La Journée internationale de la protection des données, célébrée le 28 janvier, souligne l’importance cruciale de la sécurité et de la confidentialité des informations sur la scène mondiale. Née au Conseil de l’Europe en 2006, la date coïncide avec la signature de la Convention 108, le premier traité international dédié à la protection des données personnelles.
Au Brésil, c’est une date qui devient de plus en plus médiatisée depuis la promulgation de la loi générale sur la protection des données (RGPD) en 2018, marquant un engagement renouvelé en faveur de la confidentialité dans un contexte de rôle croissant de la technologie dans nos vies. Dans un contexte d’avancées numériques rapides, la Journée internationale de la protection des données souligne la nécessité continue d’une sensibilisation, d’une législation solide et de pratiques éthiques pour préserver l’intégrité des informations personnelles à l’ère numérique.
La prise de conscience croissante de l’importance de la protection des informations est particulièrement évidente dans le contexte des soins de santé. Dans le contexte des soins de santé, la nécessité d’un traitement attentif des données des patients est impérative. Cela est dû à l’urgence de prévenir les fuites, les accès malveillants, le vol ou les modifications du contenu des dossiers médicaux, soulignant ainsi l’importance de la sécurité des données pour préserver l’intégrité et la confidentialité des informations médicales.
Malgré tout cela, la sécurité et la confidentialité des données personnelles continuent de constituer un obstacle au progrès de la santé numérique au Brésil. Pour Victor Prata, coordinateur du groupe de travail sur la sécurité de l’information et la protection des données chez Saúde Digital Brasil (SDB), il existe déjà un consensus parmi les entreprises opérant dans le secteur de la santé sur l’importance de cet enjeu dans le contexte actuel. En d’autres termes, les managers sont déjà au courant de tout cela.
De l’avis de l’expert, le point principal aujourd’hui, qui finit même par rassembler petites, moyennes et grandes entreprises, est de savoir comment garantir la protection de la confidentialité des données, notamment dans l’environnement numérique. Même si parfois, en fonction de la taille ou même des performances, il existe des menaces imminentes et des difficultés un peu plus importantes, tout le monde est sensible à ce même risque commercial.
« Un hôpital qui dessert uniquement ses patients dans ses installations physiques reçoit moins de patients qu’une plateforme numérique, ce qui le rend beaucoup plus vulnérable. De plus, dans le cas du physique, la seule façon d’accéder au système est de s’y rendre personnellement, de se connecter au réseau Wi-Fi, par exemple, pour se connecter à cet environnement et mener l’attaque. Lorsque nous appliquons cela à l’environnement numérique, cela devient plus sensible. Toute personne possédant un téléphone portable accédant à votre réseau pourra accéder à votre environnement. En d’autres termes, nous avons deux prémisses à respecter en télésanté : il y a plus de passerelles, et l’impact est plus grand en raison du plus grand nombre de patients disposant de données dans l’environnement numérique », renforce-t-il.
Un autre facteur aggravant important est qu’il existe une série de normes applicables et de nombreuses autorités impliquées dans ce processus réglementaire, au-delà de la LGPD. Parmi eux figurent l’Agence nationale de veille sanitaire (Anvisa), l’Agence nationale complémentaire de santé (ANS), l’Agence nationale de protection des données (ANPD), le Conseil fédéral de la médecine (CFM), d’autres conseils d’autres professionnels de la santé et le ministère. Dans le domaine de la santé numérique, ces exigences s’ajoutent aux normes qui régulent Internet et les infrastructures de sécurité. Par ailleurs, comme de nombreuses entreprises disposent de bases de données et de stockage cloud à l’étranger, pour respecter les normes de sécurité, il est nécessaire de considérer les réglementations en vigueur dans ces pays.
Il convient également de souligner que, bien qu’il y ait un grand débat au sein de l’ANPD sur la réglementation de la chaîne de santé pour désigner la responsabilité des acteurs possibles en cas de fuite, il n’y a toujours aucune disposition dans l’agenda réglementaire pour établir des normes spécifiques à suivre. par le secteur. .
« Le « comment » est un problème et un frein, justement parce qu’il n’est consolidé nulle part, ce qui n’est plus le cas dans d’autres secteurs plus réglementés, comme la finance et l’assurance par exemple. Ils disent tous qu’ils doivent se soucier de la sécurité des informations et de la confidentialité des données, mais aucun d’entre eux ne dit ce qui doit être fait. Il n’y a pas de chemin officiel. Cela amène beaucoup d’incertitude sur ce qu’il faut faire pour éviter d’être condamné à une amende », renforce le coordinateur.
Prata souligne également qu’en l’absence de ces lignes directrices, le secteur lui-même, d’autant plus qu’il connaît en profondeur les spécificités en jeu, doit agir en tant que régulateur. D’où l’importance que des entités, comme SDB, discutent de ce sujet. Outre un groupe de travail, qui offre un environnement d’échange entre les membres et implique toutes les parties prenantes, et le manuel de bonnes pratiques en télésanté et télémédecine pour accompagner les entreprises dans leurs défis, un cours sera bientôt lancé qui abordera également cette discipline.
Dans tous les cas, plusieurs mesures peuvent être adoptées pour atténuer les risques. « Chez SDB, nous travaillons sur des formes d’atténuation : formation des employés sur la confidentialité et la protection des données, sur la sécurité de l’information, des choses pratiques telles que l’encouragement de l’utilisation des appareils d’entreprise et la mise en œuvre d’une politique de bureau propre, d’un mot de passe conscient, entre autres. », explique.
Selon lui, les personnes constituent un pilier essentiel lorsqu’on parle de protection des données et de la vie privée dans le secteur des soins de santé et, quel que soit le niveau de contrôle existant, sans formation, il ne servira qu’à atténuer les dommages et à appliquer des sanctions punitives. Cela conduit à la nécessité d’établir des processus et de sensibiliser l’ensemble de l’équipe, sans exception, y compris de la haute direction à des domaines qui, à première vue, ne semblent pas avoir de relation directe avec cela.
« Le renforcement de ce pilier de l’éducation à la protection des données et à la sécurité de l’information est essentiel pour que les organisations soient en mesure non seulement de garantir la confidentialité, mais également d’atténuer les fuites et autres types d’incidents de sécurité. Le simple fait d’embaucher les meilleurs outils de sécurité ne garantira pas que vous ne rencontrerez aucun problème. Si les gens interrompent ce flux, cela ne sert à rien et il faut toujours penser à protéger le patient à la fin », conclut-il.