Nous sommes tous conscients des récents gros titres sur de graves violations de données d’informations personnelles et des incidents cybernétiques similaires, du vol de 145 millions d’enregistrements auprès d’une grande agence d’évaluation du crédit aux signalements de rançongiciels paralysant des entreprises. Mais de toutes les données exposées, une violation de nos informations de santé est probablement la plus préoccupante.

• Les données de santé sont très personnelles et peuvent contenir des informations que nous souhaitons garder confidentielles (p. ex., les dossiers de santé mentale) ou susceptibles d’avoir un impact sur les perspectives d’emploi ou la couverture d’assurance (p. ex., une maladie chronique ou les antécédents familiaux de santé).

• Elles ont une longue durée de vie – une carte de crédit exposée peut être annulée, mais vos antécédents médicaux vous accompagnent toute votre vie.

• Elles sont très complètes et exhaustives – les informations que les organismes de santé détiennent sur leurs patients comprennent non seulement des données médicales, mais aussi des informations sur les assurances et les comptes financiers. Il peut s’agir d’informations personnelles comme les numéros de Sécurité sociale, les adresses ou même les noms des plus proches parents. Une telle richesse de données peut être monétisée par des adversaires cybernétiques de nombreuses façons.

• Dans notre monde numérique des soins de santé, la disponibilité fiable de données de santé exactes pour les cliniciens est essentielle à la prestation des soins, et toute interruption de l’accès à ces données peut retarder les soins ou compromettre le diagnostic.

La confidentialité et la sécurité des informations de santé sont strictement réglementées aux États-Unis par des lois fédérales, telles que la Health Insurance Portability and Accountability Act de 1996 (HIPAA), mais aussi par diverses lois des États et des lois protégeant les individus contre la discrimination fondée sur les données génétiques.

Malheureusement, les violations de données de santé sont trop courantes. Pour 2016, le département américain de la Santé et des Services sociaux a signalé un total de 450 violations de données dans le secteur de la santé touchant plus de 27 millions de patients, les 10 plus grands incidents représentant à eux seuls la moitié des enregistrements compromis (13 millions). Et, ce qui est le plus préoccupant, plus de la moitié de l’ensemble des violations étaient dues à des cyberattaques externes, par opposition à une exposition accidentelle due à une erreur humaine ou à la perte d’appareils.

Examiner des exemples récents d’incidents de sécurité dans le secteur de la santé montrera un large éventail d’événements et de motivations sous-jacentes du cybercriminel. Nous avons vu des rapports d’employés d’hôpitaux consultant des dossiers médicaux par curiosité ou publiant des informations sur des patients sur les réseaux sociaux. Il y a également eu des cas où l’identité, les informations financières ou d’assurance d’une personne sont volées à des fins personnelles ‒ par exemple pour contracter un prêt hypothécaire ou recevoir des services médicaux au nom de quelqu’un d’autre (et sur l’assurance de quelqu’un d’autre).

Les incidents qui ont un impact plus large et touchent davantage de patients sont le vol de dossiers médicaux et les tentatives d’extorsion des organismes de santé en menaçant de divulguer les données volées. Les établissements de santé ont également été touchés par des rançongiciels, certains décidant de payer et d’autres non, choisissant plutôt d’accepter l’impact sur les services aux patients et la perte de revenus.

Pour les prestataires de soins et les assureurs, il n’existe généralement aucune limitation pour les patients de divulguer des informations sur leur santé. Tout comme tout patient peut (et devrait le plus souvent) partager ses préoccupations concernant sa santé avec sa famille et ses amis, tout patient peut désormais facilement partager tout ce qu’il veut avec le monde entier via les réseaux sociaux ou rejoindre un groupe de soutien en ligne. Bien que ce soient généralement des démarches positives qui aident une personne ayant des préoccupations de santé à trouver du soutien et à recevoir des conseils, nous devons désormais être beaucoup plus conscients de ce que nous partageons et de l’endroit où cela finit.

Quelle est la taille de votre réseau social, et qui peut voir ce que vous partagez ? Qui héberge le groupe de soutien que vous venez de rejoindre et quel est son engagement en matière de confidentialité des données ? De nombreux sites, surtout s’ils sont hébergés par des organisations réputées, sont sûrs. Mais comment savoir quelles informations, le cas échéant, peuvent être partagées et analysées à des fins de marketing ou autres ?

Il ne faut en aucun cas interpréter ce conseil comme étant contre le partage ou la recherche de soutien en ligne. Plus nous en savons, mieux nous sommes préparés, et meilleures seront les décisions de soins que nous pourrons prendre. La richesse d’informations que nous pouvons tirer d’Internet a conduit à une population de patients plus informée, beaucoup plus capable de s’impliquer et de faire partie du processus de guérison.

Cependant, les inquiétudes concernant la capacité de votre prestataire de soins à protéger vos données ne devraient pas conduire les patients à retenir des informations. Même à l’ère numérique, la relation de confiance patient-médecin reste l’aspect le plus important de notre système de santé – et cette confiance va dans les deux sens : les patients doivent faire confiance à leurs prestataires pour des informations souvent intimes et personnelles, et les prestataires doivent savoir que leurs patients ne retiennent rien en raison de préoccupations de confidentialité.

Nous sommes entrés dans la nouvelle ère de la médecine numérique et de la disponibilité quasi universelle de l’information, ce qui conduit à de meilleurs diagnostics et à des traitements plus efficaces, réduisant en fin de compte la souffrance et prolongeant les vies. Cependant, cette grande opportunité s’accompagne également de nouveaux risques et nous tous – prestataires de soins comme patients – devons être conscients de la façon dont nous utilisons cette nouvelle technologie et partageons les informations.

Les blogs suivants de cette série discuteront de ces questions plus en détail, en se penchant plus précisément sur les réseaux sociaux, les applications de santé et les dispositifs personnels de santé et de remise en forme, et examineront comment nous, en tant que patients et consommateurs, pouvons mieux nous protéger ainsi que nos informations.

À propos des auteurs

Les auteurs sont membres du comité de confidentialité et de sécurité de la Healthcare Information and Management Systems Society (HIMSS) :

Bayardo Alvarez, CPHIMS, est le directeur des technologies de l’information du Boston PainCare Center, un cabinet pluridisciplinaire axé sur le traitement et la recherche de la douleur chronique. Ses responsabilités comprennent la supervision du programme de cybersécurité et de la conformité de Boston PainCare. Bayardo travaille dans le secteur des soins de santé depuis plus d’une décennie et possède plus de 30 ans d’expérience dans les technologies de l’information. Il est l’actuel président du comité de confidentialité et de sécurité de HIMSS.

Carrie McGlaughlin, CISM, a travaillé pendant deux décennies dans l’informatique de santé et est la directrice des technologies de l’information et responsable de la sécurité HIPAA au Buckeye Ranch, une organisation de santé comportementale et mentale pour les jeunes et les familles.

Axel Wirth, CPHIMS, CISSP, HCISPP, est un architecte de solutions éminent pour le secteur américain des soins de santé chez Symantec Corporation. Il apporte une vision stratégique et un leadership technique au sein du secteur Santé de Symantec, en jouant un rôle consultatif auprès des prestataires de soins, des partenaires de l’industrie et des professionnels des technologies de la santé. Fort de plus de 30 ans d’expérience internationale dans le secteur, M. Wirth aide les clients santé de Symantec à résoudre leurs défis critiques en matière de sécurité, de confidentialité, de conformité et de gestion informatique.