Typ om te zoeken

Ziekenhuizen

Le conseiller en sécurité : uniquement une exigence formelle ou également une fonction effectivement remplie?

Delen

Cette situation s’explique par un manque de temps (la fonction de conseiller en sécurité vient généralement s’ajouter à leurs tâches quotidiennes) ou par un manque de connaissances et l’absence d’une approche concrète pour démarrer la fonction. La plupart d’entre eux comptaient sur les formations organisées par les pouvoirs publics, mais celles-ci sont plutôt théoriques et ne proposent aucune approche concrète et pragmatique. C’est pourquoi la fonction de conseiller en sécurité est une notion souvent abstraite pour un grand nombre d’hôpitaux. L’incertitude règne à l’heure actuelle quant à savoir si le gouvernement prendra des mesures en la matière et vérifiera si le conseiller en sécurité remplit bel et bien sa fonction. Il pourrait le faire, par exemple, en consultant le plan de sécurité.

Accréditation et gestion des risques

La sécurité des informations est également un aspect essentiel dans le cadre de l’accréditation, ce qui constitue une autre raison de prendre effectivement des mesures. Mais la principale motivation pour entreprendre une action devrait être la gestion des risques de l’hôpital, afin que l’on ne doive pas admettre, le jour où un incident de sécurité sérieux survient, que des mesures insuffisantes ont été prises à cet égard. Car les risques sont élevés et les possibilités d’incidents sont multiples : le dossier médical d’un patient qui tombe entre de mauvaises mains, une infirmière trop bavarde qui révèle le problème de santé d’une personnalité, la réceptionniste qui transmet la communication à une princesse, un PC sur lequel des fichiers explicites illicites sont découverts, le dossier médical d’un politicien consulté par le personnel médical sans qu’il n’y ait de relation de soins, … Des incidents surviennent tous les jours dans les hôpitaux, auxquels nous sommes confrontés dans notre rôle de conseiller en sécurité.

Responsabilité de l’administrateur

Comment réagirez-vous en tant que dirigeant, directeur IT ou conseiller en sécurité si l’on vous interroge à ce sujet ? Et comment réagirez-vous en tant qu’administrateur si votre responsabilité est engagée ? Il vous incombe en effet de veiller à ce que les risques à l’hôpital soient gérés de manière efficace. Dans les pays anglo-saxons, les procès sont monnaie courante dans le monde médical et finiront par faire rage chez nous… C’est un fait que, jusqu’à présent, la responsabilité de l’administrateur dans les hôpitaux est rarement mise en cause, alors que les risques ne sont quasiment nulle part plus élevés que dans les hôpitaux.
Reste à espérer que vous aurez la possibilité de signaler, en cas d’incident grave, qu’une analyse des risques a bien été effectuée au sein de l’établissement au niveau de la sécurité des informations. Et qu’une série de manquements ont effectivement été constatés, ce qui est toujours le cas, sur base desquels des décisions conscientes ont été prises, ce qui a conduit au plan d’action en cours d’exécution. Un incident s’est malgré tout produit ? Une protection absolue est impossible et l’on ne peut jamais supprimer tous les risques, mais vous avez fait le maximum…

Analyse des risques

Il s’agit donc de la tâche principale d’un conseiller en sécurité : l’exécution d’une analyse des risques, qui met en lumière les principaux risques au niveau de la sécurité des informations et sur base de laquelle un plan de sécurité est établi. Sa fonction consiste ensuite en grande partie à suivre l’exécution du plan et son adaptation à l’environnement hospitalier en pleine mutation (nouveaux systèmes IT, travaux d’infrastructure, etc.).
Dans ce contexte, il est essentiel que toutes ces opérations soient normalisées et documentées, afin que l’on puisse s’y référer, y compris en cas d’incident… L’analyse de processus et de systèmes et le fait de les documenter sont des compétences spécifiques que l’on ne retrouve que dans une mesure limitée dans la plupart des hôpitaux, dont les collaborateurs sont débordés par les tâches médicales et opérationnelles, les ‘activités centrales’ d’un hôpital.

Sous-traitance

C’est pourquoi beaucoup d’hôpitaux confient ces tâches en sous-traitance au conseiller en sécurité interne. L’analyse des risques est effectuée par la partie externe et fait l’objet d’un suivi minutieux par le conseiller en sécurité interne. Le plan de sécurité est établi en collaboration avec les départements concernés, généralement le service du personnel, le service informatique et le service facilitaire. L’analyse des risques et le plan de sécurité sont ensuite transmis au conseiller en sécurité interne qui en assurera le suivi et la mise à jour. En outre, une aide et des conseils périodiques sont fournis occasionnellement par la partie externe. De cette manière, le conseiller en sécurité n’est plus uniquement une exigence formelle et les risques à l’hôpital en matière de sécurité des informations et de confidentialité des données sont effectivement gérés.
 

Tags:

Geef een reactie