De tous les marchés verticaux qui ont besoin d’une politique complète de gouvernance des données, celui de la santé est probablement celui qui arrive en tête. Songez à l’immense quantité de données de santé associées à tout être humain, au caractère personnel des données médicales et à l’issue favorable ou fatale qui dépend de l’exactitude de ces données. On comprend que la gouvernance des données soit de la plus haute importance dans le secteur de la santé.
En quoi la gouvernance des données est-elle importante dans le secteur de la santé ?
Dire que la gouvernance des données est importante dans le domaine de la santé semble une évidence, mais qu’entend-on exactement par gouvernance des données ?
La gouvernance des données est le processus et la procédure suivis par les organisations pour gérer et protéger leurs données. Dans ce contexte, les données peuvent désigner soit la totalité soit un sous-ensemble des actifs numériques et/ou imprimés d’une entreprise. Dans le secteur de la santé, ces données correspondent aux dossiers des patients, résultats d’analyses sanguines, électrocardiogrammes, IRM, factures, ordonnances et autres informations médicales confidentielles.
Les données médicales sont les données dont ont besoin les professionnels de la santé pour prendre des décisions informées sur les soins à apporter à leurs patients. La gouvernance des données apporte aux établissements de santé une méthode de partage des données médicales à la fois normalisée et structurée, afin d’offrir des soins de la plus haute qualité à chaque patient.
En France, les données de santé ont été définies en avril 2016 par la législation de l’Union européenne comme étant des « données à caractère personnel relatives à la santé mentale et physique d’une personne, y compris la prestation de services de soins de la santé qui révèlent une information sur l’état de santé de la personne (…) présent, passé et futur ». Par donnée de santé, le règlement européen entend « toute information concernant une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée, indépendamment de sa source ».
Aux États-Unis, Le Health Insurance Portability and Accountability Act (HIPAA) est la loi qui concerne la sécurité et la confidentialité des informations médicales ou, dans le langage de l’HIPAA, les informations de santé protégées (PHI). D’après la loi, « les entités couvertes », principalement les hôpitaux, assurés et organisations qui traitent les PHI pour eux, ont la responsabilité légale d’assurer la protection des informations de santé protégées.
De nombreuses infrastructures de santé en France choisissent de se conformer à cette réglementation venant d’outre Atlantique car elle relève de bonnes pratiques de gourvernance et de sécurisation des données.
En 2018, les amendes de l’HIPAA ont coûté 28 millions de dollars au secteur de la santé à lui seul. L’Office of Civil Rights (OCR) prélève les amendes pour non-respect de l’HIPAA en fonction du nombre d’enregistrements de PHI exposés, en tenant compte du niveau de conformité de l’organisation contrevenante dans sa demande. Les amendes liées à l’HIPAA et les autres exigences réglementaires de remédiation et d’audit contribuent à faire du coût global des violations du secteur de la santé un des plus élevés de tous les secteurs.
Autrement dit, plus votre plan de gouvernance des données est efficace et moins l’amende à payer en cas de violation sera élevée. Et c’est tout aussi valable sur le territoire français sous l’égide du RGPD !
Vulnérabilités des données de santé
Voici quelques idées à méditer en matière de gouvernance :
- Une bonne gouvernance des données et une analyse de haute qualité devraient occuper une place clé dans toute stratégie métier appliquée dans le secteur médical. Vous réduisez les risques (amendes et autres sanctions), et vous améliorez votre compréhension (et le perfectionnement) des workflows de données sous-jacents : le traitement gagne en efficacité.
- D’après le Stanford Medicine 2018 Health Trends Report, l’automatisation et le partage de données ont le potentiel de révolutionner le secteur de la santé pour le meilleur. Stanford imagine un monde dans lequel l’intelligence artificielle analyse vos données médicales et vous fournit un diagnostic par téléphone portable. Toutefois, pour en arriver là, les établissements de santé (universités, hôpitaux, centres de recherche et entreprises technologiques) doivent adopter le même langage de données et celles-ci doivent circuler librement et en toute sécurité dans tout le système de santé.
- La croissance exponentielle des données électroniques de santé et les récentes fusions et acquisitions du secteur (Aetna et CVS) sont à la source d’un immense défi à relever en matière de gouvernance des données. La gestion d’un volume de données toujours plus important et la fusion d’ensembles de données hétérogènes sont des problèmes complexes. Les entreprises qui traiteront bien leurs données réussiront et feront des bénéfices.
Quelle est la différence entre gouvernance des données et gouvernance des informations dans le secteur de la santé ?
Dans le secteur médical, la gouvernance des données diffère légèrement de la gestion des informations, en dépit de l’utilisation interchangeable des deux termes jusqu’à présent dans cet article. Du point de vue cybersécurité/conformité, il est plus simple de considérer qu’il s’agit de la même chose.
Appliquée au médical, la gouvernance des données s’applique à chacune des données individuelles : identifiant du patient, tension artérielle, etc. Elle consiste à protéger, sécuriser et réunir avec précision chacune des données.
Dans le domaine de la santé, la gouvernance des informations désigne le processus et les systèmes qui permettent d’utiliser les données de manière à prendre des décisions sur les soins à apporter au patient.
Par exemple, la tension artérielle relevée pour un patient au cours des deux dernières années s’inscrit dans la gouvernance des données.
Par contre, il y a gouvernance des informations lorsqu’un médecin, ou une intelligence artificielle, réunit les relevés de pression sanguine du patient sur les deux dernières années et les utilise pour lui diagnostiquer une hypertension et lui conseiller un traitement adapté.
Tout est une question de nuance, mais si vous parlez à un professionnel de la santé de ses projets de gouvernance des données, il est bien possible qu’il s’attende à parler de gouvernance des informations.
Étapes à suivre pour mettre en place une gouvernance efficace des données dans le secteur de la santé
Voici par où commencer pour lancer votre projet de gouvernance des données.
1.Déterminez où vos informations de santé protégées sont conservées
Catégorisez et classez votre système de fichiers pour découvrir où se trouvent vos informations de santé protégées. Il est impossible de protéger ce que l’on ne connaît pas. Déterminez les droits des dossiers et fichiers de tout votre stockage de données. Effectuez une recherche dans chacun des fichiers pour savoir s’il contient des informations de santé protégées et, si c’est le cas, marquez-le comme sensible.
Établissez des relations de corrélation entre toutes ces données – vos structures de droits et les données sensibles classifiées – et établissez un profil de risque complet. Vous utiliserez ce profil de risque pour poursuivre le processus de gouvernance des données.
2.Réévaluez les droits d’accès
Un des objectifs de tout programme de gouvernance des données est d’appliquer un modèle de moindre privilège. Lorsqu’un modèle de moindre privilège est en place, chaque utilisateur (personne ou compte de service) possède seulement les droits dont il a besoin pour faire son travail.
Avant de pouvoir faire du nettoyage dans les droits, il peut être nécessaire de retirer les groupes à accès global et de corriger les problèmes d’héritage. Faites-le avant de commencer à modifier les droits ou les affectations aux groupes.
Une fois que vous avez mis en place un modèle de moindre privilège, vous devez vous y tenir. Mettez en place un processus accordant aux propriétaires de données le pouvoir de contrôler leurs données, et donnez-leur la possibilité d’ajouter et retirer des accès selon les besoins et de contrôler les droits régulièrement.
Téléchargez un Livre-Blanc sur la stratégie de sécurité Zero Trust, portée par Forrester Research, et les plus importantes sociétés de cybersécurité
3.Supprimez les données obsolètes
Un des principaux risques associés aux données non structurées réside dans les données qui ne sont plus utilisées ou nécessaires : les données obsolètes. Les données obsolètes sont d’excellentes cibles pour les voleurs de données. Alors faites en sorte de trouver ces données oubliées, de les verrouiller et, si possible, de les supprimer de vos dépôts de données.
4.Identifiez et formez les employés clés
Formez une équipe transversale dédiée à la gouvernance des données, constituée de gestionnaires de données, propriétaires de données et analystes de données. Les propriétaires de données sont les gardiens de leurs données. Ils savent qui a, et devrait avoir accès à leurs données. De nombreuses organisations ajoutent un directeur des données (CDO) responsable de la gouvernance des données de toute l’organisation. C’est lui qui supervise les gestionnaires de données dans leurs tâches de gouvernance quotidiennes.
Regardez le webinaire « The Road to HIPAA Compliance » dans lequel un client de Varonis, Rick Thompson du Hugh Chatham Memorial Hospital, explique comment il utilise Varonis pour respecter la loi HIPAA.
