Blog Sécurité des données

Gouvernance des données dans le secteur de la santé : guide complet

De tous les marchés verticaux qui ont besoin d’une politique complète de gouvernance des données, celui de la santé est probablement celui qui arrive en tête. Songez à l’immense quantité...
Michael Buckbee
5 minute de lecture
Dernière mise à jour 28 octobre 2021

Contents

    De tous les marchés verticaux qui ont besoin d’une politique complète de gouvernance des données, celui de la santé est probablement celui qui arrive en tête. Songez à l’immense quantité de données de santé associées à tout être humain, au caractère personnel des données médicales et à l’issue favorable ou fatale qui dépend de l’exactitude de ces données. On comprend que la gouvernance des données soit de la plus haute importance dans le secteur de la santé.

    En quoi la gouvernance des données est-elle importante dans le secteur de la santé ?

    Dire que la gouvernance des données est importante dans le domaine de la santé semble une évidence, mais qu’entend-on exactement par gouvernance des données ?

    La gouvernance des données est le processus et la procédure suivis par les organisations pour gérer et protéger leurs données. Dans ce contexte, les données peuvent désigner soit la totalité soit un sous-ensemble des actifs numériques et/ou imprimés d’une entreprise. Dans le secteur de la santé, ces données correspondent aux dossiers des patients, résultats d’analyses sanguines, électrocardiogrammes, IRM, factures, ordonnances et autres informations médicales confidentielles.

    Les données médicales sont les données dont ont besoin les professionnels de la santé pour prendre des décisions informées sur les soins à apporter à leurs patients. La gouvernance des données apporte aux établissements de santé une méthode de partage des données médicales à la fois normalisée et structurée, afin d’offrir des soins de la plus haute qualité à chaque patient.

    En France, les données de santé ont été définies en avril 2016 par la législation de l’Union européenne comme étant des « données à caractère personnel relatives à la santé mentale et physique d’une personne, y compris la prestation de services de soins de la santé qui révèlent une information sur l’état de santé de la personne (…) présent, passé et futur ». Par donnée de santé, le règlement européen entend « toute information concernant une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée, indépendamment de sa source ».

    types of data in healthcare santé

    Aux États-Unis, Le Health Insurance Portability and Accountability Act (HIPAA) est la loi qui concerne la sécurité et la confidentialité des informations médicales ou, dans le langage de l’HIPAA, les informations de santé protégées (PHI). D’après la loi, « les entités couvertes », principalement les hôpitaux, assurés et organisations qui traitent les PHI pour eux, ont la responsabilité légale d’assurer la protection des informations de santé protégées.

    De nombreuses infrastructures de santé en France choisissent de se conformer à cette réglementation venant d’outre Atlantique car elle relève de bonnes pratiques de gourvernance et de sécurisation des données.

    En 2018, les amendes de l’HIPAA ont coûté 28 millions de dollars au secteur de la santé à lui seul. L’Office of Civil Rights (OCR) prélève les amendes pour non-respect de l’HIPAA en fonction du nombre d’enregistrements de PHI exposés, en tenant compte du niveau de conformité de l’organisation contrevenante dans sa demande. Les amendes liées à l’HIPAA et les autres exigences réglementaires de remédiation et d’audit contribuent à faire du coût global des violations du secteur de la santé un des plus élevés de tous les secteurs.

    Autrement dit, plus votre plan de gouvernance des données est efficace et moins l’amende à payer en cas de violation sera élevée. Et c’est tout aussi valable sur le territoire français sous l’égide du RGPD !

    Vulnérabilités des données de santé

    Voici quelques idées à méditer en matière de gouvernance :

    • Une bonne gouvernance des données et une analyse de haute qualité devraient occuper une place clé dans toute stratégie métier appliquée dans le secteur médical. Vous réduisez les risques (amendes et autres sanctions), et vous améliorez votre compréhension (et le perfectionnement) des workflows de données sous-jacents : le traitement gagne en efficacité.
    • D’après le Stanford Medicine 2018 Health Trends Report, l’automatisation et le partage de données ont le potentiel de révolutionner le secteur de la santé pour le meilleur. Stanford imagine un monde dans lequel l’intelligence artificielle analyse vos données médicales et vous fournit un diagnostic par téléphone portable. Toutefois, pour en arriver là, les établissements de santé (universités, hôpitaux, centres de recherche et entreprises technologiques) doivent adopter le même langage de données et celles-ci doivent circuler librement et en toute sécurité dans tout le système de santé.
    • La croissance exponentielle des données électroniques de santé et les récentes fusions et acquisitions du secteur (Aetna et CVS) sont à la source d’un immense défi à relever en matière de gouvernance des données. La gestion d’un volume de données toujours plus important et la fusion d’ensembles de données hétérogènes sont des problèmes complexes. Les entreprises qui traiteront bien leurs données réussiront et feront des bénéfices.

    Quelle est la différence entre gouvernance des données et gouvernance des informations dans le secteur de la santé ?

    Dans le secteur médical, la gouvernance des données diffère légèrement de la gestion des informations, en dépit de l’utilisation interchangeable des deux termes jusqu’à présent dans cet article. Du point de vue cybersécurité/conformité, il est plus simple de considérer qu’il s’agit de la même chose.

    Appliquée au médical, la gouvernance des données s’applique à chacune des données individuelles : identifiant du patient, tension artérielle, etc. Elle consiste à protéger, sécuriser et réunir avec précision chacune des données.

    Dans le domaine de la santé, la gouvernance des informations désigne le processus et les systèmes qui permettent d’utiliser les données de manière à prendre des décisions sur les soins à apporter au patient.

    Par exemple, la tension artérielle relevée pour un patient au cours des deux dernières années s’inscrit dans la gouvernance des données.

    data governance vs information governance

    Par contre, il y a gouvernance des informations lorsqu’un médecin, ou une intelligence artificielle, réunit les relevés de pression sanguine du patient sur les deux dernières années et les utilise pour lui diagnostiquer une hypertension et lui conseiller un traitement adapté.

    Tout est une question de nuance, mais si vous parlez à un professionnel de la santé de ses projets de gouvernance des données, il est bien possible qu’il s’attende à parler de gouvernance des informations.

    Étapes à suivre pour mettre en place une gouvernance efficace des données dans le secteur de la santé

    Voici par où commencer pour lancer votre projet de gouvernance des données.

    steps to implement strong data governance in healthcare

    1.Déterminez où vos informations de santé protégées sont conservées

    Catégorisez et classez votre système de fichiers pour découvrir où se trouvent vos informations de santé protégées. Il est impossible de protéger ce que l’on ne connaît pas. Déterminez les droits des dossiers et fichiers de tout votre stockage de données. Effectuez une recherche dans chacun des fichiers pour savoir s’il contient des informations de santé protégées et, si c’est le cas, marquez-le comme sensible.

    Établissez des relations de corrélation entre toutes ces données – vos structures de droits et les données sensibles classifiées – et établissez un profil de risque complet. Vous utiliserez ce profil de risque pour poursuivre le processus de gouvernance des données.

    2.Réévaluez les droits d’accès

    Un des objectifs de tout programme de gouvernance des données est d’appliquer un modèle de moindre privilège. Lorsqu’un modèle de moindre privilège est en place, chaque utilisateur (personne ou compte de service) possède seulement les droits dont il a besoin pour faire son travail.

    Avant de pouvoir faire du nettoyage dans les droits, il peut être nécessaire de retirer les groupes à accès global et de corriger les problèmes d’héritage. Faites-le avant de commencer à modifier les droits ou les affectations aux groupes.

    Une fois que vous avez mis en place un modèle de moindre privilège, vous devez vous y tenir. Mettez en place un processus accordant aux propriétaires de données le pouvoir de contrôler leurs données, et donnez-leur la possibilité d’ajouter et retirer des accès selon les besoins et de contrôler les droits régulièrement.

    Téléchargez un Livre-Blanc sur la stratégie de sécurité Zero Trust, portée par Forrester Research, et les plus importantes sociétés de cybersécurité

    "La question n’est pas de savoir « si » l’entreprise sera piratée, mais « quand ». Préparez-vous avec le Zero trust"

    3.Supprimez les données obsolètes

    Un des principaux risques associés aux données non structurées réside dans les données qui ne sont plus utilisées ou nécessaires : les données obsolètes. Les données obsolètes sont d’excellentes cibles pour les voleurs de données. Alors faites en sorte de trouver ces données oubliées, de les verrouiller et, si possible, de les supprimer de vos dépôts de données.

    4.Identifiez et formez les employés clés

    Formez une équipe transversale dédiée à la gouvernance des données, constituée de gestionnaires de données, propriétaires de données et analystes de données. Les propriétaires de données sont les gardiens de leurs données. Ils savent qui a, et devrait avoir accès à leurs données. De nombreuses organisations ajoutent un directeur des données (CDO) responsable de la gouvernance des données de toute l’organisation. C’est lui qui supervise les gestionnaires de données dans leurs tâches de gouvernance quotidiennes.

    Regardez le webinaire « The Road to HIPAA Compliance » dans lequel un client de Varonis, Rick Thompson du Hugh Chatham Memorial Hospital, explique comment il utilise Varonis pour respecter la loi HIPAA.

    Que dois-je faire maintenant ?

    Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:

    1

    Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.

    2

    Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.

    3

    Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.

    Michael Buckbee
    Michael Buckbee Michael a travaillé en tant qu'administrateur système et développeur de logiciels pour des start-ups de la Silicon Valley, la marine américaine, et tout ce qui se trouve entre les deux.

    Essayez Varonis gratuitement.

    Obtenez un rapport détaillé sur les risques liés aux données basé sur les données de votre entreprise.
    Se déploie en quelques minutes.
    Commencer Voir un échantillon

    Keep reading

    Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

    qu’est-ce-que-le-règlement-général-sur-la-protection-des-données-de-l’ue?
    Qu’est-ce que le règlement général sur la protection des données de l’UE?
    qu’est-ce-que-le-règlement-général-sur-la-protection-des-données-de-l’ue?
    David Gibson
    15 janvier 2016
    Cela fait longtemps qu’il a été annoncé, mais le règlement général sur la protection des données de l’UE (General Data Protection Regulation, GDPR) est en voie d’être finalisé. Nous avons...
    gdpr-:-faites-vos-devoirs-et-limitez-les-risques-d’amende
    GDPR : faites vos devoirs et limitez les risques d’amende
    gdpr-:-faites-vos-devoirs-et-limitez-les-risques-d’amende
    Michael Buckbee
    19 décembre 2017
    Ce conseil, qui était valable lorsque vous étiez à l’école, l’est aussi pour le Règlement général sur la protection des données (GDPR) : faites vos devoirs, cela compte dans votre note !...
    la-feuille-de-route-en-matière-de-sécurité-des-données-que-nous-avons-utilisée-avec-plus-de-7 000 dsi
    La feuille de route en matière de sécurité des données que nous avons utilisée avec plus de 7 000 DSI
    la-feuille-de-route-en-matière-de-sécurité-des-données-que-nous-avons-utilisée-avec-plus-de-7 000 dsi
    Rob Sobers
    16 juin 2023
    Découvrez la feuille de route en matière de sécurité des données de Varonis qui a aidé plus de 7 000 DSI à se conformer aux réglementations et à protéger leurs données les plus précieuses.
    comment-fonctionne-l’évaluation-des-risques-liés-aux-données-de-varonis
    Comment fonctionne l’évaluation des risques liés aux données de Varonis
    comment-fonctionne-l’évaluation-des-risques-liés-aux-données-de-varonis
    Lexi Croisdale
    20 octobre 2023
    Découvrez comment fonctionne l’évaluation gratuite des risques liés aux données de Varonis et ce qui en fait la plus avancée du secteur.