Les étudiants qui arrondissent leurs fins de mois en travaillant à l’hôpital OLVG à Amsterdam bénéficient depuis des années d’un accès beaucoup trop étendu aux dossiers électroniques de la quasi-totalité des patients soignés dans l’établissement au cours des 15 dernières années, a rapporté récemment le quotidien de Volkskrant.
Ces dossiers peuvent contenir des informations médicales hautement personnelles, des résultats d’un test de dépistage des MST aux traitements contre le cancer… et l’OLVG est le plus grand hôpital des Pays-Bas en termes de nombre de patients.
C’est une étudiante en philosophie chargée de planifier des rendez-vous et de répondre au téléphone dans une polyclinique qui a, en août de l’année dernière, attiré l’attention de la direction sur cette fuite. Suite à une erreur dans le réglage des logiciels, les étudiants ‘jobistes’ de l’OLVG avaient la possibilité de consulter la totalité des dossiers médicaux de l’établissement: comme ils devaient pouvoir passer rapidement d’un service à l’autre, leur profil dans le système avait en effet été accidentellement réglé de manière à leur donner accès aux patients de toutes les spécialités.
La confidentialité, un gros problème dans le secteur des soins
L’autorité néerlandaise en charge des données personnelles n’est pas encore en mesure de confirmer qu’une enquête a été ouverte, mais souligne que la confidentialité demeure plus largement un problème majeur dans le secteur des soins. «Nous voyons régulièrement passer des sites internet non sécurisés, des intervenants non autorisés qui fouillent dans les dossiers médicaux de personnalités locales, des échanges de données sans aucune protection via WhatsApp ou des e-mails non cryptés.» Des 20.881 fuites de données qui lui ont été notifiées en 2018, 29% provenaient du monde de la santé, soit plus que dans n’importe quel autre secteur.
La fuite serait colmatée
L’hôpital affirme qu’il a colmaté la fuite et rectifié le réglage du logiciel dès que le problème lui a été signalé. L’incident aurait immédiatement été notifié aux autorités. L’établissement a également insisté une nouvelle fois auprès de ses collaborateurs sur l’importance d’un traitement responsable des dossiers-patients. Il a du reste la possibilité de contrôler qui a consulté quel dossier… mais sans pouvoir, à ce stade, préciser dans quelle mesure les étudiants ont profité de la situation, l’enquête à ce sujet étant encore en cours.
Les étudiants eux-mêmes affirment toutefois qu’ils étaient encore en mesure de consulter des dossiers auxquels ils n’auraient pas dû avoir accès après le mois de septembre. Il ressort en outre d’un e-mail interne daté de ce mois de février que «les problèmes concernant les autorisations des étudiants jobistes» ne sont pas résolus et ne le seront que lorsque les profils de fonctions des deux sites de l’hôpital auront été «harmonisés».
Réguler précisément l’accès aux dossiers des plus de 6.000 collaborateurs de l’OLVG n’est pas une mince affaire, concèdent néanmoins les experts. Il arrive en effet que certains changent de poste ou doivent remplacer au pied levé un collègue malade; en outre, les patients confrontés à un problème aigu sont susceptibles d’être transférés d’un département à l’autre à tout moment.