Prêt(e) pour le RGPD?

   .

   .

 

Signer votre accord spécifique de traitement des données avec Doctena

 

Introduction

Le règlement général sur la protection des données (RGPD) place la barre très haut en ce qui concerne la protection de l’intégrité des individus dans l’UE. Doctena a mis en place un vaste plan de sécurité et de mise en conformité afin d’accroître la sécurité globale de ses activités. Cet article est destiné à vous informer sur notre situation actuelle en ce qui concerne le RGPD.

Le Règlement général sur la protection des données (RGPD) est le nouveau règlement européen pour la protection des données à caractère personnel, qui s’applique à toutes les organisations (y compris les cabinets médicaux) opérant au sein de l’UE (ainsi qu’aux organisations ne faisant pas partie de l’UE dont les clients sont des personnes physiques dans l’UE). La définition des données à caractère personnel dans le cadre du RGPD a été ramenée à « toute information relative à une personne identifiée ou identifiable ». Le but du RGPD est d’harmoniser les lois sur la protection des données dans tous les pays membres de l’UE afin de renforcer l’intégrité des personnes physiques. La loi est en vigueur depuis 25 mai 2018.

Le RGPD s’applique à la fois aux responsables du traitement des données et les sous-traitants. Les responsables des données désignent la partie qui détermine les finalités et la manière dont les données à caractère personnel sont traitées, alors que le sous-traitant des données est un tiers qui traite des données à caractère personnel pour le compte des autorités de contrôle.

Qu’est-ce que cela signifie ?

Doctena est responsable à la fois du contrôle et du traitement des données.

  1. En tant qu’entreprise d’agenda en ligne fournissant un service aux médecins/praticiens, Doctena agit principalement en tant que sous-traitant. Nous traitons les données pour le compte du médecin/praticien qui lui, en détermine l’usage (modification, suppression, transfert…).
  2. Pour les patients qui choisissent de créer un compte Doctena, Doctena joue le rôle de responsable  du traitement en stockant les données du profil (préférences, nom, adresse, adresse, téléphone, email, adresse, notations, etc.) pour faciliter la gestion de leurs rendez-vous. En gros, nous copions les données du compte Doctena dans le compte du Patient Docteur. Doctena contrôle également un lien logique entre le compte Doctena et les rendez-vous chez le médecin, ce qui permet aux patients de gérer le statut de leur rendez-vous.

Que fait Doctena ?

Doctena est conforme avec la réglementation.

Plus spécifiquement pour vous :  Nous avons mis à jour nos Conditions d’utilisation et notre Politique de confidentialité afin de nous assurer que cet accord respecte les droits de chacun tout en réévaluant que notre sécurité déjà élevée est conforme aux exigences. 

De plus, nous avons rédigé un accord spécifique de traitement des données (DPA) que vous, en tant que médecins/praticiens (autorités de contrôle des données) pouvez signer avec Doctena, en qualité de responsable du traitement, pour être conforme avec les normes. Dans le même temps, Doctena veille également à ce qu’un DPA similaire soit en place avec ses propres sous-traitants des données impliqués dans l’ensemble du traitement des données afin de s’assurer que, dans tous les cas, le traitement des données à caractère personnel est conforme au RGPD. Le DPA décrit les rôles, les fondements et les obligations du traitement des données.

Signer votre accord spécifique de traitement des données avec Doctena 

Télécharger en PDF l’accord spécifique de traitement des données avec Doctena

 

Comment Doctena traite vos données

Nous prenons la sécurité et la confidentialité très au sérieux chez Doctena et nous nous engageons à respecter la réglementation locale/nationale. La confidentialité des données de nos clients et de leurs patients est de la plus haute importance pour nous, et en tant qu’entreprise, nous avons mis en place une série de mesures pour assurer la sécurité de vos données !

La sécurité n’est pour nous pas un vain mot. Il s’agit véritablement d’un concept que nous devons nous approprier et mettre à exécution au jour le jour. C’est pourquoi nous abordons la sécurité sous de multiples angles :

Des collaborateurs dévoués et des responsabilités

Doctena dispose d’un Chief Information Security Officer (CISO) et de responsables de la protection des données, externes et indépendants, selon la définition du RGPD.

Notre CISO est un employé sénior titulaire d’un diplôme de Master en sécurité et possède une expérience professionnelle dans le domaine de la sécurité informatique. Son rôle est de s’assurer que la sécurité demeure une priorité au quotidien, en mettant en œuvre des processus et des technologies ainsi qu’en coordonnant les différentes équipes et départements dans les domaines touchant à la sécurité. Il relève directement de notre Chief Information Officer (CIO) et de notre Group Chief Executive Officer (CEO) pour s’assurer que l’accent est mis sur la sécurité au plus haut niveau de la direction.

Une conception axée sur la sécurité

Chaque fois que nous innovons et travaillons sur de nouveaux produits et fonctionnalités, l’élément « Sécurité » figure parmi les tous premiers points de la liste de contrôle. De cette façon, nous sommes sûrs de concevoir nos produits en gardant la sécurité à l’esprit, et de prendre les décisions technologiques et architecturales qui mènent à des implémentations sécurisées.

Contrôle et surveillance

Nous utilisons trois solutions standard bien connues de l’industrie pour vérifier en permanence et protéger nos plateformes contre d’éventuels problèmes de sécurité :

  • Un pare-feu d’applications Web, qui est notre première ligne de défense contre les menaces courantes comme les attaques par déni de service distribué (DDOS) et les requêtes Web malveillantes. Cela inclut également le blocage automatique de dispositifs/outils de mauvaise réputation bien connus sur Internet.
  • Une plateforme de test d’intrusion permanente balayant nos plateformes 24h/24 et 7j/7 et avertissant nos équipes de développement chaque fois qu’il y a un nouveau risque potentiel de sécurité, afin que nous puissions immédiatement appliquer des mesures correctives.
  • Un système de détection d’attaque qui nous avertit dès qu’une activité suspecte est détectée sur la plateforme, avec des détails sur la façon d’arrêter cette activité.

Ces services ont un prix et Doctena alloue une part importante de son budget informatique à ces outils de sécurité.

Mises à jour de sécurité automatisées

Dans le cadre de notre système de déploiement continu, nous incluons des mises à jour de sécurité à tous nos systèmes sur une base hebdomadaire, et pour la plupart sur une base quasi quotidienne.

Audits de sécurité

Une fois par an, nos plateformes sont vérifiées par une société de sécurité informatique réputée qui certifie également la sécurité et la résilience de systèmes bancaires complexes et de grande envergure. Les résultats de ces audits sont analysés et suivis par nos équipes informatiques afin que la société d’audit puisse nous délivrer un certificat qui atteste de notre niveau de sécurité élevé.

Cryptage

Les données confidentielles que nous stockons dans nos bases de données sont cryptées au moyen de l’algorithme AES 256 bits. De plus, les ordinateurs portables de nos employés sont cryptés et nous appliquons des protocoles de sécurité stricts avec eux.

Nos plateformes mettent également en œuvre le cryptage standard de l’industrie pour les « données en transit », en veillant à ce qu’aucune tierce personne ne puisse intercepter les communications entre notre plateforme et le navigateur Web de l’utilisateur lors de l’utilisation de la plateforme.

Processus de sélection des partenaires

Lorsque nous faisons appel à des partenaires externes ou des sous-traitants, nous exigeons d’eux qu’ils appliquent au moins les mêmes normes de sécurité que nous. Nous ne voulons pas avoir de maillons faibles dans nos chaînes de production et d’exploitation lorsqu’il s’agit de sécurité.

Traitement des données et emplacement de stockage

L’infrastructure de serveurs de Doctena est hébergée sur Amazon Web Services et n’utilise que des centres de données situés dans la région de Francfort (eu-central-1) pour garantir que les données ne quittent jamais l’UE. Amazon Web Services est entièrement conforme au RGPD. Vous pouvez obtenir des informations supplémentaires ici :

https://aws.amazon.com/blogs/security/all-aws-services-gdpr-ready/

 

Disponibilité élevée

Toutes nos bases de données applicatives sont mises en place avec une haute disponibilité pour s’assurer qu’à tout moment, toutes les données sont localisées dans au moins 2 centres de données géographiquement isolés. Chaque jour, un instantané automatisé est extrait de ces bases de données pour la reprise après sinistre, parallèlement à une autre copie quotidienne de reprise après sinistre qui est stockée dans une solution de stockage hautement sécurisée et cryptée dans un centre de données luxembourgeois.

RGPD et ISO27001

Au cours de l’année 2018, et dans le sillage de la réglementation européenne RGPD, Doctena travaillera à l’obtention de la certification ISO27001.

ISO/IEC 27001:2013 (ISO 27001) est la norme internationale qui décrit les meilleures pratiques pour un SGSI (système de gestion de la sécurité de l’information). L’obtention de la certification accréditée ISO 27001 démontre que votre entreprise suit les meilleures pratiques en matière de sécurité de l’information et fournit une vérification indépendante et experte que la sécurité de l’information est gérée conformément aux meilleures pratiques internationales et aux objectifs commerciaux. ISO 27001 s’appuie sur son code de pratique pour la gestion de la sécurité de l’information, ISO/IEC 27002:2013.

Historique de performance

Depuis sa création, Doctena n’a connu aucune faille de sécurité !

Pour plus d’informations

Si vous avez des questions au sujet du RGPD et de votre utilisation de Doctena, n’hésitez pas à nous envoyer un courriel.

support+gdpr@doctena.com

Veuillez noter que le présent article a une visée d’information uniquement et ne devrait nullement être considéré comme un avis juridique.

 

Liens

https://gdpr-info.eu/