Enquêtes de satisfaction : Faut-il un hébergement agréé pour des données de santé ?
L'objectif de la certification HDS consiste à renforcer la protection des données personnelles et de santé. La numérisation a pour effet de renforcer la sécurité des établissements de santé. Dès lors, pourquoi la certification HDS est-elle obligatoire ? Quelles sont les conditions requises ? Et depuis quand cette certification est-elle en place ?
Qu’est ce qu’une donnée de santé ?
D'un point de vue juridique, une donnée de santé est définie comme toute information relative à la santé physique ou mentale d'une personne, obtenue de diverses manières, qui permet d'identifier directement ou indirectement cette personne. En Europe, cette définition est encadrée par le Règlement Général sur la Protection des Données (RGPD).
Selon le RGPD, les données de santé incluent entre autres :
- Les données générées par des professionnels de santé : Informations issues de diagnostics médicaux, traitements médicaux, soins hospitaliers, dossiers médicaux, etc.
- Les données issues de dispositifs médicaux : Données enregistrées par des dispositifs médicaux ou des applications de santé.
- Les informations génétiques et biométriques : Informations obtenues par des analyses génétiques ou biométriques qui peuvent révéler des aspects de la santé d'une personne.
- Les informations sur l'état de santé actuel ou passé : comprenant les antécédents médicaux, les conditions chroniques, les allergies, etc.
- Les informations comportementales et de bien-être : Données relatives aux habitudes de vie, à l'activité physique, à la nutrition, au sommeil, etc., lorsqu'elles sont traitées dans un contexte de santé.
Le RGPD précise également que les données de santé sont des catégories particulières de données personnelles nécessitant une protection renforcée en raison de leur sensibilité. Leur traitement est soumis à des règles strictes, notamment en termes de consentement, de finalité, et de sécurité, pour protéger les droits et les libertés des personnes concernées.
Quelle est l'importance de la certification HDS pour WeDoxa ?
WeDoxa n’a pas vocation à collecter des données de santé pour réaliser son activité. Il arrive toutefois que, lors des enquêtes de satisfaction, des informations relatives à la pathologie d’un résident ou d’un patient puissent être transmises. C’est le cas notamment au travers des commentaires libres (verbatim) rédigés par les personnes interrogées. Afin d’être en totale conformité avec la réglementation, WeDoxa héberge les données dans un data-center certifié ISO 27001 agréé par le ministère de la Santé.
Il convient de préciser que la propriété des données reste sous la responsabilité de l’établissement même si l’hébergement est réalisé par un prestataire informatique spécialisé. WeDoxa (prestataire) ne peut utiliser les données à d’autres fins que celles définies par l’établissement : EHPAD, Résidence séniors, Agence d’aide à domicile, Cliniques SMR.
L.1111-8 du Code de la santé publique, modifié par la loi n° 2016-41 du 26 janvier 2016
Consulter le(s) article(s) en lien :
Quelles sont les obligations RGPD pour les enquêtes de satisfaction ?