Netsoins is een software voor digitale gebruikersdossiers (DUI) die de administratieve, medische en paramedische gegevens van bewoners in EHPAD centraliseert. Wanneer het wordt uitgerold binnen de groep Domusvi, heeft de inlogprocedure direct invloed op de beveiliging van gezondheidsgegevens die onder de AVG vallen en aan de eisen van HDS-hosting voldoen. Inzicht in de technische mechanismen die deze informatie beschermen, stelt de zorgteams in staat om hun eigen rol in de keten van compliance te meten.
Nationale gezondheidsidentiteit en DMP: wat de Ségur oplegt aan de Netsoins-verbinding
De concurrerende artikelen beschouwen de verbinding als een probleem van identificatie of browser. De recente echte verandering ligt elders: de uitrol van het DMP (gedeeld medisch dossier) en de INS (nationale gezondheidsidentiteit) in de instellingen van Domusvi verandert de aard van de authenticatie.
Lees ook : Ontcijfering: de symboliek van de zigeunersymbolen op huizen en hun betekenis
De residentie Clos Lafitte, die behoort tot de groep Domusvi, heeft deze DMP-INS-uitrol gedocumenteerd. Deze integratie vereist een sterke authenticatie van zorgprofessionals en een beveiligde datastroom naar de Ziekenfonds. De eenvoudige combinatie van identificatie/wachtwoord is niet meer voldoende: de professional moet zijn identiteit bewijzen via een middel dat voldoet aan de referentiekaders van de Ségur van digitale gezondheid.
Concreet, bij de verbinding met Netsoins Domusvi controleert de software of de gebruiker over de bevoegdheden beschikt die overeenkomen met zijn rol (verpleegkundige, coördinerend arts, zorghelper). Elke actie wordt vastgelegd in een tijdgestempeld historisch overzicht, wat bijdraagt aan het verwerkingsregister dat door de AVG wordt vereist.
Zie ook : Praktische gids voor het inloggen op Studi Comptalia en toegang tot uw studentenruimte
HDS-hosting en serverlocatie: een vaak genegeerde beperking
De meeste inloggidsen vermelden niet de infrastructuur die de gegevens opslaat zodra ze zijn ingevoerd. De CNIL herinnert eraan dat medisch-sociale instellingen de locatie van de servers en de garanties die door hun onderaannemers worden geboden, moeten controleren, vooral sinds de ongeldigverklaring van het Privacy Shield en de aanneming van het Data Privacy Framework in 2023.
Netsoins toont een conformiteit met de HDS-normen (gezondheidsgegevenshosting). Deze certificering garandeert dat de gegevens van de bewoners op servers blijven die voldoen aan strikte criteria voor beschikbaarheid, integriteit en vertrouwelijkheid. Voor een Domusvi-instelling is het controleren of de hoster HDS-gekwalificeerd is en in Europa is gevestigd een vereiste voordat de software in productie wordt genomen.
Overdrachten buiten de EU: het aandachtspunt
De CNIL benadrukt de voorkeur voor Europese hosters als het gaat om gezondheidsgegevens die in de cloud worden gehost. Als een technische onderaannemer (onderhoud, back-up) gegevens naar Amerikaanse servers overdraagt, moet de instelling ervoor zorgen dat er standaardcontractclausules of equivalente garanties zijn. Deze controle valt onder de functionaris voor gegevensbescherming (DPO), wiens aanwijzing verplicht is voor een groep zoals Domusvi die op grote schaal met gevoelige gegevens omgaat.
Rol van de DPO en verwerkingsregister in een multi-site groep
Domusvi exploiteert meerdere honderden residenties. Deze schaal maakt het verwerkingsregister bijzonder complex: elke instelling gebruikt Netsoins met aangepaste instellingen (voorschrijvingsmodules, opvolging van verpleegkundige zorg, telemedicine), en elke configuratie genereert verschillende datastromen.
De DPO van de groep moet een register bijhouden dat voor elke verwerking beschrijft:
- Het specifieke doel (coördinatie van zorg, facturering, overdracht aan de Ziekenfonds via het DMP)
- De categorieën van verzamelde gegevens (identiteit van de bewoner, medische geschiedenis, voorschriften, zorgobservaties)
- De interne en externe ontvangers, inclusief technische onderaannemers die HDS-hosting verzorgen
- De toegepaste bewaartermijnen, die variëren afhankelijk van de aard van het document (medisch dossier, administratieve gegevens)
Elke professional die inlogt op Netsoins voedt dit register met zijn dagelijkse acties. Het registreren van een zorg, het wijzigen van een voorschrift, het raadplegen van een dossier: al deze handelingen worden vastgelegd en moeten kunnen worden geaudit.
Goede beveiligingspraktijken in het dagelijks leven voor teams in EHPAD
De naleving van regelgeving berust op technische mechanismen, maar ook op de handelingen van de teams op de werkplek. Verschillende reflexen verminderen aanzienlijk het risico op lekken of ongeautoriseerde toegang.
- Vergrendel de sessie zodra de werkplek wordt verlaten, zelfs voor enkele minuten. In EHPAD’s verhogen gedeelde werkplekken tussen zorgverleners het risico op toegang onder een derde identiteit
- Deel nooit je Netsoins-inloggegevens met een collega, zelfs niet in een noodsituatie. De individuele traceerbaarheid van acties is een wettelijke verplichting, geen aanbeveling
- Geef onmiddellijk elke verdenking van abnormale toegang (verbinding vanaf een onbekend apparaat, wijziging niet uitgevoerd door de rekeninghouder) door aan de IT-verantwoordelijke of de DPO
- Geef de voorkeur aan de door de instelling aanbevolen browser en houd deze up-to-date, want een verouderde browser kan de gegevens blootstellen aan bekende kwetsbaarheden
Deze handelingen lijken eenvoudig. Het niet naleven ervan is de belangrijkste oorzaak van meldingen bij de CNIL in de medisch-sociale sector. De beveiliging van gezondheidsgegevens speelt zich zowel op het scherm als op serverniveau af.
Voortdurende opleiding en bewustwording
Een conforme software beschermt niets als gebruikers de mechanismen omzeilen uit gewoonte of gebrek aan tijd. De instellingen van Domusvi die regelmatig bewustwording van de AVG in hun opleidingsplan integreren, constateren een afname van incidenten die verband houden met slechte inlogpraktijken.
De bescherming van bewoners gaat via een complete keten: HDS-certificering van de server, sterke authenticatie opgelegd door de Ségur, verwerkingsregister bijgehouden door de DPO, en dagelijkse waakzaamheid van elke zorgverlener die Netsoins opent. Geen schakel compenseert de tekortkoming van een andere.