Comment gérer la cybersécurité dans une pratique de travail hybride
Keeping patient data safe when your team isn’t always on-site
Rédigé par Thomas Andrew Porteus, MBCSPublié à l'origine 9 juil. 2025
Respecte les directives éditoriales
- TéléchargerTélécharger
- Partager
- Language
- Discussion
- Version audio
- Ajouter aux sources préférées sur Google
Professionnels de la santé
Les articles de référence professionnelle sont conçus pour être utilisés par les professionnels de la santé. Ils sont rédigés par des médecins britanniques et basés sur des preuves de recherche, des directives britanniques et européennes. Vous pouvez trouver l'un de nos articles de santé plus utile.
The way general practices work is changing. Remote triage, digital consultations, cloud-based platforms, and flexible working mean that many staff now access sensitive systems from outside the surgery. Whether it’s a GP working from home, a PCN manager joining a meeting on the move, or admin staff logging in remotely - hybrid working is here to stay. But with new working patterns come new risks. Laptops in kitchens, unsecured Wi-Fi, shared devices, and distracted multitasking can all create cyber vulnerabilities that wouldn’t exist in the surgery. This guide sets out how to manage cyber security in a hybrid-working general practice - protecting patient data without making flexible working impossible.
What does hybrid working look like in general practice?
Hybrid working varies across practices, but might include:
GPs and clinicians working from home for telephone triage or virtual clinics.
Practice managers working remotely on admin tasks or meetings.
PCN staff logging in from shared spaces or hot desks.
ICB or CSU colleagues accessing your systems for joint working.
Staff using personal phones or home Wi-Fi to access platforms like NHSmail, MS Teams, or EMIS Web.
The benefits - better work–life balance, improved access, greater efficiency - are real. But so are the risks.
Common cyber risks in hybrid models
Scenario | Risk |
Using personal devices | No encryption, outdated software, or unauthorised apps |
Home Wi-Fi networks | Weak passwords or shared access with others |
Forgotten logouts | Patient data visible on shared or family-used computers |
Printing at home | Patient letters or records left unsecured |
Phishing emails | Increased risk when multitasking or outside team oversight |
USB drives | Use of unencrypted memory sticks to transfer documents |
Weak passwords | Reuse of personal credentials across systems |
A single mistake can expose the practice to a serious breach, even if it happens miles from the building.
How to build hybrid-friendly cyber resilience
1. Start with a clear remote working policy
Your IG or IT policy should explicitly cover:
Who can work remotely and on what tasks.
What equipment they should use (personal vs practice-owned).
Minimum standards for device security and Wi-Fi.
Rules for printing, storing and disposing of data off-site.
Expectations around incident reporting.
If your policy doesn’t cover hybrid working, it’s time to update it.
2. Issue practice-approved equipment where possible
Where budgets allow, provide:
Practice-owned laptops or tablets.
Devices with pre-installed encryption and antivirus protection.
Secure VPN access for remote connection.
Multi-factor authentication (MFA) for system access.
This reduces variability - and allows your IT support to manage risks more effectively. If staff use personal devices, require them to:
Set strong passcodes.
Keep software up to date.
Avoid saving files locally.
Use secure platforms (for example, NHSmail, AccuRx).
3. Use platforms that are designed for NHS remote use
Stick to tools that meet NHS cyber security standards:
NHSmail - secure email with MFA.
MS Teams - encrypted messaging and video.
AccuRx - approved patient messaging platform.
Citrix / VPN portals - secure access to clinical systems from outside the surgery.
Avoid sending or storing patient information via:
Personal email accounts (Gmail, Outlook, etc.).
Consumer cloud platforms (Google Drive, Dropbox).
Messaging apps like WhatsApp for sensitive discussions.
4. Train staff specifically on hybrid working risks
Generic IG training won’t always cover the nuance of home working. Include:
How to spot phishing emails - even when busy or distracted.
Why shared household devices are a risk.
What to do if a device is lost, stolen or compromised.
How to log out fully after a session.
What to do before printing or viewing confidential material at home.
Use short refreshers, case studies, or “what would you do?” scenarios.
5. Maintain logs and audit trails
Ensure that:
Remote logins are auditable (via EMIS, SystmOne, or your CSU).
User access levels are appropriate for the tasks they perform.
Devices are returned and access revoked promptly when staff leave..
VPN and email logs are reviewed periodically
This helps detect suspicious behaviour and proves you have oversight - even if people are working off-site.
6. Foster a culture of reporting
If someone clicks on a suspicious email, leaves their laptop unattended, or realises they’ve sent a file to the wrong recipient - they need to feel confident in reporting it immediately. Make clear that:
Early reporting limits damage.
There is no shame in mistakes.
The team is responsible for helping each other stay secure.
Final word: secure doesn’t mean inflexible
Cyber security in a hybrid-working world is about balance. You want to enable flexible, modern ways of working - but you also need to protect patient data and uphold your obligations under the DSPT and UK GDPR. By updating your policies, improving training, and supporting staff with the right tools and habits, you can make remote working safer - and smarter. Because cyber security isn’t just about firewalls and passwords. It’s about people - wherever they happen to be working.
Mises à jour exclusives pour les professionnels de la santé
Restez informé des dernières mises à jour cliniques, des perspectives professionnelles et des conseils fondés sur des preuves. La newsletter Patient Pro sélectionne des contenus essentiels pour les professionnels de santé—livrés directement dans votre boîte de réception.
En vous abonnant, vous acceptez notre Politique de confidentialité. Vous pouvez vous désabonner à tout moment. Nous ne vendons jamais vos données.
À propos de l'auteurVoir la biographie complète

Thomas Andrew Porteus, MBCS
Technologie de la santé
MBCS
Thomas écrit pour informer, inspirer et équiper les leaders de pratique et les professionnels de la santé naviguant dans le changement, en s'appuyant sur deux décennies de travail pratique à travers le système de santé britannique.
Historique de l'article
Les informations sur cette page sont rédigées et examinées par des cliniciens qualifiés.
Article également disponible en Anglais, Allemand, Espagnol, Français, Italien, Portugais, Hindi, Hébreu, Arabe, and Suédois.
Prochaine révision prévue : 9 juillet 2028
9 juil. 2025 | Publié à l'origine
Écrit par :
Thomas Andrew Porteus, MBCS

Demandez, partagez, connectez-vous.
Parcourez les discussions, posez des questions et partagez vos expériences sur des centaines de sujets de santé.

Vous ne vous sentez pas bien ?
Évaluez vos symptômes en ligne gratuitement
Plus sur la gouvernance de l'information et la sécurité
- Loi sur l'utilisation et l'accès aux données 2025 - ce que cela signifie pour la pratique générale
- Comment éviter les maux de tête liés à IG en travaillant avec le personnel de PCN
- Comment réaliser une évaluation des risques IG à l'échelle de la pratique
- Comment créer une culture de sensibilisation à l'IG dans votre pratique
- Comment créer un calendrier de pratique IG qui fonctionne réellement
- Comment gérer une violation de données des patients
- Comment gérer une demande d'accès aux données personnelles (SAR)
- Comment gérer les questions courantes des patients sur la sécurité de l'information
- Comment se préparer à une soumission DSPT sans panique
- Comment prévenir le partage de cartes à puce et pourquoi c'est important
- Comment répondre à un e-mail suspect en moins de 60 secondes
- Comment organiser une session de rafraîchissement IG de 15 minutes lors de votre prochaine réunion d'équipe
- Comment repérer et arrêter les risques internes liés à la gouvernance de l'information
- Comment former le personnel à la cybersécurité sans les ennuyer
- Comment rédiger un avis de confidentialité à l'intention des patients qui inspire confiance