Comment procéder à une évaluation des risques liés à l'IG à l'échelle de la pratique

La gouvernance de l'information (GI) ne se résume pas à des politiques de protection des données ou à une formation annuelle du personnel. Il s'agit avant tout de protéger la confiance des patients et de veiller à ce que les données personnelles et confidentielles soient traitées de manière sûre, légale et responsable. Chaque cabinet de médecine générale devrait procéder à des évaluations régulières des risques liés à l'IG. Ces évaluations vous aident à identifier les points vulnérables de votre cabinet - que ce soit en raison de systèmes obsolètes, de processus peu clairs ou d'erreurs humaines - et à prendre des mesures avant qu'une atteinte à la protection des données ne se produise. Dans ce guide, nous expliquons ce qu'implique une évaluation des risques d'IG, comment en réaliser une dans votre cabinet et comment faire en sorte qu'elle devienne un élément vivant de votre culture de gouvernance. 

Pourquoi les évaluations des risques liés aux IG sont-elles importantes ? 

L'évaluation des risques liés à l'IG n'est pas un simple exercice administratif destiné à satisfaire aux exigences du CQC ou du DSPT. Il s'agit d'un moyen structuré de répondre à des questions telles que : 

• Dans quels domaines nos systèmes ou les processus de notre personnel pourraient-ils nous exposer à des risques ? 

• Faisons-nous ce que nous pensons faire lorsqu'il s'agit de traiter les données des patients ? 

• Que se passerait-il en cas de perte d'un ordinateur portable, d'égarement d'un dossier ou si un membre du personnel cliquait sur un lien d'hameçonnage ? 

En identifiant les points faibles avant qu'un incident ne se produise, vous réduisez les risques de préjudice pour les patients, d'atteinte à la réputation ou de sanctions réglementaires. Bien menées, ces évaluations renforcent également la compréhension et l'appropriation par le personnel des responsabilités en matière d'IG. 

Quand procéder à une évaluation des risques liés à l'IG ?

L'idéal serait de procéder à une évaluation complète des risques d'IG à l'échelle de la pratique : 

• Au moins une fois par an dans le cadre de votre cycle de gouvernance. 

• En prévision de la soumission annuelle de votre DSPT. 

• Après tout changement majeur (par exemple, nouveaux systèmes, fusions, nouveaux fournisseurs tiers).

• à la suite d'un incident, d'une infraction ou d'un accident évité de justesse. 

• Dans le cadre de la préparation d'une inspection CQC. 

Il ne doit pas s'agir d'un processus excessivement complexe, mais il doit être approfondi, documenté et partagé avec les personnes qui doivent agir en conséquence. 

Ce qu'il faut inclure dans l'évaluation des risques liés à l'IG 

Une bonne évaluation couvre à la fois les systèmes techniques et les comportements humains quotidiens. Envisagez de réviser : 

1. Accès aux données et autorisations 

• Qui peut accéder aux systèmes cliniques et les autorisations sont-elles appropriées ? 

• Des identifiants partagés sont-ils utilisés ? 

• Des processus d'intégration, de déplacement et de départ ont-ils été mis en place ? 

2. Courriel et communication 

• Des informations sur les patients sont-elles envoyées par courrier électronique non sécurisé ? 

• Le personnel sait-il comment vérifier les comptes NHSmail vérifiés ? 

• Existe-t-il une procédure standard pour l'envoi des pièces jointes de renvoi ? 

3. Dossiers papier et sécurité physique 

• Des documents imprimés sont-ils laissés sans surveillance sur des bureaux ou des imprimantes ? 

• Existe-t-il une politique de déchiquetage ou un processus de traitement des déchets confidentiels ? 

• Les salles de consultation et les zones de réception sont-elles sécurisées ? 

4. Infrastructure informatique et cybersécurité 

• Les systèmes d'exploitation et les logiciels antivirus sont-ils à jour ? 

• Les ports USB et les appareils personnels sont-ils contrôlés ? 

• Les sauvegardes sont-elles régulièrement testées ? 

5. Fournisseurs tiers et responsables du traitement des données 

• Disposez-vous d'accords de traitement des données (ATD) à jour ? 

• Les outils logiciels ne relevant pas du ministère de la santé sont-ils conformes au GDPR et ont-ils fait l'objet d'une évaluation des risques ? 

6. Comportements et formation du personnel 

• Quand chaque membre du personnel a-t-il suivi pour la dernière fois une formation à l'IG ? 

• Le personnel est-il en mesure de traiter les demandes de renseignements ou de données ? 

• Les responsabilités en matière d'IG sont-elles clairement définies ? 

Vous pouvez utiliser les modèles fournis par la DSPT, votre ICB ou votre DPD comme point de départ, mais les évaluations les plus efficaces refléteront la manière dont votre pratique fonctionne réellement au jour le jour. 

Comment réaliser l'évaluation 

1. Planifier et attribuer les responsabilités

Désigner un responsable pour l'évaluation - il peut s'agir du directeur du cabinet, du Caldicott Guardian ou du responsable de l'IG. Décider s'il faut impliquer les chefs d'équipe ou répartir les responsabilités entre les équipes. 

2. Recueillir des preuves et des informations

Il peut s'agir de journaux de système, de pistes d'audit, de dossiers de formation, de captures d'écran ou de visites physiques. Envisager de faire appel à l'assistance informatique ou à des fournisseurs externes pour les éléments techniques. 

3. Évaluer les risques et convenir d'actions

Utilisez une matrice simple pour évaluer la probabilité et l'impact. Par exemple : 

• Probabilité faible, impact élevé : Port USB laissé ouvert sans utilisation connue. 

• Probabilité élevée, impact faible : Notes confidentielles laissées brièvement sur l'imprimante. 

• Probabilité élevée, impact élevé : Pas de procédure de révocation de l'accès des sortants. 

Convenir et documenter les mesures qui seront prises, par qui et dans quel délai. 

4. Rapport et examen

Résumez les résultats dans un format clair et pratique. Mettez en évidence les domaines prioritaires et présentez le rapport à vos partenaires, au DPD et au responsable de la gouvernance. Conservez le document en toute sécurité et fixez une date de révision. 

Intégrer l'évaluation des risques dans la culture 

La valeur réelle d'une évaluation des risques d'IG n'est pas le document - c'est le changement qu'elle contribue à créer. Profitez de l'occasion pour sensibiliser votre équipe, célébrer les bonnes pratiques et renforcer la confiance dans la prise de parole au sujet des risques liés aux données. Vous pouvez inclure l'évaluation des risques liés aux données dans le cadre de.. : 

• Évaluations annuelles du personnel. 

• Initiation pour le nouveau personnel. 

• Votre processus d'audit des événements significatifs (SEA). 

• Vos réunions régulières d'équipe ou de gouvernance clinique. 

Le mot de la fin : la prévention, c'est la protection

Une évaluation des risques liés à l'IG bien menée vous apporte quelque chose que peu d'autres processus peuvent vous apporter : la prévoyance. Elle vous aide à prévenir les violations, à protéger les patients et à faire preuve d'un leadership fort et proactif. Dans un monde où les pratiques dépendent de plus en plus des systèmes numériques et des modèles de soins partagés, les risques liés aux IG ne sont plus abstraits ou occasionnels. Ils sont quotidiens, intégrés dans presque toutes les interactions. En intégrant l'évaluation des risques liés aux données génétiques dans le rythme de votre cabinet, vous créez des systèmes plus sûrs, des équipes plus confiantes et une culture dans laquelle la protection des données des patients est une seconde nature.