Patients en danger en cas de hacking

Publié le 18/11/2019 dans Récits de clients

Patients en danger en cas de hacking

Imaginez : vous apprenez qu’un pirate a mis vos données médicales en vente sur Internet… Impensable, n’est-ce pas ? C’est pourquoi la cybersécurité est une priorité absolue pour un hôpital.

Quelle est l’importance de la sécurité des données pour le secteur hospitalier ?

Stefaan Vansteenkiste, directeur IT du Heilig-Hartziekenhuis de Lierre : “C’est une priorité absolue. Les données médicales, tout comme les données personnelles – de nos patients et de nos collaborateurs –, sont très sensibles. Un hôpital est tenu de conserver les données de ses patients pendant 10 ans, 30 en cas de décès. Quand on sait qu’elles permettent de reconstituer la vie entière d’une personne, on comprend la convoitise des hackers... et la nécessité de protéger ces ressources précieuses.”

“Un hôpital utilise plus de 200 systèmes interconnectés. Un pirate pourrait s’introduire sur le réseau et provoquer des permutations de données aux conséquences désastreuses (erreur de patient), l’arrêt forcé des services, voire la fermeture pure et simple de l’établissement.”

Découvrez tout sur la sécurité et sécurisez votre projet.

Solutions de sécurité

Comment l’hôpital s’est-il adapté au RGPD et à la directive NIS ?

“Pour le RGPD, nous avons élaboré un plan d’action pour satisfaire à toutes les exigences. Nous avons engagé un délégué à la protection des données et passé des accords avec nos fournisseurs et nos médecins. Un bureau indépendant a testé notre conformité à la norme NEN 7510 sur la protection des informations dans le secteur des soins de santé. Tous nos patients et collaborateurs ont accès à notre déclaration de confidentialité et peuvent nous poser des questions via un nouveau canal ad hoc. Mais c’est un travail permanent.”

“Pour la directive NIS, le secteur doit encore être officiellement informé (l’interview a eu lieu le 5 septembre 2019). Ensuite nous aurons six mois pour nous mettre en conformité. Nous n’avons pas encore commencé, mais nos informations sont déjà protégées. Il ne nous restera plus qu’à apporter les quelques changements nécessaires au respect des normes ISO 72001 et NEN 7510.”

La législation en matière de protection des données doit s’intéresser davantage au fond, en intégrant des audits obligatoires, par exemple. Aujourd’hui, les journaux que l’on tient sont rarement vérifiés.

Stefaan Vansteenkiste, directeur IT du Heilig- Hartziekenhuis de Lierre

author

Le RGPD et la directive NIS exigent des profils spécifiques. Comment les avez-vous trouvés ?

“Pour la protection de nos informations, nous avons fait appel à BDO. Pour le RGPD, nous avons voulu recruter un délégué à la protection des données, mais peu de candidats avaient le profil requis. Nous avons accepté une offre de Proximus et choisi un consultant externe comme délégué. Le but est de lui confier à terme la protection des données de l ’ensemble du réseau de l’hôpital. Pour la directive NIS, nous attendons la communication des autorités, puis nous évaluerons les répercussions. Nous avons déjà informé nos collaborateurs. C’est notre DPD qui sera responsable de la conformité NIS.”

Regardez dans la vidéo comment le Heilig-hartziekenhuis de Lierre se concentre sur la sécurité.

Regardez la vidéo

Qu’attendez-vous de l’avenir en termes de protection ?

“Ma réponse tient en deux mots : durcissement et complexification. Mais ce sont surtout des dispositions législatives de fond qui sont nécessaires. Pour le moment, tout n’est que technique. Où sont les audits et les règles en matière de surveillance active et de gestion des anomalies ? Un audit oblige une institution à contrôler sa protection des données, tandis que les journaux que nous tenons sont rarement vérifiés. Les normes doivent davantage tenir compte de la pratique sur le terrain. Nos médecins comprennent les enjeux, mais les règles strictes font obstacle à leur travail. Cela ne peut pas durer.”

Le Heilig-Hartziekenhuis de Lierre fondé en 1236, est un hôpital général qui compte 450 lits et 1.600 collaborateurs. En attendant son nouveau bâtiment prévu pour 2030, l’hôpital se transforme pour se préparer à l’avenir. L’IT est au coeur de ce processus.

Stefaan Vansteenkiste a travaillé 14 ans pour un développeur de logiciels médicaux avant de monter sa propre entreprise de services IT spécialisée dans le secteur des soins de santé. Il a déjà aidé plusieurs hôpitaux à optimiser leur IT. Depuis 2017, il est directeur IT du Heilig-Hartziekenhuis de Lierre.

One

Le magazine IT de Proximus qui s’adresse aux CIO et professionnels IT actifs dans les PME. 

Les autres articles de One