Les dangers du dossier électronique du patient
À partir de 2025, les assureurs maladie allemands devront créer un dossier électronique pour chaque patient qui ne s’y oppose pas expressément. L’auteur invité Andreas Heyer critique cette mesure parce qu’il craint une utilisation abusive des données. Il existe déjà des exemples à l’étranger.
Texte d’Andreas Heyer*.
Jusqu’à présent, seul un petit nombre de patients semble voir un intérêt à ce que les données relatives à leur santé et à leur traitement soient stockées de manière centralisée sur un serveur dans un dossier électronique du patient. Deux ans après l’introduction du dossier électronique du patient, seuls 595 000 assurés avaient opté pour cette solution à la fin du mois de janvier 2023, ce qui correspond à moins d’un pour cent de l’ensemble des assurés.
Du point de vue du gouvernement fédéral, cela ne suffit pas pour créer un ensemble de données aussi complet que possible sur la santé des assurés et pour le mettre à la disposition des institutions de recherche publique et commerciale à des fins d’évaluation.
C’est pourquoi le gouvernement fédéral prévoit d’inverser le principe afin qu’un dossier électronique du patient soit créé pour tous les assurés qui ne s’y opposent pas explicitement.
Fin juin, le portail Netzpolitik a publié les projets de loi du ministère fédéral de la santé sur la loi numérique et la loi sur l’utilisation des données de santé. Selon le projet de loi sur le numérique, à partir de janvier 2025, les assureurs maladie légaux seraient tenus de créer des dossiers électroniques de patients (ePA) pour toutes les personnes assurées qui ne s’y sont pas expressément opposées (réglementation dite « opt-out »).
Parallèlement, selon le projet de loi, les médecins, psychothérapeutes et autres prestataires de services du système de santé seront tenus de transférer leurs données de traitement sur les serveurs des fournisseurs de dossiers électroniques des patients.
Aucun contrôle sur la localisation des données
Le projet oblige explicitement les médecins et les psychothérapeutes à transmettre à l’ePA les données relatives aux infections par le VIH, aux maladies mentales et aux avortements. Toutefois, dans le cas de ces données particulièrement sensibles (contrairement à la transmission d’autres données de traitement), il est prévu que le praticien ait l’obligation de signaler son droit d’opposition au patient.
Le concept de base d’une option de stockage de documents numérisés pour les patients afin de permettre à leurs différents spécialistes d’accéder facilement et rapidement aux résultats antérieurs de leurs collègues, si le patient est d’accord, peut être judicieux.
Toutefois, contrairement aux propositions antérieures, les dossiers électroniques des patients ne sont pas stockés sur les cartes d’assurance des patients, où ils conserveraient physiquement le contrôle de l’emplacement de leurs données de santé. Au lieu de cela, un système a été mis en place dans lequel l’ePA est stocké sur les serveurs de fournisseurs informatiques privés (dans un « nuage ») avec lesquels la caisse d’assurance maladie concernée a conclu un contrat. Dans le cas de Techniker Krankenkasse et de Barmer, les dossiers électroniques des patients sont stockés sur les serveurs de la société IBM.
L’infrastructure numérique du système de santé, appelée infrastructure télématique, est exploitée via les serveurs de la filiale de Bertelsmann, Arvato.
Vulnérabilité aux erreurs de données
Contrairement aux assurances données par le ministère de la santé et les partenaires informatiques quant à la sécurité de l’infrastructure numérique, de nombreux incidents se sont déjà produits.
Par exemple, on a appris que depuis l’introduction récente du certificat électronique d’incapacité de travail, environ 116 000 données ont été envoyées à un seul cabinet médical au lieu d’être envoyées aux assureurs maladie en raison d’une erreur de logiciel.
En Finlande, des données de psychothérapie ont été piratées lors d’une cyberattaque et les cybercriminels ont exercé un chantage partiel sur les patients pour qu’ils paient en bitcoins.
En Australie, les données de santé de 9,7 millions d’assurés d’une compagnie d’assurance maladie ont été publiées sur le darknet par des pirates informatiques.
Dès cette année, les assureurs maladie légaux sont tenus de transférer leurs données de facturation, y compris les diagnostics, les médicaments et la durée du traitement de leurs assurés, sous forme pseudonymisée, au Centre de données de recherche sur la santé (Health Research Data Centre). Les assurés ne disposent d’aucun droit d’opposition.
Des données de traitement utilisées à des fins de recherche
Selon le projet de loi sur l’utilisation des données de santé, les données de traitement contenues dans les dossiers électroniques des patients seront bientôt mises à la disposition des universités et des entreprises pour être évaluées à des fins de recherche par l’intermédiaire d’un « Centre d’accès aux données et de coordination des données de santé » qui doit encore être créé.
Un règlement est également en cours de discussion à ce sujet, qui permettrait en principe le transfert pseudonymisé des données, tant que l’assuré ne s’y oppose pas expressément.
Contrairement à l’anonymisation des données, la pseudonymisation est considérée comme moins sûre du point de vue de la protection des données, car la personne pourrait être identifiée à partir des pseudonymes dans de nombreux cas, en raison des informations contenues, telles que l’année de naissance, le sexe et le code postal du patient.
La divulgation de données sensibles n’est-elle possible qu’après un consentement explicite ?
On peut affirmer que l’objectif du ministère fédéral de la santé de constituer des bases de données de santé aussi vastes que possible en vue de leur évaluation par la recherche publique et commerciale repose, par le biais des réglementations de non participation (opt-out) prévues, sur des citoyens inconscients qui ne s’informeront pas des risques de la transmission numérique de leurs données de santé et de traitement ou qui ne s’opposeront pas expressément au stockage centralisé de leurs données dans le nuage pour des raisons de commodité.
Dans le même temps, le politique insiste sur le fait que, grâce à la réglementation prévue sur la non participation (opt-out), chaque assuré conserverait la possibilité de s’opposer à la transmission de ses données par les médecins et les psychothérapeutes dans un dossier électronique du patient.
Afin de préserver les principes antérieurs de confidentialité médicale, il serait important que le transfert de données de traitement sensibles par les médecins et les psychothérapeutes ne soit autorisé qu’avec le consentement explicite des patients.
Toutefois, si les règles de non participation (opt-out) devaient être appliquées politiquement, les patients auraient toujours la possibilité de s’informer, en tant que citoyens responsables, sur les possibilités et les risques du transfert prévu de leurs données de santé vers des bases de données centrales et de décider s’ils veulent ou non s’opposer à l’utilisation de leurs données.
Ce texte a d’abord été publié dans le Berliner Zeitung sous le titre « Medicine vs. Digitalisation : Quels sont les dangers des dossiers électroniques des patients?
*Andreas Heyer est psychothérapeute spécialisé en psychologie des profondeurs. Il a grandi en Allemagne de l’Ouest et vit et travaille dans sa région d’adoption, l’Allemagne de l’Est.
A noter
Une pétition du Bundestag contre la procédure de non participation (opt-out) pour les dossiers électroniques des patients doit encore être signée pour atteindre le quorum. Elle est ouverte jusqu’au 25 juillet.
Publié à l’origine sur Money and More, traductions par CHD Europe
Follow @CHDEuropeNews | Communauté | Faire un don | S’abonner
Children’s Health Defense Europe
Suggérer une correction