Le règlement européen RGPD entre en vigueur en mai 2018. Il vise en priorité les GAFA (Google, Apple, Facebook, Amazon, Microsoft, …), qui récoltent les données générées par leurs utilisateurs et les utilisent à leur insu. Mais le RGPD est un texte qui s’applique à toutes les entreprises, dès qu’elles traitent de données personnelles. Les organismes complémentaires sont donc concernés, ainsi que leurs opérateurs de tiers-payant.
RGPD : Données personnelles versus données de santé
Organismes complémentaires et opérateurs de tiers-payant sont déjà concernés et sensibilisés par les exigences autour de la sécurité des données. Ils manipulent en effet des données de santé et sont soumis à des règles strictes, notamment en matière d’hébergement de ces données.
Les règles de sécurisation ne sont toutefois pas identiques.
Avec le RGPD, opérateurs de tiers-payant et organismes complémentaires sont aussi coresponsables du traitement des données personnelles des assurés. Sur le plan administratif, les contrats doivent être révisés afin d’intégrer les nouvelles obligations réciproques des deux parties.
Sur le plan opérationnel, la mise en œuvre du RGPD nécessite de modifier la manière dont les données personnelles des assurés sont échangées. L’opérateur de tiers-payant doit revoir la gestion des données et les processus d’échanges avec ses sous-traitants, notamment pour ce qui concerne l’hébergement technique.
Sur certains points, le RGPD revient à élargir la problématique connue pour les données de santé à celle des données personnelles. Pour ces sujets techniques, l’utilisation d’un opérateur de tiers-payant est un gage de sécurité, notamment lorsqu’il bénéficie de certifications ISO (ISO 27001, ISO 20000).
RGPD : vigilance sur la mise en place des contrats et le traitement des incidents
Si le RGPD et la sécurisation des données personnelles ne sont pas vraiment nouveaux pour qui manipule déjà des données de santé, la prudence s’impose lorsque des contrats ou des conventionnements sont mis en place. La résolution des incidents doit aussi être abordée avec vigilance. Il faut bien prendre en compte les contraintes liées au RGPD, qui nécessitent par exemple l’utilisation de mails cryptés pour échanger des données personnelles. Il faut aussi prendre en compte dans ces nouvelles procédures les activités support et périphériques. Il faut aussi mettre en place des contrôles sur les modes de dialogue afin que seules les personnes destinataires et habilitées puissent prendre connaissance des données du fichier. Enfin, les mises en place de nouveaux services liés au tiers-payant doivent dès le départ intégrer ces problèmes de protection des données personnelles.
La formation et la sensibilisation du personnel sont aussi deux points à surveiller scrupuleusement pour vérifier que chacun a compris les enjeux de sécurisation des données et connaît les nouvelles procédures à respecter.
Pour avoir plus d’informations sur ce sujet, les équipes de Cegedim Insurance Solutions sont à votre disposition pour répondre à vos questions.
