Centre de confidentialité RGPD de Doctena

Introduction

Ce document est destiné aux clients (praticiens) futurs et existants ainsi qu’aux partenaires de la passerelle. Il décrit où, pourquoi et comment Doctena S.A. et ses filiales mettent en œuvre la Sécurité et la Conformité pour les services qu’elles offrent.

Le document commence par la partie conformité, en décrivant les différents rôles et responsabilités que les patients, les praticiens, les partenaires de la passerelle et Doctena assument dans le cadre de la RGPD. Cette partie met également en évidence certains éléments importants sur la façon dont nous faisons respecter la conformité à l’aide d’accords de traitement des données.

Conformité

RGPD

Le règlement général sur la protection des données (RGPD) place la barre très haut en ce qui concerne la protection de l’intégrité de l’individu dans l’UE. Le GDPR est le règlement européen pour la protection des données personnelles, qui s’applique à toutes les organisations (y compris les cabinets médicaux) opérant au sein de l’UE, mais aussi à toutes les organisations hors UE qui traitent des données de personnes dans l’UE. La définition des données personnelles dans le cadre de la RGPD a été réduite à ” toute information permettant d’identifier une personne “. L’objectif de RGPD est d’harmoniser les lois sur la protection des données dans tous les pays membres de l’UE afin de renforcer l’intégrité de l’individu. La loi est en vigueur depuis le 25 mai 2018.

GDPR s’applique aussi bien aux responsables du traitement des données qu’aux sous-traitants. Le contrôleur des données est la partie qui détermine les buts et la manière dont les données personnelles collectées sont traitées. Alors que le responsable du traitement est un tiers qui traite les données personnelles pour le compte du responsable du traitement. Doctena est très clair et transparent sur ce point : Le praticien est le responsable du traitement et le propriétaire des données de son patient ou de son rendez-vous

Rôles et responsabilités

Doctena est à la fois un responsable de données et sous-traitant mais pour des parties différentes des données.

En tant qu’entreprise de calendrier en ligne fournissant un service aux praticiens, Doctena agit principalement en tant que sous-traitant de données. Nous traitons les données pour le compte du praticien qui définit ce qui se passe avec ces données (modification, suppression, transfert, droits RGPD?) et le praticien reste propriétaire des données. Ces données comprennent le profil du patient, les données relatives aux rendez-vous et les notes facultatives du médecin/patient liées aux rendez-vous. Ceci est également valable lorsque le praticien met en place une synchronisation avec nos services en utilisant un fournisseur de passerelle.
Pour les patients ayant un compte Doctena, Doctena joue le rôle de responsable du traitement uniquement pour les données du compte (préférences, nom, adresse, téléphone, email, adresse, évaluations, etc.) qui ne sont là que pour faciliter la gestion des rendez-vous du patient en utilisant nos services en ligne. Lors de chaque réservation, nous copions essentiellement les données du compte Doctena dans le profil du patient et le rendez-vous du médecin, à partir duquel cette copie devient contrôlée par le praticien. Dans le cadre du compte Doctena, nous contrôlons également un lien logique avec les rendez-vous du médecin, ce qui nous permet de montrer les praticiens et les rendez-vous du patient.

Different flows of information
Dans le diagramme ci-dessous, vous voyez les trois façons dont les renseignements personnels peuvent passer du patient à nos systèmes.

Patient

Le patient est la personne qui utilise les services de Doctena directement ou indirectement via le praticien pour trouver et gérer son rendez-vous médical. En termes de RGPD, le patient est toujours la Sujet des données (propriétaire final des données personnelles) et a toujours le droit de définir ce qu’il advient de ses données, à moins qu’il n’y ait des obligations légales à la demande (par exemple, une ordonnance du tribunal, une enquête pénale, …)

Praticien

Le praticien est la personne physique ou morale qui sous-traite à Doctena pour lui fournir un agenda en ligne et pour collecter les données relatives aux patients. Le praticien est le destinataire final des données du patient (MEDECIN-PATIENT) et définit le but du traitement et de la collecte des données. Il lui appartient de s’assurer que les données du patient sont traitées de manière sécurisée et conformément à la réglementation lors de la sélection de sous-traitants tels que Doctena ou un partenaire du portail connecté à Doctena. Cette sécurisation se fait en toute confiance et par l’utilisation de conventions de traitement des données fournies par Doctena qui définissent clairement ce que Doctena est autorisé à faire avec les données au nom du praticien, et quel est le niveau de sécurité que Doctena met en œuvre pour protéger ces données.
En termes de RGPD, le praticien est toujours le responsable du traitement (responsable principal) des données du patient et des données relatives aux rendez-vous (MEDECIN-PATIENT).

Partenaire de passerelle

De nombreux logiciels médicaux existent et sont utilisés par les cabinets médicaux en interne. Les partenaires de la passerelle sont des personnes morales (parfois les mêmes que le fournisseur du logiciel médical) qui sont spécialisés dans la liaison de certaines données du logiciel médical avec les services de Doctena. Pour les intégrations avec Doctena, seules les données du praticien (MEDECIN-PATIENT) sont concernées. Cela peut se faire du logiciel médical vers Doctena, de Doctena vers le logiciel médical, ou dans les deux sens selon les besoins du praticien. Doctena fournit également des plugins externes comme des synchronisations de calendriers (par exemple Cronofy) qui synchronisent les agendas Doctena pour Exchange, Gsuite, outlook, … qui sont également considérés comme des partenaires de passerelle.
En termes de RGPD, les partenaires du Gateway sont toujours des sous-traitants du praticien. Le praticien doit avoir une convention de traitement des données avec le partenaire de passerelle dans laquelle le définit clairement ce qui peut être fait avec leurs données, dans quel but et comment elles sont sécurisées. Les partenaires de la passerelle sont considérés par Doctena comme un sous-traitant du praticient qui a reçu les sécrets ou l’autorisation d’agir en leur nom. Par conséquent, aucune convention particulière de traitement des données n’est requise entre Doctena et le partenaire Gateway, sauf si un traitement particulier de données personnelles supplémentaires est impliqué et nécessite un arrangement supplémentaire.

Doctena

Le groupe Doctena désigne Doctena S.A. et ses filiales dans les différents pays :

Doctena SA – 42, Rue de la Vallée, L-2661 Luxembourg (Luxembourg)
Doctena Austria (formally a3L e-solutions) – Simmeringer Hauptstraße 24, A-1110 Vienne (Autriche)
Doctena Belgium Sprl – Square de Meeus 37, B-1000 Bruxelles (Belgique)
Doctena Switzerland GmbH – Hagenholzstrasse 81a, 8050 Zurich (Suisse)
Doctena Germany GmbH – Kurfürstendamm 14, 10719 Berlin (Allemagne)
Doctena Afspraken Sprl – Square de Meeus 37, B-1000 Bruxelles (Belgique)

Accord sur le traitement des données

Doctena se conforme aux normes établies dans le règlement et nos Conditions d’utilisation et notre Politique de confidentialité décrivent comment nous respectons les droits de nos utilisateurs.

Nous avons préparé un accord de traitement des données (DPA) qui est le même pour tous nos clients, que vous pouvez signer en tant que praticien (responsable du traitement des données) avec Doctena (sous-traitant des données) pour définir comment Doctena est autorisé à utiliser vos données. Dans le cadre de RGPD, les praticiens sont tenus d’avoir un tel accord avec tous leurs sous-traitants pour se conformer à la réglementation, et vous devriez l’ajouter à votre propre documentation RGPD. Le DPA décrit les termes de RGPD, les rôles et les obligations du traitement des données tant pour le sous-traitant que pour le responsable du traitement. Elle comprend la plupart des informations que nous décrivons dans cet article.

Signer votre accord spécifique de traitement des données avec Doctena

Télécharger en PDF l’accord spécifique de traitement des données avec Doctena

Si vous utilisez une intégration de passerelle dans notre système, vous devez vous assurer que vous avez un accord de traitement de données en place avec cet intégrateur dans lequel vous donnez clairement le mandat à l’intégrateur que vous en tant que contrôleur de données permettez au intégrateur d’agir en votre nom sur vos ressources Doctena

Activités de traitement

Doctena définit les services suivants comme faisant partie des activités de traitement sous-traitées qui doivent toujours être prises ensemble :

(i) Gestion des données du patient concernant son rendez-vous médical et les services de suivi
(ii) Gestion de l’agenda/calendrier du médecin
(iii) Gestion de l’infrastructure informatique, du logiciel, de la maintenance et de l’administration en lien avec les services visés dans l’Accord principal.

La nature des opérations effectuées sur les données aux fins des points (i), (ii) et (iii) est la suivante :

Collecte, conservation et modification d’informations personnelles du patient, requises par le médecin en vue d’organiser le rendez-vous
Recherche du compte patient à partir de l’une de ses données à caractère personnel conservées
Communications avec la Personne concernée au sujet de son rendez-vous en utilisant l’adresse de courrier électronique ou le numéro de téléphone (mobile)
Importations de données dans les services de Doctena au moyen des données structurées transmises par le médecin (ex. Onboarding)
Sauvegarde automatique des données
La catégorie de Personnes concernées est : Patients.

Afin de fournir les services mentionnés aux points (i), (ii) et (iii), le Sous-traitant est autorisé à traiter, pour le compte du Responsable du traitement, les catégories de données à caractère personnel nécessaires suivantes, en fonction des données transmises par le Responsable du traitement et/ou la Personne concernée :

Données à caractère personnel d’identification : nom, titre, adresse électronique, adresse (privée et professionnelle), anciennes adresses, numéro de téléphone (mobile) (privé et professionnel), identifiants attribués par le Responsable du traitement
Renseignements personnels : âge, sexe, date de naissance, lieu de naissance, bureau d’enregistrement et nationalité
Données d’identification électronique : adresses IP, cookies, moments de connexion, signature électronique
Données relatives aux soins : données relatives aux ressources et procédures utilisées pour les soins médicaux et paramédicaux des patients (ex. notes du médecin/patient, raison de visite)
Renseignements concernant les autres membres de la famille ou du ménage : enfants, personnes à charge, autres membres du ménage, informations relatives aux parents et proches
Pseudonymisation : contrôles visant à protéger la confidentialité, l’intégrité et la disponibilité des données (ex. Mot de passe hashé)
(seulement si l’option est activée) Données d’identification : émises par les services publics, ex. numéro d’identification national, numéro de sécurité sociale, numéro de carte d’identité, passeport

Consentement du patient

Tous les rendez-vous pris par le biais de notre site Web ou des widgets que vous intégrez dans votre propre site Web, informent le patient sur la politique de confidentialité et sur le fait que Doctena traite les données médicales au nom du praticien. Nos services recueillent et conservent ce consentement, facilitant ainsi ce processus au nom du praticien. Le praticien est responsable de la gestion de ce consentement lorsque le rendez-vous n’est pas pris en ligne et lorsqu’il est introduit dans nos systèmes à l’aide d’un fournisseur de passerelle.

Les sous-traitants de Doctena

Lorsque nous travaillons avec des partenaires ou des sous-traitants externes, nous exigeons qu’ils appliquent au moins les mêmes normes de sécurité que nous. Nous ne voulons pas avoir de maillons faibles dans nos chaînes de production et d’exploitation en ce qui concerne la sécurité. Doctena publie une liste de ses propres sous-traitants (cloud, sms, messagerie…) dans le cadre de son contrat de traitement de données. Ces sous-traitants ont été sélectionnés sur la base de leur respect des règles de sécurité et de confidentialité. Nous maintenons nos propres contrats de traitement de données avec chacun de ces sous-traitants, dans lesquels nous définissons l’objectif du traitement et où nous appliquons au moins le même niveau de sécurité et de confidentialité que celui promis aux praticiens dans le contrat principal de traitement de données. Les sous-traitants de Doctena s’interdisent de traiter ou de transférer des données dans un pays tiers (pays hors UE/EEE, sauf s’ils disposent d’une décision d’adéquation valide de la Commission Européenne sur la protection des données personnelles). Tout changement de responsable de traitement (sous-traitant) de Doctena sera communiqué à tous les responsables de traitement (praticiens) qui disposent d’un délai de 14 jours pour s’opposer à ce changement avant qu’il ne soit mis en œuvre.

Conservation des données

En raison des obligations légales de conservation des données médicales dans les différents pays où Doctena est actif, nous avons décidé que toutes les données sont conservées pendant 10 ans puis anonymisées automatiquement. Les données peuvent également être anonymisées à tout moment par le praticien à l’aide de l’agenda en ligne.

Droits des sujets de données

Afin de permettre aux patients et aux praticiens de répondre plus facilement aux questions fréquemment posées concernant la GDPR et de leur permettre d’exercer leurs droits, nous avons mis en place notre propre centre de confidentialité Doctena. Notre centre de confidentialité vous posera quelques questions pour vous aider à vous diriger rapidement vers l’information que vous recherchez.

Ouvrir le centre de confidentialité Doctena

Lorsque nous recevons des demandes d’exécution de droits RGPD (droit de rectification, droit de suppression, …), ces demandes sont traitées et validées en interne par le responsable de la sécurité des informations (RSSI) ou un responsable du support spécialement formé. Si la demande est valide, deux types d’actions peuvent avoir lieu selon le type.

Pour les demandes relatives aux MEDECIN-PATIENTS, la demande est toujours transmise au responsable du traitement (praticien). Doctena n’exécutera la demande que si celui-ci donne son consentement explicite à l’action.
Pour les demandes liées à COMPTE-DOCTENA, la demande est exécutée sans l’intervention du praticien
Nous promettons dans notre politique de confidentialité des données que toute demande de ce type sera exécutée dans un délai d’un mois, ce qui donnera aux deux parties suffisamment de temps pour y répondre. Tout incident ou demande de sécurité important est transmis et suivi personnellement par notre CISO, ce qui garantit une réponse ou une action immédiate.

Notifications

Doctena informera le contrôleur (praticien) par e-mail de toute violation de données personnelles au plus tard 48 heures après en avoir eu connaissance. La notification sera envoyée avec toute la documentation nécessaire pour permettre au responsable du traitement (praticien), le cas échéant, de notifier cette violation à l’autorité de contrôle compétente.

Lieu de traitement et de stockage des données

L’infrastructure de serveurs de Doctena est hébergée sur Amazon Web Services et utilise uniquement des centres de données situés dans la région de Francfort (eu-central-1) pour garantir que les données ne quittent jamais l’UE. Amazon Web Services est entièrement conforme à la RGPD pour laquelle vous pouvez obtenir des informations supplémentaires sur le lien ci-dessous.

https://aws.amazon.com/blogs/security/all-aws-services-gdpr-ready/

Pourquoi un responsable externe de la protection des données ?

Nous aurions pu choisir d’assigner un DPO interne, mais comme nous voulions être très transparents envers les patients, les praticiens et les autorités, nous avons choisi d’assigner ce rôle à une société externe impartiale, spécialisée dans la protection des données et l’évolution de la réglementation. Cette société sert d’intermédiaire entre les personnes concernées (les patients) et Doctena afin de garantir la bonne exécution des droits du patient. En cas de non-respect par Doctena, le DPO a l’obligation d’en informer les autorités concernées. Cela nous oblige à rester au fait des exigences et de leurs audits annuels et nos réunions régulières aident Doctena à rester conforme.

Kemal Webersohn, LL.M

WS Datenschutz GmbH
Meinekestraße 13
10719 Berlin (Germany)

Fax : +49 30 88 72 07 88
Website: www.ws-datenschutz.de

Email :

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

Certificats RGPD

Allemagne: https://cdn.doctena.com/legal/DPO_GDPR_Doctena_Germany.pdf

Autriche: https://cdn.doctena.com/legal/DPO_GDPR_Doctena_Austria.pdf

Belgique: https://cdn.doctena.com/legal/DPO_GDPR_Doctena_Belgium.pdf

Luxembourg: https://cdn.doctena.com/legal/DPO_GDPR_Doctena_Luxembourg.pdf

Suisse: https://cdn.doctena.com/legal/DPO_GDPR_Doctena_Switzerland.pdf

Si vous avez des questions au sujet du RGPD et de votre utilisation de Doctena, n’hésitez pas à nous envoyer un courriel.

[email protected]

Veuillez noter que le présent article a une visée d’information uniquement et ne devrait nullement être considéré comme un avis juridique.

Liens

https://gdpr-info.eu/

Mesures de sécurité mises en place par Doctena : https://www.doctena.com/securité