Typ om te zoeken

Geen onderdeel van een categorie

La confidentialité des données dans la perspective plus large de la gestion du risque

Delen

Dans le secteur des soins de santé, la gestion du risque n’en est malheureusement encore qu’à ses débuts, bien que les risques à gérer y soient sans doute plus importants que dans n’importe quel autre secteur. Ainsi, seule une 10-aine d’hôpitaux de Flandre disposerait d’un audit interne ou d’une fonction de contrôle interne et rares sont les organisations du secteur ayant évalué leurs risques et défini des plans d’action pour les maîtriser.

Responsabilités

Quel que soit le type d’organisation, il est de la responsabilité de la direction de gérer tous les risques de l’organisation. C’est le cas également pour des organisations du secteur des soins et du secteur non-marchand.
Il relève par ailleurs de la responsabilité du Conseil d’Administration de veiller à ce que ceci se traduise dans les faits. Pire même: si les risques ne sont pas effectivement gérés, les administrateurs peuvent être tenus (légalement) responsables d’éventuels accidents, si un lien de cause à effet avec la mauvaise gestion des risques peut être démontré!
Tout ceci n’est pas seulement de la théorie: cela arrive déjà en pratique. Jusqu’à présent de manière limitée, il est vrai, mais on s’attend à ce que cela augmente dans les années à venir. Les pays anglo-saxons sont souvent précurseurs en la matière.
Les administrateurs ne se rendent souvent pas assez compte qu’ils portent la responsabilité finale et peuvent être tenus pour responsables dans le cas d’événements graves. C’est certainement le cas également dans les hôpitaux, où les risques ont trait à la vie humaine.
Pour de nombreux risques, le risque zéro n’existe pas, à fortiori dans le secteur des soins. Même lorsque toutes les précautions sont prises, des accidents peuvent toujours se produire. Les précautions réduisent la probabilité ou l’impact du risque, mais elles ne peuvent pas entièrement l’éliminer.
C’est pourquoi il importe, lorsque de tels événements surviennent, de pouvoir démontrer que des mesures de précautions ont été prises pour gérer le risque, que la direction a réfléchi à la question et qu’elle a sciemment pris des décisions relatives aux risques.

Quels risques à gérer?

Tous les risques de l’organisation doivent être gérés. Il existe une grande variété de risques, tels que les risques médicaux, les risques opérationnels, les risques légaux, les risques financiers et les risques IT. Les risques sont en fait liés à toutes les activités de l’organisation, tant le volet soins que le volet administratif.

Gestion effective du risque

La gestion effective du risque signifie que tous les risques importants au sein de l’organisation sont connus et évalués et qu’une analyse de risque est typiquement menée à cet effet. La gestion effective du risque est basée sur l’analyse du risque et des décisions délibérées sont prises pour s’attaquer aux risques. Un plan d’action est établi sur la base de ces décisions, afin de mener des actions adéquates et de prendre des mesures pour gérer les risques. Une analyse de risque est souvent effectuée avec l’aide de consultants externes, qui possèdent de préférence une expérience dans le secteur des soins de santé. La raison principale en est que la plupart des risques sont génériques et présents dans des organisations similaires: pour effectuer une analyse de risque, un bon consultant dispose d’un modèle de risque spécifique au secteur.

Effectuer une analyse de risque

Une analyse de risque s’effectue généralement en deux phases. D’abord, il y a l’identification du risque. Celle-ci a lieu généralement lors de séminaires avec la direction et sur la base du modèle de risque générique. Vient ensuite une évaluation de tous les risques identifiés. Il existe à cet effet différentes méthodes, qui évaluent la probabilité et l’impact du risque (l’événement). L’exercice d’analyse de risque résulte dans un inventaire de tous les risques et leur degré d’importance. On s’attaquera en premier aux risques majeurs bien sûr.
Dans la phase suivante, des décisions relatives aux risques sont prises en tenant compte de leur importance et des mesures possibles. En théorie, les décisions possibles sont les suivantes: réduire le risque en implémentant des mesures de contrôle, déléguer le risque (en pratique, par le biais de l’assurance généralement), éviter le risque, en cessant par exemple les activités concernées, accepter le risque et ne pas prendre de mesures.
On peut en effet décider aussi de n’entreprendre aucune action! La raison peut être que le risque est faible et les coûts élevés. Le plus important en fin de compte, c’est que ces décisions soient prises de manière consciente et fondée par le Conseil d’Administration. Il importe aussi que ces décisions soient documentées et soutenues par toutes les personnes impliquées. Et ce, afin d’éviter qu’en cas ‘d’accident”, certains ne soient montrés du doigt.

Confidentialité des données et sécurité de l’information

La confidentialité des données et la sécurité de l’information sont des risques spécifiques, qui doivent être gérés au sein des organisations. La méthodologie générique de gestion du risque décrite ci-dessus s’applique aussi aux risques spécifiques et est typiquement utilisée par le consultant en sécurité de l’organisation. Les autorités stipulent en effet qu’une analyse de risque doit être effectuée en matière de sécurité de l’information. La méthodologie décrite ci-dessus peut être utilisée à cet effet.

Conclusion

La confidentialité des données et la sécurité de l’information doivent être considérées dans un contexte plus large de gestion du risque. Une sécurisation parfaite n’existe cependant, les risques ne pouvant jamais être entièrement exclus. Dans ‘Mission Impossible’, la sécurisation du Pentagone même était insuffisante pour empêcher le héros d’entrer dans l’ordinateur… Ce qui compte, c’est que des décisions soient prises sciemment, sur la base d’une analyse, que celle-ci soit formellement documentée et que des mesures adéquates soient prises. De sorte que les responsabilités restent finalement limitées en cas d’accident.
 

Tags:

Geef een reactie