Par Emerson Carrijo
La transformation numérique a profondément modifié la façon dont les cliniques et les hôpitaux interagissent avec leurs patients. Aujourd'hui, il est naturel de planifier des rendez-vous via des applications, d'envoyer des rappels automatiques ou de résoudre rapidement des questions via des messages.
Du point de vue du patient, cela représente une commodité. Pour les établissements de santé, efficacité opérationnelle.
Ce que je vois encore peu discuté parmi les leaders de l'industrie, c'est que cette nouvelle dynamique de communication est également devenue l'un des principaux points de risque par rapport à la LGPD.
La loi générale sur la protection des données qualifie les informations liées à la santé comme données personnelles sensibles. Cela inclut les diagnostics, les examens, les antécédents cliniques et même des interactions apparemment simples sur les symptômes. En d’autres termes, la plupart des conversations quotidiennes que les cliniques et les hôpitaux ont avec les patients portent sur des informations qui nécessitent des niveaux de protection élevés.
En théorie, cela semble clair. En pratique, pas toujours. De nombreuses organisations ont investi dans les dossiers médicaux électroniques et dans l’infrastructure informatique, mais considèrent toujours la communication avec les patients comme opérationnelle. Les résultats de tests envoyés via le mauvais canal, les informations cliniques partagées sans contrôle adéquat ou les interactions enregistrées en dehors de plateformes sécurisées sont encore des situations plus courantes qu’on pourrait l’imaginer.
Et c’est précisément là que surviennent les plus grands risques. Selon le rapport mondial d'IBM sur le coût d'une violation de données, le secteur de la santé continue d'être en tête du classement des violations de données les plus coûteuses au monde, avec un coût moyen de plus de 7 millions de dollars par incident. Ce chiffre permet de mesurer l’impact qu’une exposition de données peut avoir sur une organisation.
Mais dans le secteur de la santé, l’impact va au-delà du financier. La relation entre le patient et l’institution est fondée sur la confiance. Lorsque des informations médicales sont exposées, nous ne parlons pas uniquement de données. Nous parlons de diagnostics, de traitements et d'aspects extrêmement personnels de la vie des gens.
La LGPD elle-même prévoit des amendes pouvant atteindre 2 % du chiffre d'affaires annuel de l'entreprise, limitées à 50 millions de reais par infraction. Pourtant, dans la plupart des cas, les atteintes à la réputation sont bien plus importantes.
Par conséquent, la discussion sur la LGPD dans le domaine de la santé ne doit pas se limiter aux domaines juridiques ou technologiques. Il s’agit d’un sujet de gouvernance qui doit figurer à l’ordre du jour des dirigeants.
Je fais toujours une provocation lorsque je parle aux dirigeants de l'industrie : votre organisation sait-elle vraiment comment les données des patients circulent au sein de l'opération ?
Par quels canaux transitent ces informations ? Qui y a accès ? Et quelles interactions ont lieu en dehors des environnements contrôlés ? Répondre à ces questions n’est plus seulement une bonne pratique. C’est devenu un élément essentiel du management.
Dans le secteur de la santé, protéger les données ne consiste pas seulement à remplir une obligation réglementaire. C’est protéger ce qui soutient toute la relation avec le patient : la confiance.
*Emerson Carrijo est PDG de C&M Executive.
