Le meilleur médicament : la protection des données dans le secteur de la santé

La menace des violations de données continue de croître pour le secteur de la santé. Au cours des deux derniers mois de 2020, les organisations de soins de santé au Canada ont connu une hausse des attaques de rançongiciels, avec une augmentation de plus de 250 %. Le rapport Shred-it’s 2021 sur la protection des données a révélé que 56% des organisations de soins de santé interrogées ont subi une violation de données et près d’un tiers des organisations de soins de santé interrogées ont subi une violation de données en 2021.

Cette menace croissante affecte les organisations de soins de santé d’un point de vue financier et réglementaire. L’enquête 2021 d’IBM sur le coût d’une violation de données a révélé que les violations de données dans le secteur de la santé coûtent en moyenne 9,23 millions de dollars américains (11,56 dollars canadiens), la plus chère de tous les secteurs et près de 4 millions de dollars de plus que le coût moyen d’une violation de données dans le secteur des services financiers, qui se classait au deuxième rang. Les fonds perdus en raison de la récupération des violations de données, qui comprennent les frais juridiques, les communications internes et externes, les évaluations, etc., pourraient être utilisés pour soutenir et recruter du personnel de santé, fournir de meilleurs équipements aux patients ou même promouvoir des initiatives de durabilité hospitalière.

Une atteinte à la protection des données peut également exposer les organisations au risque d’enfreindre la Législation canadienne sur la protection des renseignements personnels en matière de protection des renseignements personnels sur la protection des renseignements personnels sur la santé (RPS) si des renseignements personnels sur la santé (RPS) sont exposés. La plupart des provinces et des territoires ont leur propre législation sur la protection de la vie privée en matière de soins de santé. En Ontario, la Loi sur la protection des renseignements personnels sur la santé (LPRPS) donne aux personnes le droit d’être avisées du vol ou de la perte ou de l’utilisation ou de la divulgation non autorisée de renseignements personnels sur la santé. Les violations de données peuvent entraîner des poursuites judiciaires, la perte de patients et une couverture médiatique négative.

Les violations de données peuvent menacer non seulement les données sensibles des patients, mais également les données des employés du secteur de la santé. Cela peut nuire à la confiance entre les employés du secteur de la santé et leurs organisations, ce qui pourrait aggraver la crise actuelle du personnel de santé.

Compte tenu des enjeux financiers et juridiques élevés d’une violation de données dans le secteur des soins de santé, les organisations devraient prendre des mesures pour assurer l’intégrité des informations privées de l’établissement de santé et protéger les données sensibles des patients. Selon le rapport sur la protection des données de Shred-it, seulement 64% des organisations de soins de santé interrogées ont mis en place des politiques de sécurité de l’information, et seulement 1 sur 3 effectue des évaluations régulières de la vulnérabilité. Cependant, des conclusions supplémentaires du rapport sur la protection des données 2021 peuvent suggérer que les organisations de soins de santé sont mieux préparées à gérer une violation de données si elle se produit, car trois organisations de soins de santé sur cinq interrogées ont mis en place un plan de réponse aux incidents pour remédier à une violation de données. Seulement 35% des organisations de soins de santé interrogées dans le rapport sur la protection des données 2021 ont déclaré qu’il avait fallu quelques semaines pour résoudre leur plus récente violation de données, le plus faible de tous les secteurs.