La table ronde EDI 2023 organisée le 30 juin dans la salle du Grand Conseil de Lucerne a été placée sous le signe de la nLPD, laquelle entrera en vigueur sans délai transitoire au 1er septembre 2023. Qu’est-ce qui change pour le domaine de la santé? Dans leur exposé, Hellmuth Brandt de x-tention Informationstechnologie AG et André Baumgart de l’Association des hôpitaux zurichois (VZK) donnent un aperçu de leur collaboration.

La question qui préoccupe actuellement les collaborateurs du domaine de santé est la suivante: la révision de la loi fédérale sur la protection des données apporte-t-elle de nombreux changements? Hellmuth Brandt et André Baumgart ont rendu compte de leur collaboration fructueuse et ont donné leur avis pour l’avenir. L’exemple du canton de Zurich montre clairement que la protection des données n’est pas la même pour tous. Si, par exemple, l’on doit subir une ablation de l’appendice et rester à l’hôpital, ces données sont soumises à d’autres dispositions que celles d’une personne qui se fait coudre le doigt en ambulatoire. Les hôpitaux sous mandat de prestations cantonal, appelés hôpitaux répertoriés, sont soumis au droit cantonal de la protection des données pour les traitements stationnaires, alors que les traitements ambulatoires sont soumis à la protection des données de la Confédération. Que signifie signifie donc cela en rapport avec la nLPD?

x-tention, la page dédiée aux conseillers

Hellmuth Brandt est «un défenseur passionné de la protection des données», une passion qui complète parfaitement sa fascination pour le travail d’informaticien. C’est la raison pour laquelle les innovations et les défis qui sont liés présentent un grand intérêt pour lui. «J’aime cela», dit-il à propos de la nouvelle loi sur la protection des données, «et cela n’apporte, en fin de compte, que peu de changements pour les hôpitaux sous mandat de prestations cantonal».

En tant que conseiller en sécurité de l’information et en protection des données chez x-tention, il considère que la protection des données est à la croisée de différents domaines tels que l’informatique, la protection des données, la sécurité de l’information ainsi que le marketing et les opérations commerciales. «Tous ces secteurs doivent trouver un langage commun pour pouvoir communiquer et collaborer ensemble». Il revient à la direction de trouver ce langage commun, car elle doit jouer le rôle de médiateur entre ces différents domaines et doit également montrer l’exemple. «Sinon, cela ne marchera pas. C’est précisément pour cette raison que l’introduction et le respect de normes sont si importants. Les informations que nous pouvons extraire des données doivent être protégées de la meilleure façon possible». Dans cette optique, x-tention offre un soutien au travers de la mise à disposition de packs de modèles sur la protection des données et la sécurité de l’information, spécialement conçus pour les hôpitaux suisses et facilement personnalisables.

Association des hôpitaux zurichois (VKZ), côté client

Le Dr André Baumgart, responsable de la qualité de la sécurité des patients et de l’information au sein de l’Association des hôpitaux zurichois (VKZ), donne également un avis favorable à l’élaboration des directives claires. Cette association a toujours fait appel au savoir-faire de x-tension. En ce qui concerne l’état actuel de la mise en œuvre dans les hôpitaux zurichois, Baumgart se montre confiant. «Au sein de l’Association des hôpitaux zurichois (VKZ), nous sommes occupés à mettre en œuvre ce projet. En partie, c’était et c’est encore très pénible, pas seulement à cause de la Covid, mais aussi à cause d’un problème récurrent: le manque de ressources RH dans les hôpitaux. En outre, de nombreux hôpitaux veulent être aussi libres que possible et ne pas avoir d’équipes permanentes de conseillers à leurs côtés.

Toutefois, par rapport à l’année dernière, nous observons une nette amélioration qualitative. Les exigences du projet et les mesures techniques, opérationnelles et de personnel (TOP) sont définies de manière plus claire ou fixe pour la mise en œuvre; le guide est actuellement appliqué et 50 à 60 % des exigences de la norme ISO 27001 sont ainsi déjà respectées. Des campagnes de sensibilisation sont également menées. La protection des données est entrée dans la conscience des collaborateurs, y compris dans le domaine opérationnel.»

Bilan et perspectives

Hellmuth Brandt résume ainsi: «La collaboration avec l’Association des hôpitaux zurichois (VKZ) est certes intense et intéressante, mais elle procure beaucoup de plaisir. Même si toutes les institutions n’ont pas encore totalement atteint leur objectif, il est important que les hôpitaux s’engagent dans cette voie. De toute façon, on n’est jamais prêt». Le Dr André Baumgart se tourne vers l’avenir: «Le premier objectif est certainement de mettre en œuvre intégralement le présent guide. Dans un deuxième temps, les normes seront renforcées et des certifications ISO seront éventuellement exigées». Il reste encore beaucoup à faire, mais nous sommes sur la bonne voie.

Ce qu’il faut faire pour la protection des données

• Vivre et montrer l’exemple en matière de protection des données et de sécurité de l’information
• Effectuer une analyse annuelle de la situation actuelle

• Procéder par ordre de priorité sur la base de l’analyse annuelle de la situation actuelle
• Planifier en fonction des ressources disponibles
• Impliquer activement la direction et exiger une prise de responsabilité durable pour garantir l’état de la technique
• Créer et maintenir une sensibilisation permanente
• Désigner des ambassadeurs de la protection des données et de la sécurité de l’information dans toute l’organisation et les impliquer activement

Ce qu’il ne faut pas faire

• La protection des données et la sécurité de l’information ne sont pas seulement un projet
• Commencer tout simplement
• Vouloir tout commencer d’un seul coup
• Remplacer les tâches quotidiennes par le projet
• Suivre simplement les déclarations de la direction
• Accepter l’attribution des risques en dehors de la direction
• Effectuer des formations pour le personnel et des formations de plus de 30 minutes
• Accepter des déclarations telles que «La protection des données interdit» ou «La sécurité de l’information interdit» sans autre justification

Présentation (PDF)