La confidentialité des données personnelles est une priorité majeure de 3Shape. C'est pourquoi nous voulons vous aider à respecter la confidentialité des données lors de l'utilisation des produits 3Shape.
Le but de ce document est de clarifier comment :
- Les produits 3Shape basés sur la plate-forme Dental Desktop version 1.6.2.X (à partir d'avril 2018) et les versions plus récentes aideront les partenaires et les clients de 3Shape à se conformer au RGPD. Le service 3Shape Communicate® est conforme au RGPD.
Nous espérons que cette FAQ répondra à vos questions concernant la confidentialité des données personnelles et vous aidera à vous conformer au RGPD.
Qu'est-ce que le RGPD ?
- RGPD est l'acronyme de « règlement général sur la protection des données » et concerne la vie privée de tous les citoyens de l'UE et des autres personnes dont les données personnelles sont traitées dans l'UE/EEE. Le RGPD encadre le traitement des informations personnelles par les entreprises publiques et privées (y compris les cabinets médicaux) et les institutions. Le RGPD introduit peu de nouvelles exigences par rapport à la précédente réglementation européenne en matière de protection de la vie privée, mais il prévoit d'importantes amendes en cas d'infraction ou de non-conformité. Le règlement est entré en vigueur le 25 mai 2018.
Dans quelle mesure suis-je concerné par le RGPD ?
- Si vous collectez et/ou traitez des informations personnelles dans l'UE ou sur des citoyens de l'UE, vous devez vous conformer aux dispositions du règlement.
Vous devez vous familiariser avec les dispositions générales du règlement, mais nous tenterons d'exposer ci-dessous les responsabilités respectives et la manière dont les produits 3Shape peuvent vous aider à préserver la confidentialité des données personnelles que vous pouvez détenir.
Conformité RGPD des cabinets et des laboratoires
La société 3Shape traite-t-elle les données des patients de mon cabinet ?
- À l'exception du partage des dossiers de vos patients via le service 3Shape Communicate ou le logiciel 3Shape Lab Management Software (LMS), 3Shape n'accède pas aux dossiers des patients et ne les traite pas (voir les sections consacrées aux produits correspondants ci-dessous).
Quelles sont mes responsabilités en matière de confidentialité lorsque j'utilise des produits 3Shape ?
- Si vous êtes un cabinet médical : les cabinets médicaux sont considérés comme responsables du traitement des données lorsqu'ils collectent et traitent les données des patients (c.-à-d. les données personnelles), indépendamment du format (papier ou électronique) dans lequel les données sont stockées dans les systèmes de gestion des cabinets ou dans les systèmes 3Shape tels que TRIOS. Le respect de la conformité incombe au cabinet concerné. Cela inclut également des garanties juridiques appropriées lors du partage des données des patients avec, par exemple, un laboratoire dentaire ou d'autres sous-traitants des données.
- Si vous êtes un laboratoire : les laboratoires sont considérés comme des sous-traitants des données lorsqu'ils stockent, pour le compte des cabinets, des dossiers contenant des données à caractère personnel afin de fournir la prothèse commandée, etc. Le respect de la conformité (y compris le respect des périodes de conservation, etc.) incombe au laboratoire concerné.
Quelles sont les responsabilités de 3Shape ?
- 3Shape est considéré comme un sous-traitant des données lorsque 3Shape transmet et stocke, pour le compte des cabinets et des laboratoires, des dossiers contenant des données personnelles, par exemple en utilisant le service 3Shape Communicate et/ou 3Shape LMS. Pour savoir comment 3Shape assure la confidentialité, l'intégrité et la disponibilité des données dans 3Shape Communicate et LMS, reportez-vous aux sections consacrées à 3Shape Communicate et à LMS ci-dessous.
Pour plus d'informations sur les circonstances dans lesquelles 3Shape est responsable du traitement des données, consultez notre Politique de confidentialité générale.
Comment Dental Desktop (à partir de la version 1.6.1.0) aide-t-il mon cabinet ou mon laboratoire à se conformer au RGPD ?
- Tout d'abord, il est important de souligner qu'aucun logiciel en soi ne peut garantir la conformité. La conformité dépend toujours des flux de travail et des processus liés à l'utilisation du logiciel et de la façon dont celui-ci est configuré.
- Cela dit, Dental Desktop dispose d'un certain nombre de mécanismes de protection techniques qui améliorent la sécurité et la confidentialité des informations :
- Par défaut, les dossiers des patients sont toujours stockés localement dans votre cabinet ou votre laboratoire. Cependant, si vous installez des produits 3Shape basés sur Dental Desktop dans une configuration multiposte où le serveur se trouve en dehors du cabinet ou du laboratoire, vous devez veiller à ce que le serveur soit également situé dans l'UE afin de respecter le RGPD.
- Les données des patients sont stockées de manière chiffrée sur le disque dur et dans la base de données du logiciel.
- Dental Desktop dispose d'un système de contrôle d'accès intégré. Nous vous recommandons d'utiliser des mots de passe forts.
- Dental Desktop dispose d'un journal des événements intégré à des fins d'audit. Cela signifie que vous pouvez surveiller l'activité liée aux données personnelles stockées dans le système.
Comment respecter les obligations en matière de droits des personnes concernées ?
- Droit d'accès et portabilité. Dental Desktop permet d'exporter les dossiers des patients. Sachez que vous pouvez détenir des informations sur une personne concernée en dehors des produits 3Shape. Ces informations peuvent également faire l'objet de demandes d'accès des personnes concernées.
- Droit à l'oubli. Les patients et leurs données peuvent être complètement supprimés du système Dental Desktop.
Que faire si je n'utilise pas la plate-forme Dental Desktop pour mes produits 3Shape ?
- L'utilisation, par exemple, du logiciel TRIOS sur la plate-forme de génération précédente (souvent appelée TRIOS Classic) ne signifie pas par défaut que vous êtes en situation de non-conformité. Cependant, vous devrez envisager d'autres mesures de protection techniques disponibles, telles que le contrôle d'accès à votre ordinateur, etc.
- Si vous avez précédemment acheté un produit 3Shape qui est maintenant disponible sur la plate-forme Dental Desktop, nous vous recommandons vivement de passer à Dental Desktop. Vous bénéficierez d'un plus grand nombre de fonctionnalités, de meilleures performances et d'une sécurité renforcée.
Conformité RGPD de Communicate et de Lab Management Software
3SHAPE COMMUNICATE :
Qu'est-ce que 3Shape Communicate ?
- 3Shape Communicate est un logiciel Web qui permet aux professionnels dentaires qui utilisent des produits 3Shape d'échanger en toute sécurité des informations en vue de la réalisation de travaux dentaires. Le logiciel est associé à un certain nombre d'autres outils de gestion tels qu'un portail Web et des applications mobiles pour faciliter la gestion des dossiers.
Comment les utilisateurs peuvent-ils accéder à 3Shape Communicate ?
- Pour accéder à 3Shape Communicate, tous les utilisateurs doivent s'authentifier en fournissant une adresse électronique et un mot de passe uniques. Les mots de passe doivent comporter au moins 8 caractères et au moins 3 types de caractères différents (par exemple, majuscules, minuscules, chiffres, symboles spéciaux). Pour protéger les informations personnelles, le jeton de l'utilisateur expire automatiquement après 15 minutes et l'utilisateur doit se connecter à nouveau. Des mesures de sécurité supplémentaires, telles que l'authentification à deux facteurs, sont appliquées aux techniciens de service internes qui doivent accéder directement au système à des fins de maintenance.
Quelles données sont accessibles aux utilisateurs authentifiés ?
- Pour garantir la sécurité et la protection des informations électroniques sur la santé des patients (ePHI), les utilisateurs ne peuvent voir que leurs propres commandes.
Comment les fichiers sont-ils transmis à 3Shape Communicate ?
- Tous les sous-systèmes de 3Shape Communicate fonctionnent avec le protocole de transfert de fichiers https, à l'exception des anciennes versions du logiciel 3Shape qui utilisent l'API héritée avec le protocole de transfert de fichiers Net.tcp, qui sera abandonné à terme.
Les fichiers transmis vers et depuis 3Shape Communicate sont-ils chiffrés ?
- Oui, les données transmises vers et depuis 3Shape Communicate sont chiffrées à l'aide du protocole TLS1.2 AES_256 afin qu'elles soient illisibles en cas d'interception. Ce protocole de transfert comprend également un contrôle d'intégrité pour garantir que les données ne sont pas modifiées de manière inappropriée pendant la transmission.
Comment les fichiers transmis via 3Shape Communicate sont-ils stockés ?
- Emplacement. 3Shape Communicate dispose de 3 serveurs répartis à travers le monde, chacun situé dans une région géographique distincte : un en Irlande, pour l'Europe, le Moyen-Orient et l'Afrique ; un aux États-Unis, pour les Amériques ; et un à Hong Kong, pour l'Asie et l'Océanie. Toutes les données sont stockées dans la même région que celle du propriétaire des données. Les serveurs de 3Shape Communicate sont détenus et exploités par Microsoft Azure. 3Shape a signé un accord de partenariat commercial avec Microsoft, en vertu duquel Microsoft s'engage à appliquer des mesures de protection de la sécurité et de la confidentialité dans ses centres de traitement de données.
- Chiffrement. Les données sont chiffrées au repos.
Qui peut accéder aux données stockées dans 3Shape Communicate ?
- Outre les propriétaires des données, les seules personnes qui ont accès aux données stockées dans 3Shape Communicate sont les techniciens de service internes chargés de la maintenance du système et certains spécialistes du support technique qui fournissent une assistance aux clients. Les autorisations d'accès sont gérées et constamment réexaminées par un gestionnaire de rôles.
3Shape Communicate conserve-t-il des journaux d'audit indiquant qui a accédé aux données stockées par le service ?
- Oui, étant donné que tous les utilisateurs du système (y compris les spécialistes du support client et les techniciens de service) ont un identifiant de compte unique, chaque accès à des informations de santé personnelles est enregistré. Chaque journal contient une entrée avec l'e-mail de l'utilisateur, l'ID du dossier auquel l'utilisateur a accédé et l'heure de l'accès.
Combien de temps les données sont-elles conservées dans 3Shape Communicate ?
- Les données stockées dans 3Shape Communicate sont conservées indéfiniment. Cependant, le propriétaire des données a la possibilité d'effacer toutes les données des dossiers à tout moment. Il existe un mécanisme permettant de supprimer des dossiers via le portail Web de 3Shape Communicate. Notez que pour éviter une suppression accidentelle ou non autorisée des commandes, une commande supprimée est conservée (mais non accessible) pendant une période supplémentaire de 30 jours.
Les données stockées dans 3Shape Communicate sont-elles sauvegardées ? À quelle fréquence ?
- Toutes les données des dossiers stockés dans 3Shape Communicate sont sauvegardées quotidiennement. Ces sauvegardes quotidiennes couvrent les deux dernières semaines. De plus, toutes les données des dossiers sont stockées sur des supports redondants pour éviter une perte accidentelle de données.
3Shape Communicate et HIPAA :
- Les mesures de sécurité et de protection de la vie privée susmentionnées ont été mises en œuvre pour garantir la confidentialité, l'intégrité et la disponibilité de toutes les informations de santé électroniques (ePHI) créées, reçues, conservées ou transmises par 3Shape Communicate. À cette fin, 3Shape contrôle continuellement ses mesures de protection et ses procédures pour s'assurer qu'elles protègent raisonnablement contre toutes les menaces à la sécurité et à l'intégrité des informations de santé électroniques. Cela comprend, sans s'y limiter, les contrôles d'accès physiques, la formation continue des collaborateurs et la tenue de journaux d'audit d'accès.
Si vous avez des questions supplémentaires, contactez-nous à l'adresse [email protected].