Avec les récents articles traitant de nombreuses cyberattaques dans le milieu de la santé, il n’est pas surprenant d’apprendre que les mesures de sécurité doivent être resserrées à plusieurs niveaux.
Des failles de sécurité surviennent entre autres lorsque les dossiers des patients sont :
- partagés sans le consentement
- consultés par du personnel qui n’est pas assigné au cas
- obtenus par des pirates informatiques en dehors de l’organisation
Violations de sécurité rapportées dans les médias
En juillet 2015, 4,5 millions de dossiers patients du Centre UCLA Health ont fait l’objet d’une attaque informatique. Cet événement faisait suite au piratage d’un régime d’assurance-maladie qui a touché 80 millions d’Américains plus tôt dans l’année.
Les parties du réseau [compromis] contenaient des noms, dates de naissance, numéros d’assurance sociale, numéros de police d’assurance-maladie ainsi que de l’information médicale tels que les diagnostics des patients et les interventions subies.
Plus récemment, un hôpital d’Hollywood a dû payer une rançon de 17 000 $ pour recouvrer l’accès à ses dossiers patients.
Des pirates ont pris le contrôle des réseaux informatiques pour les mettre hors ligne et demander une rançon de 5 millions de dollars. L’établissement n’avait plus accès aux courriel, aux dossiers patients numériques et certains services médicaux reliés à Internet.
Failles de sécurité internes
Fait assez intéressant : les failles de sécurité ont souvent lieu au sein des organisations et sont causées par des membres du personnel plutôt que par des tiers.
Récemment, l’Hôpital Trillium Health de Toronto a fait face à une poursuite de 2 millions en dommages. Lisa Lyons, une assistante en Ophtalmologie, a accédé à des données confidentielles sans avoir le pouvoir de le faire ou avoir préalablement obtenu le consentement du patient.
Lisa Lyons a utilisé son droit d’accès à la base de données de l’hôpital pour secrètement consulter les dossiers médicaux des patients des centaines de fois, et ce, sur une période de plusieurs années [...] Ces dossiers contiennent de l’information critique et confidentielle sur les antécédents médicaux des patients telle que la médication, les traitements, les interventions, les maladies et les troubles dont ils souffrent, la situation familiale, etc.
Similairement, l’hôpital Island Health de Victoria a dû aviser 198 patients d’une violation de leur dossier médical causée par deux de leurs employés.
L’enquête de l’hôpital a confirmé que les employés ont utilisé leur accès privilégié pour consulter les dossiers de patients avec qui ils n’avaient aucune relation de soins ou de services. C’était la deuxième faille de sécurité en moins d’un an au sein de cet hôpital. En avril 2015, un employé fut congédié après qu’il ait consulté 39 dossiers patients sans raison.
C’est donc dire que l’importance de sauvegarder l’information confidentielle des patients ne se limite pas à protéger les données des attaques externes. Il faut inculquer des mesures de sécurité au personnel des organisations en santé.
Protéger les données de dossiers patients durant les transferts ou les consultations nécessite un réseau sécurisé pour que les médecins et autres professionnels de la santé puissent s’échanger de l’information confidentielle. Les hôpitaux devraient implanter une plateforme de messagerie sécurisée pour que le personnel ait une façon de partager de l’information rapidement et en toute confidentialité. Les messages encodés rendent pratiquement impossibles pour des tiers d’accéder à leur contenu.