenant sur votre système d’information, internes et externes.

3) Information aux personnes dont des données sont stockées dans MediBoard quant à l’utilisation de leurs données personnelles (Patients, assurés, correspondants médicaux...) via l’envoi d’un email contenant les informations suivantes :

  • Informations mentionnées à l’article 13 du RGPD
  • Trace de l’envoi

Être en mesure de répondre aux demandes formulées dans le délai d’un mois comme défini à l’article 12 du RGPD

Nous avons pour cela mis en place des outils permettant de :

1) Générer un document imprimable contenant les informations sur un séjour

2) Générer un document imprimable contenant les informations sur le patient, son dossier médical et ses consultations

Donner un droit d’accès aux données, un droit de rectification, éventuellement un droit à l’effacement, un droit à la portabilité des données.

Le patient sera informé de l’ensemble de ses droits et sera ainsi en mesure de contacter le responsable de traitement (l’établissement) excepté la rectification et l’effacement des données médicales que d’autres réglementations imposent de conserver.De plus, depuis de nombreuses années, MediBoard propose l’exportation de l’ensemble des données pour chaque patient. Nous proposons en outre à notre catalogue des outils de portail patient lui permettant un accès direct à ses données sans passer par l’établissement de santé.

Tenir un registre de traitement de données

Ceci est de la responsabilité du responsable du traitement et nous sommes à votre disposition au cas où vous auriez besoin de notre collaboration pour sa mise en place.De plus, nous vous informons que la CNIL a mis à la disposition des entreprises un modèle en ligne sur leur site internet.

Sécuriser vos traitements

En addition à toutes les mesures de sécurité prises en tant qu’éditeur de logiciel, nous vous conseillons de consulter le guide édité par la CNIL sur ce sujet.

Nous avons par ailleurs mis en place deux limitations fonctionnelles au sein de nos logiciels pour en assurer la conformité au RGPD :

  • le blocage d’envoi d’informations potentiellement confidentielles via les adresses mail non vérifiées : dans nos logiciels, il était possible d’envoyer des informations confidentielles depuis et vers une simple adresse mail non sécurisée (hors Apycript ou MSSanté). Le RGPD n’autorise pas ceci. Il reste possible de gérer une liste blanche d’adresses mail qui seront reconnues comme dignes de confiance.
  • le blocage d’envoi d’éléments d’identification personnelle de SMS : le module de notification permettait d’envoyer n’importe quel type d’information par SMS. Il ne sera plus possible d’inclure les éléments d’identification du patient au sein d’un SMS (nom, prénom). Seules les informations sur le RDV(date/heure/praticien) et du texte libre seront permis.

Mettre en place une procédure de notification et d’information en cas de violation de données

Cette procédure doit être documentée au sein de votre établissement. Il s’agit d’informer les autorités compétentes et éventuellement les personnes concernées de la violation de données. (Articles 33 et 34 du RGPD)

Éventuellement réaliser une analyse d’impact et nommer un DPO

Nous sommes à votre disposition au cas où vous auriez besoin de notre collaboration pour réaliser votre analyse d’impact. Il est à noter que la CNIL met à la disposition des entreprises un logiciel permettant de réaliser cette analyse.

Nous nous permettons d’ajouter que, en tant qu’acteurs économiques de l’informatique, nous prenons à cœur de participer avec vous à la mise en place des droits des citoyens sur leurs données personnelles.

© 2018 www.kheops.ch. All Rights Reserved.
Kheops Technologies SA - chemin du foron 16 - CH-1226 Thonex/Geneve (SUISSE) - Tel: +41 22 771 47 30 - Fax: +41 22 771 47 31