Comment repérer et stopper les risques internes liés à l'IG

Lorsque nous pensons aux violations de données ou aux cybermenaces dans le domaine de la médecine générale, il est facile d'imaginer des pirates informatiques, des escroqueries par hameçonnage ou des pannes de système. Mais en réalité, de nombreux risques liés à la gouvernance de l'information ne viennent pas de l'extérieur, mais de l'intérieur. Il peut s'agir d'employés bien intentionnés qui contournent les procédures pour gagner du temps, de divulgations accidentelles ou d'autorisations d'accès obsolètes que personne n'a révisées depuis des années. Les risques liés aux IG internes sont plus fréquents et plus évitables que ne le pensent de nombreux cabinets. Ce guide explique comment identifier, gérer et prévenir les risques d'IG internes et comment favoriser une culture où la sécurité est une seconde nature. 

Pourquoi les risques internes liés à l'IG sont-ils importants ?

Chaque jour, le personnel a un accès direct aux données des patients, que ce soit à l'écran, au cours d'une conversation ou dans des documents. C'est pourquoi les risques internes peuvent être si préjudiciables : 

• Ils passent souvent inaperçus jusqu'à ce que quelque chose se passe mal. 

• Ils peuvent ébranler la confiance des patients. 

• Elles peuvent conduire à des violations du GDPR et des normes du CQC. 

• Elles sont parfois considérées comme "une simple façon de faire les choses". 

Les pratiques qui négligent les risques internes liés à l'IG peuvent réussir l'examen DSPT, mais ne sont pas à la hauteur de la sécurité dans le monde réel. 

Risques internes courants en matière d'IG dans les cabinets de médecine générale 

Ils ne sont pas toujours malveillants, mais ils peuvent tout de même causer des dommages. 

Comment repérer les risques internes avant qu'ils ne s'aggravent 

1. Réviser régulièrement les niveaux d'accès 

Vérifiez que tous les comptes d'utilisateurs disposent des autorisations nécessaires pour leur rôle. Supprimez ou mettez à jour l'accès des personnes qui quittent l'entreprise, des suppléants et des personnes qui changent de rôle. Demandez à votre service informatique ou au service d'assistance du CSU de vous fournir des rapports réguliers sur les accès des utilisateurs. Assurez-vous que l'accès à la carte à puce est spécifique aux responsabilités professionnelles. Il s'agit d'une faiblesse commune des DSPT - et d'une amélioration facile à obtenir. 

2. Réaliser des mini-audits ou des contrôles ponctuels aléatoires 

Examinez la manière dont les enregistrements sont codés et stockés. Vérifiez les journaux du système pour voir si les schémas d'accès sont inhabituels. Demandez aux responsables cliniques d'examiner un échantillon de notes ou de références. Examinez la manière dont les documents sont nommés et sauvegardés. Même une poignée de vérifications par trimestre peut révéler des habitudes auxquelles il faut prêter attention. 

3. Écouter le personnel de première ligne 

Demandez aux gens quelles sont les solutions de contournement qu'ils utilisent et pourquoi. Découvrez ce qui les ralentit et les incite à prendre des raccourcis. Incluez des questions sur l'IG dans les réunions d'équipe et les entretiens individuels. Encouragez les suggestions d'amélioration anonymes. Souvent, les risques émergent des inefficacités - et non des mauvaises intentions. 

4. Prêter attention aux espaces et aux habitudes partagés 

Les écrans sont-ils verrouillés lorsque le personnel s'absente ? Les dossiers imprimés sont-ils laissés sur les bureaux ou sur les imprimantes ? Les conversations sur les patients se déroulent-elles dans un endroit où elles peuvent être entendues ? Des appareils personnels sont-ils utilisés pour prendre des notes ou des photos ? Des visites ou des contrôles visuels peuvent mettre en évidence des risques mineurs mais importants. 

5. Suivre les quasi-incidents et les incidents de faible ampleur 

Créez une culture dans laquelle le personnel se sent à l'aise pour signaler des problèmes tels que l'impression de lettres erronées, l'accès accidentel à un système ou des demandes de données mal comprises. Consignez ces faits et tirez-en des enseignements, et pas seulement des violations majeures. Utilisez des exemples anonymes dans les sessions d'apprentissage en équipe. Les risques liés à l'IG interne sont rarement des accidents ponctuels - ils suivent souvent un modèle. 

Comment réduire le risque d'IG interne à long terme ? 

Fixer des attentes claires 

Intégrez l'IG à votre programme d'initiation et de probation. Incluez-la dans les descriptions de poste et les évaluations. Utilisez des rappels réguliers - affiches, briefings d'équipe, conseils par courrier électronique. 

Faciliter les bonnes actions 

Prévoyez suffisamment de lecteurs de cartes à puce, de lieux de stockage sécurisés et d'identifiants. Évitez d'obliger le personnel à partager l'accès ou à contourner des systèmes médiocres. Proposez régulièrement des formations pratiques et non condescendantes. 

Répondre par le soutien et non par le blâme 

Lorsque quelque chose ne va pas, il faut se concentrer sur l'apprentissage et non sur la punition. Posez la question "qu'est-ce qui a fait que cela s'est produit ?" plutôt que "qui est en tort ?" Célébrez les améliorations et les meilleures pratiques. Faites en sorte que l'IG soit perçue comme une valeur d'équipe, et non comme un fardeau de conformité. 

Le mot de la fin : tout commence par ce qui se passe à l'intérieur 

Le pare-feu le plus avancé n'est d'aucune utilité si une lettre est envoyée à la mauvaise adresse. Et aucun document de politique générale ne peut vous protéger contre des habitudes dont vous ne soupçonnez pas l'existence. 

En mettant en lumière les risques internes, en écoutant votre équipe et en facilitant l'adoption de comportements sûrs, vous pouvez réduire considérablement l'exposition de votre cabinet aux incidents liés à l'IG. 

La bonne gouvernance n'est pas le fruit d'un contrôle, mais d'une culture. Et cette culture commence par ce qui se passe derrière votre propre bureau.