La protection des données de nos patients : pourquoi vous devez vous en soucier

En 2020, une attaque malveillante a frappé la base de données de Vastaamo, le service de psychothérapie privé de Finlande, qui compte plus de 30 000 utilisateurs. Les pirates informatiques ont demandé à la société une rançon de 40 bitcoins (environ 450 000 €) et ont menacé de publier les dossiers privés des patients… sans quoi. Constatant que leurs tentatives d’extorsion restaient vaines, les pirates informatiques ont alors soumis 30 000 membres de Vastaamo à un chantage par courriel.

Cette histoire effroyable illustre bien l’importance de la sécurité et de la confidentialité des données et la nécessité, pour les entreprises, d’instaurer des politiques et des processus rigoureux afin de bien prendre soin des données des patients. Les pratiques en matière de sécurité de Vastaamo se sont avérées insuffisantes. Les données sensibles n’étaient ni chiffrées ni anonymisées, et la sécurité des mots de passe était défaillante.

Vastaamo s’est vu imposer une amende de plus de 600 000 € pour avoir violé les dispositions du Règlement général sur la protection des données (RGPD). C’est devenu l’affaire pénale la plus importante de toute l’histoire de la Finlande. Mais, la brèche de sécurité a ébranlé la confiance de la société envers les institutions finlandaises, a compromis la sécurité de systèmes sensibles et a mis à mal des réseaux sociaux qui étaient censés être bien sécurisés. Chez Maple, c’est exactement contre ce type de situation que nous nous efforçons de nous prémunir et de protéger nos patients.

Dans un contexte où les ordinateurs, les appareils ménagers branchés à l’Internet et les autres appareils IdO sont omniprésents, le nombre même de services en ligne que nous utilisons au quotidien ne cesse d’augmenter. De nos jours, de nombreuses activités courantes exigent un mot de passe, des comptes en ligne et une connexion Internet.

Notre empreinte numérique est telle qu’il est impossible pour le commun des mortels d’arriver à tout contrôler. Au quotidien, notre degré de connectivité peut sembler anodin, mais les données médicales sont particulièrement sensibles et, comme illustré précédemment, leur exploitation peut avoir des effets catastrophiques. Nous estimons que nos utilisateurs devraient avoir le contrôle de leurs renseignements et savoir que nous faisons tout notre possible pour les protéger.

Relever les défis associés aux données médicales

L’un de nos objectifs consiste à donner à nos patients le contrôle de leurs données et de leurs renseignements médicaux personnels, y compris des données partagées.

Nous prenons grand soin de veiller à stocker, à partager et à divulguer les renseignements médicaux personnels contenus dans les dossiers de soins virtuels dans le respect des lois sur la confidentialité canadiennes. Lors de sa création, nous avons soumis la plateforme Maple à des consultations et des révisions très rigoureuses en matière de confidentialité afin de garantir la conformité de la tenue de dossiers et des interactions entre les médecins et les patients.

Elle a, notamment, été soumise à l’examen de la commissaire à l’information et à la protection de la vie privée de l’Ontario, examen si exhaustif que Maple a dû retarder des lancements pour tenir compte de nouvelles normes provinciales. Grâce à ces améliorations, les utilisateurs peuvent désormais choisir les renseignements qu’ils veulent transmettre à Maple et aux fournisseurs de soins de santé qu’ils consultent sur notre plateforme.

Conformément aux normes éthiques et à la pratique médicale, les fournisseurs de soins de santé sur Maple sont les seuls à pouvoir accéder aux données médicales des patients et les consulter. Nous permettons aux médecins d’établir des dossiers médicaux complets sur la plateforme afin de faciliter la continuité des soins entre les médecins et de favoriser la collaboration en matière de soins et de plans de traitement.

De plus, nous avons mis en place un système de suivi des résultats d’analyses de laboratoire et d’autres résultats critiques provenant des demandes d’examens d’imagerie et formé une équipe de soins qui assure immédiatement le suivi de tout résultat critique. Lorsqu’un suivi non urgent est nécessaire, les patients sont prévenus. Pour obtenir des soins supplémentaires, ils n’ont qu’à se connecter sur Maple.

Nos dossiers médicaux ont été conçus pour être conformes à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et à la législation provinciale applicable relative à la protection de la vie privée en matière de santé, en ce qui concerne la protection, le stockage et l’accès aux renseignements médicaux personnels.

Tous les dossiers des patients sont chiffrés et ne sont visibles que par le médecin traitant et le patient lui-même. Pour garantir la confidentialité, notre équipe administrative n’est pas en mesure de consulter ni d’examiner les renseignements relatifs aux patients, sauf si elle a obtenu le consentement explicite de ces derniers.

En outre, les patients peuvent « masquer » les données relatives à certaines consultations s’ils ne souhaitent pas qu’elles soient accessibles aux autres fournisseurs avec lesquels ils interagissent sur la plateforme. Tout partage des dossiers médicaux des patients avec d’autres fournisseurs ou programmes n’est effectué qu’à la demande du patient et avec son consentement exprès.

De plus, notre plateforme est soumise à des audits annuels rigoureux, qui permettent de comparer nos programmes en matière de sécurité de l’information à une norme et de détecter ainsi la présence de risques éventuels. C’est un niveau de maturité que des services plus récents ne peuvent égaler. Pour arriver à un tel degré de sécurité d’entreprise, nous devons y consacrer beaucoup de temps à l’échelle de l’entreprise afin de veiller à ce que tous les services de Maple satisfassent aux exigences qui leur incombent en matière de sécurité.

Processus et politiques visant à protéger les données des patients

Nous hébergeons notre infrastructure et toutes nos données de production au Canada, sur Amazon Web Services (AWS), le chef de file mondial de l’infonuagique. Pour préserver la disponibilité des systèmes et prévenir la perte de données, nous avons instauré des redondances. En cas de défaillance technique, les données sont automatiquement traitées à partir d’un dispositif de stockage de secours.

Voici d’autres processus et politiques que nous avons mis en place pour garantir la sécurité des données.

Notes de chiffrement conformes aux normes sectorielles

Les données passent d’un appareil à l’autre : c’est le fonctionnement des télécommunications Internet. Pour préserver la sécurité des données lors du transit, nous utilisons la norme sectorielle TLS 1.2 pour les chiffrer, ce qui permet d’assurer la confidentialité de toutes les données échangées.

Et, si les données sont chiffrées en cours d’acheminement, elles sont également écrites sur des disques durs chiffrés. Ainsi, si une personne devait physiquement prendre ce disque dur et le brancher dans un nouvel ordinateur, elle n’arriverait pas à le lire ni à en extraire les données, ce qui assure une protection totale.

Essais de sécurité et de fiabilités fréquents

Conformément aux pratiques exemplaires du secteur, nous faisons appel à des équipes indépendantes pour mener les tests d’intrusion et tester les limites de notre sécurité. En fait, nous « invitons » une équipe de pirates informatiques professionnels à lancer leurs pires attaques possible et à nous présenter ensuite un rapport complet sur la sécurité. Cet exercice, qui se veut préventif, nous permet de résoudre les problèmes avant que des tentatives malveillantes ne puissent porter atteinte à la sécurité informatique.

Nous avons également instauré un programme de prime aux bogues, dans le cadre duquel des chercheurs indépendants sont invités à déceler les risques à la sécurité et, en contrepartie, reçoivent une prime en espèces qui est fonction de la gravité du problème détecté.

Fonctions de sécurité

Mais, même le réseau le plus résilient du monde ne saurait être plus fort que les mots de passe de ses utilisateurs. La robustesse des mots de passe demeure la cause principale de la compromission de comptes. C’est pourquoi nous avons recours à des indicateurs de la robustesse des mots de passe pour forcer nos utilisateurs à faire preuve de vigilance lors de la création de comptes. De plus, nous utilisons l’authentification multifacteur ou à deux facteurs pour minimiser les risques qu’un pirate informatique accède au compte qu’il a piraté grâce à la deuxième couche d’authentification requise.

Nous permettons également aux utilisateurs vigilants de revoir de façon indépendante leurs identifiants de compte, de recouper les adresses IP et de veiller à ce qu’ils soient réellement les seuls à accéder à leur compte. Ils peuvent ensuite signaler toute activité suspecte à notre équipe de soutien. De plus, les utilisateurs peuvent recevoir un avis automatisé lorsqu’un nouvel appareil se connecte à leur compte. Ils sont donc immédiatement avisés de toute activité suspecte.

Plein contrôle des consultations et de la tenue de dossiers médicaux

Nous sommes d’avis que les plateformes de soins virtuels doivent s’intégrer au réseau de santé canadien pour offrir encore plus d’avantages aux patients.

Par exemple, il revient encore bien souvent aux Canadiens, eux-mêmes, d’avertir leur médecin de famille d’une consultation qu’ils ont effectuée dans une clinique sans rendez-vous. Une fois leur médecin informé, la continuité des dossiers médicaux laisse encore à désirer.

Maple a été conçue en partie pour résoudre ces types de problèmes et accroître l’interconnectivité du système de santé. Après chaque consultation sur Maple, un dossier dans lequel sont consignés les détails de la conversation avec le fournisseur, les billets du médecin, les ordonnances, les demandes de test ou d’analyse et d’autres renseignements, est stocké, et l’utilisateur peut y accéder dès qu’il le souhaite.

Les patients peuvent demander qu’un résumé de leurs consultations sur Maple soit envoyé par télécopieur à leur médecin de famille ou au fournisseur de leur choix.

Tous les dossiers créés sur Maple sont stockés en toute sécurité. Nous ne procédons à aucun nettoyage automatique et nous ne les supprimons pas. Nous avons la conviction ferme que les utilisateurs doivent avoir la possibilité d’accéder aux dossiers, selon leurs besoins.

Un fournisseur de soins virtuels qui en fait beaucoup aide votre organisation : voici comment

À l’heure où les pirates informatiques déploient toutes sortes de stratégies d’attaques crapuleuses, la gestion des risques liés aux tiers devient un enjeu de première importance.

C’en est fini de l’époque où des applications étaient installées sur un ordinateur personnel et où les données étaient hébergées au siège social d’une entreprise. Les technologies et outils à la demande détenus auprès de plusieurs fournisseurs sont désormais la norme, et la fiabilité et la sécurité des fournisseurs importent plus que jamais.

Un partenariat avec un grand joueur, comme Maple, simplifie le processus de déploiement, en grande partie en raison de la robustesse de nos protocoles de sécurité et de notre expérience dans le traitement des requêtes.

Notre programme de sécurité de qualité supérieure simplifie le processus d’approbation de votre équipe des TI. C’est donc avec toute confiance que vous pouvez offrir Maple en tant qu’avantage social à vos employés.

Pour en apprendre davantage sur la sécurité ou la confidentialité et sur les mesures que nous prenons pour protéger les données des patients, n’hésitez pas à communiquer avec un membre de notre équipe. En tant que plus grand fournisseur de soins virtuels au Canada, nous nous ferons un plaisir de discuter de nos solutions avec vous.