Die medizinisch-sozialen Einrichtungen des Netzwerks DomusVi verwalten täglich erhebliche Mengen an Gesundheitsdaten über die Plattform Netsoins. Pflegeakten, Verschreibungen, Abhängigkeitsbewertungen, medizinische Historien: Diese Informationen unterliegen dem strengsten rechtlichen Rahmen der DSGVO.
Der CNIL-Referenzrahmen, der speziell auf Einrichtungen abzielt, die ältere Menschen und Menschen mit Behinderungen aufnehmen oder beherbergen, legt den Rahmen fest. Es geht nicht mehr darum, ob diese Daten geschützt werden müssen, sondern wie jedes Glied in der Kette, vom Pflegepersonal bis zum Anbieter, die Verpflichtungen konkret umsetzt.
Auch lesenswert : Erleben Sie den Nervenkitzel des Bungee-Springens auf der Claudon-Brücke in aller Sicherheit
HDS-Zertifizierung der Dienstleister: eine oft unterschätzte technische Voraussetzung
Bereits bevor Netsoins konfiguriert wird, gibt es einen strukturellen Punkt, der regelmäßig unter dem Radar der Einrichtungsleitungen bleibt: die Zertifizierung als Gesundheitsdatenanbieter. Seit den Erinnerungen der CNIL und der Cloud-Doktrin des Gesundheitsministeriums muss jeder Dienstleister, der Daten aus der elektronischen Benutzerakte speichert, sichert oder verwaltet, HDS-zertifiziert sein.
Diese Anforderung umfasst weitreichendere Bereiche, als man denkt. Sie betrifft nicht nur den Hauptanbieter der Plattform. Ein IT-Dienstleister, der für die Anwendungswartung zuständig ist, ein Anbieter für Notfallwiederherstellungspläne oder ein externer Backup-Service fallen ebenfalls unter diese Verpflichtung, sobald sie Gesundheitsdaten verarbeiten.
Auch interessant : Alles, was Sie über das Veröffentlichungsdatum der vierten Staffel von Family Business wissen müssen
Für ein EHPAD des Netzwerks DomusVi bedeutet dies, alle technischen Subunternehmer zu auditieren. Ein Leitfaden, der die guten Praktiken von Netsoins Domusvi beschreibt, erinnert an die Notwendigkeit der Dokumentenprüfung vor jeder Vertragsunterzeichnung.
Die Rückmeldungen aus der Praxis gehen diesbezüglich auseinander: Einige Einrichtungen sind der Meinung, dass die Zertifizierung des Hauptanbieters ausreicht, während die Subunternehmerkette mehrere nicht zertifizierte Akteure umfassen kann. Jedes nicht zertifizierte Glied stellt eine regulatorische Lücke dar.
Verwaltung der Berechtigungen in der Software Netsoins: der Schlüssel zur täglichen Sicherheit
Der Schutz der Gesundheitsdaten in einem EHPAD spielt sich nicht nur auf der Ebene der Server ab. Er beginnt vor allem bei der Verwaltung der Zugriffsrechte innerhalb der Pflegesoftware. Netsoins ermöglicht die Konfiguration von Berechtigungsprofilen nach Funktion: Pflegehelfer, Krankenschwester, koordinierender Arzt, Verwaltungspersonal.
Der CNIL-Referenzrahmen ist diesbezüglich eindeutig. Die gesammelten Daten dürfen nur von berechtigten Personen aufgrund ihrer Aufgaben eingesehen werden. Ein Empfangsmitarbeiter muss die Medikamentenverschreibungen nicht einsehen. Ein Verwaltungsmitarbeiter hat keinen Zugang zu den detaillierten geriatrischen Bewertungen.
Drei Prinzipien für eine strenge Konfiguration
- Das Minimum an Privilegien: Jedes Benutzerprofil darf nur die Daten sehen, die für seine Funktion unbedingt erforderlich sind, und nichts weiter. Dies ist die Grundlage des CNIL-Referenzrahmens für den medizinisch-sozialen Sektor.
- Die regelmäßige Überprüfung aktiver Konten: Personalwechsel, Positionswechsel oder vorübergehende Vertretungen führen zu veralteten Konten. Ein nicht deaktiviertes Konto bleibt eine offene Tür.
- Die Nachverfolgbarkeit der Zugriffe: Netsoins protokolliert die Anmeldungen und die Einsichtnahme in Akten. Die Auswertung dieser Protokolle ermöglicht es, anormale Zugriffe zu erkennen, wie die wiederholte Einsichtnahme in die Akte eines Bewohners durch einen Fachmann ohne Bezug zur Betreuung.
In der Praxis ergibt sich die Schwierigkeit aus der hohen Fluktuation im Sektor. Die Teams wechseln häufig, und die Aktualisierung der Berechtigungen kommt ins Stocken. Ein vierteljährliches Audit der Netsoins-Konten verringert dieses Risiko.
Folgenabschätzung und Algorithmen: was die CNIL nun von den EHPAD erwartet
Ein neuerer Aspekt betrifft die zunehmende Nutzung algorithmischer Funktionen in der Pflegesoftware. Automatische Warnungen, Sturzrisikobewertungen, Priorisierung von Interventionen: Diese Verfahren sind in Einrichtungen, die mit Lösungen wie Netsoins ausgestattet sind, nicht mehr marginal.
Die CNIL hat spezifische Empfehlungen zur Anwendung von künstlicher Intelligenz auf medizinisch-soziale Daten veröffentlicht. Sobald eine algorithmische Verarbeitung die Betreuung eines Bewohners beeinflussen kann, wird eine Folgenabschätzung zum Datenschutz (AIPD) obligatorisch. Diese Analyse muss die Zwecke der Verarbeitung, die verwendeten Datensätze und die Entscheidungskriterien dokumentieren.
Die verfügbaren Daten erlauben keine Schlussfolgerungen über den Grad der Annahme dieser Folgenabschätzungen im Netzwerk DomusVi. Die Empfehlungen der CNIL sind klar, aber ihre operative Umsetzung in jeder Einrichtung hängt von den internen Ressourcen und der Unterstützung durch den DPO der Gruppe ab.
Was die AIPD in einem Netsoins-Kontext abdecken muss
Die Analyse beschränkt sich nicht auf eine formale Dokumentation. Sie muss die Verhältnismäßigkeit der Verarbeitung im Hinblick auf den Pflegezweck bewerten, Risiken für die Bewohner identifizieren (unangemessene Profilierung, Verzerrungen bei den Warnungen) und Korrekturmaßnahmen vorsehen. Ein Bewohner oder sein gesetzlicher Vertreter muss über die Existenz dieser algorithmischen Verfahren informiert werden.
Schulung des Pflegepersonals zum Schutz der Gesundheitsdaten
Die technische Konfiguration schützt nichts, wenn die Benutzer die Regeln aus Unkenntnis umgehen. Das Teilen von Passwörtern unter Kollegen, die Nutzung von Netsoins auf einem unsicheren persönlichen Gerät oder das Versenden von Gesundheitsdaten über unverschlüsselte Nachrichten bleiben dokumentierte Praktiken im Sektor.
Der CNIL-Referenzrahmen empfiehlt regelmäßige Sensibilisierungsmaßnahmen, die auf die verschiedenen Mitarbeiterprofile abgestimmt sind. Die Schulung sollte sich auf konkrete Handlungen konzentrieren, nicht auf abstrakte Prinzipien. Die Sitzung beim Verlassen des Arbeitsplatzes zu sperren, niemals eine Anmeldedaten weiterzugeben, jede Verdachtsmeldung über unbefugte Zugriffe zu melden.
Die Fachkräfte in EHPAD nutzen zunehmend Netsoins mobil, was ein zusätzliches Risiko darstellt. Der Zugang über ein öffentliches WLAN, der Verlust oder Diebstahl eines Geräts mit Zugängen zur elektronischen Benutzerakte: all dies sind Szenarien, die die Schulung ausdrücklich abdecken muss.
Der Schutz der Daten der Bewohner in einer DomusVi-Einrichtung beruht auf der Verknüpfung von drei Ebenen: der Konformität der Hosting-Dienstleister, der feinen Konfiguration der Software Netsoins und der Sicherheitskultur der Teams im Alltag. Keine dieser drei Ebenen kann die Schwächen einer anderen ausgleichen. Der regulatorische Rahmen ist vorhanden, die technischen Werkzeuge ebenfalls. Das entscheidende Glied bleibt die strikte Anwendung, Akte für Akte, Zugang für Zugang.