Déclaration protection des données - DentAdmin

Déclaration protection des données

1.        Organisation de la protection des données et attribution des responsabilités concernant la protection de données

L’unité d’exploitation ATX nv/sa attache une importance particulière à la protection des données personnelles et dans le cadre de celle-ci, le traitement responsable de ces données est considéré comme le principe fondamental.  ATX nv/sa s’engage à respecter minutieusement tous les lois et règlements applicables concernant le stockage et le traitement de données personnelles.

CGM SE a implémenté un système de gestion centralisée pour la protection de données assurant à la fois un niveau de protection élevé de protection de données et le respect des lois correspondants en matière de protection de données, au sein de toutes les sociétés de CGM.

Cette déclaration concernant la protection de données vise le respect d’obligations d’information légales par le biais de la fourniture d’informations sur le traitement de données au sein de CGM. Cette déclaration concernant la protection de données fait spécifiquement référence à DentAdmin.

À chaque moment, vous aurez accès la version la plus récente de cette déclaration sur la protection des données, aussi bien à partir du manuel d’utilisation de DentAdmin qu’à partir de DentAdmin même.

2.        DentAdmin

DentAdmin est un système de gestion de cabinet, adapté à toutes les formes usuelles de cabinets dentaires. Ce système de gestion pour le cabinet permet la gestion de bureaux/cabinets médicaux par le respect de dispositions légales, documentation structurée, gestion de bureau, facturation, prescriptions et autres exigences, auxquelles peut être répondu par des extensions de produit modulaires optionnelles.  DentAdmin offre une gestion spécifique de droits d’utilisateur, permettant un accès au logiciel et aux extensions de logiciel modulaires, limité aux personnes autorisées. En plus du contrôle d’accès au logiciel et aux extensions de logiciel modulaires, la gestion des droits d’utilisateur permet également d’effectuer un contrôle sur la gestion des droits de lecture et d’écriture, par rapport aux données stockées et traitées au sein du système.  

3.        Traitement de données personnelles par CGM

Le terme « données à caractère personnel » signifient toutes les informations concernant une personne physique identifiée ou identifiable; une personne identifiable est une personne qui peut être identifiée, directement ou indirectement, particulièrement par référence à un identifiant, par exemple nu nom, un numéro d'identification, des données de localisation, un moyen d’identification en ligne ou  un ou plusieurs facteurs spécifiques à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Lors de l’utilisation des produits et/ou services proposés, les types suivants de données sont stockés par ATX nv/sa sur votre serveur:

 

·          Données de contrat et d’enregistrement

·          Données des traitements techniques

 

Conformément à la législation en matière de la protection des données, nous nous engageons à supprimer toutes les données de contrat, d’enregistrement et les données de traitements techniques, après résiliation de votre contrat.

 

Toutefois, nous sommes également obligés par la loi, conformément au droit commercial et fiscal, de respecter des délais de conservation qui peuvent aller au-delà de la date de résiliation de votre contrat. Les données des traitements techniques ne sont stockées qu’aussi longtemps que cela est techniquement nécessaire et sont supprimées au plus tard après la résiliation de votre contrat.

 

3.1 Données de contrat et d’enregistrement

Les données de contrat et d’enregistrement permettent d’identifier et de gérer la relation contractuelle entre le bureau ou le cabinet dentaire et ATX nv/sa. Ces données incluent:

·          Données en relation avec le cabinet ou le bureau dentaire

o    Nom du cabinet et/ou responsable(s)

o    Type de cabinet

o    Adresse du cabinet

o    Numéro de téléphone du cabinet

o    Moyen/Numéro d’identification du cabinet

 

·          Données en relation avec le dentiste/le professionnel

o    Données d’adresse

o    Titre

o    Prénom/nom de famille

o    Nom du suffixe

o    Données de contact (téléphone, email …)

o    Moyen/Numéro d’identification du dentiste/professionnel

o    Numéro NISS pour l’enregistrement correct auprès des services eHealth du gouvernement.

 

·          Information non obligatoire qui peut être ajoutée  

o    Sexe

o    Date de naissance

o    Pays

o    Numéro de téléphone privé

o    Numéro de téléphone mobile

o    Données bancaires (autorisation de prélèvement)

o    Personne(s) de contact

 

Le stockage et le traitement de données personnelles communiqués à ATX nv/sa au cours de la relation d’affaires et contractuelle, sont effectués aux fins et limités à l’exécution du contrat, en particulier le traitement de la commande et l’assistance du client.

Uniquement si c’est autorisé par le biais d’une déclaration de consentement, ces données peuvent également être utilisées pour des enquêtes effectuées auprès des clients, relatives aux produits, et à des fins de marketing.

Les données ne peuvent être communiquées ni vendues à des tiers, sauf si c’est nécessaire pour le respect des obligations contractuelles ou c’est autorisé explicitement par le biais d’une déclaration de consentement. Par exemple, il peut être nécessaire pour ATX nv/sa de communiquer l’adresse et les données de commande à des partenaires commerciaux et de prestations de services, si une commande est passée. Il peut également être nécessaire de communiquer l’adresse à une société de production externe, qui vise la production et l’envoi de supports de données pour la mise à jour.

Les données de contrat sont stockées sur un serveur d’ATX nv/sa ou de sa société mère, sur le sites de la société même ou chiffrées par un accès exclusif pour ATX nv/sa même, dans un environnement cloud pour lequel un accord de traitement de données a été reçu par ATX nv/sa.

Vous avez le droit d’être informé sur les données stockées à votre sujet, le droit à la correction, à la limitation de traitement et le droit à l’effacement de ces données.

 

3.2 Données de traitements techniques  

Les données de traitements techniques sont nécessaires pour la prestation de services garantis par le contrat. ATX nv/sa collectionne des données de traitements techniques uniquement à cette fin. ATX nv/sa vérifie régulièrement si uniquement ces données, nécessaires pour la prestation et l’amélioration de traitements techniques de vos produits/services sont collectionnées, stockées et traitées.

 

Les données du système de gestion du cabinet sont uniquement collectionnées après déclaration de consentement.

Lors de l’utilisation de nos services en ligne, les données suivantes, exigées pour maintenir l’intégrité du système et la sécurité, sont temporairement stockées:

·          Nom de domaine

·          Adresse IP de l’ordinateur client

·          Données et temps d’accès

·          Consultation de fichiers à partir de l’ordinateur clients (nom de fichier et URL)

·          Nombre d’octets transférés au cours de la connexion

Les données de traitements techniques sont stockées sur un serveur d’ATX ou de sa société mère, sur les sites de la société même ou chiffrées par un accès exclusif pour ATX nv/sa même dans un environnement cloud, pour lequel une déclaration de conformité au GDPR a été reçu par ATX nv/sa.

Les données collectionnées lors de l’utilisation de nos services en ligne sont supprimées dans une période de 365 jours. Les adresses IP ne sont généralement pas stockées. Elles ne sont stockées qu’à des fins de sécurité, si vous utilisez nos services de mise à jour en ligne.

4.        Traitement de données personnelles par DentAdmin sur le serveur de votre cabinet

·          Données de référence du cabinet et des membres de personnel employés

·          Données patient

o    données de référence personnelles

o    données médicales

o    données sensibles

Ces données sont stockées et traitées par la base de données sur le serveur de votre cabinet.

 

4.1 Données de référence du cabinet et des membres de personnel employés

Les données de référence de votre cabinet sont stockées pour répondre aux dispositions légales et pour permettre une utilisation correcte de modules/contrats spécifiques. Les données de référence obligatoires dans DentAdmin sont indiquées conformément. Les données de référence du cabinet et des employés qui y travaillent incluent :

·          Nom du cabinet

·          Type de cabinet

·          Adresse du cabinet

·          Moyen/Numéro d’identification du cabinet

·          Spécialité médicale

·          Données sur le dentiste/professionnel

o    Forme des données d’adresse/titre

o    Prénom/nom de famille

o    Moyen/Numéro d’identification du médecin/professionnel

·          Autres employés du cabinet

o    Nom de famille

o    Prénom

o    Nom d’utilisateur/mot de passe

Les données de référence sont nécessaires lors de l’utilisation de différents modules de logiciels pour effectuer des actions, et elles sont utilisées automatiquement. Le transfert à des tiers est effectué après déclaration préalable de consentement ou interaction de l’utilisateur. La correction, la limitation du traitement ou l’effacement de ces données est possible mais peut être limité(e) par des dispositions légales. Les descriptions concernant la correction, la limitation de traitement ou l’effacement de données font partie de la version la plus récente du manuel d’utilisation.

 

4.2 Données patient

Le stockage, l’utilisation et le traitement de données patient ne sont autorisés que si le patient (la personne concernée) donne son consentement ou si c’est fondé sur une obligation légale. Les données patient ne sont pas générées automatiquement par DentAdmin. Les données patient sont collectionnées et saisies dans DentAdmin par le cabinet respectivement le dentiste/le personnel travaillant chez le cabinet médical.

Données de référence du patient: Les données de référence du patient sont enregistrées et saisies automatiquement par le biais de supports de données électroniques (par exemple une carte patient) et/ou saisies ou complétées par une saisie manuelle de données.

Il existe une différence entre les données nécessaires (obligées) pour le respect des obligations contractuelles ou légales d’une part et les données supplémentaires non obligées communiquées par le patient d’autre part.

La communication obligatoire comporte:

·          Informations personnelles (prénom, nom de famille nom du préfixe ou du suffixe, date de naissance, sexe, forme des données d’adresse/titre)

·          Données d’adresse (Rue, numéro de maison, code postal, commune, pays)  

·          Information sur le centre de coûts/ payeur des soins de santé et type d’assurance (payeur des soins de santé, statut d’assurabilité, numéro d’affiliation auprès de l’assurance soins de santé, assurance soins de santé privée)

·          Information sur le remboursement de soins de santé

·           En cas d’orientation, informations telles que

o    Médecin référent

o    Information d’orientation

o    Diagnostics

Les données supplémentaires non obligatoires comportent:

·          Photo d’identité du patient

·          Numéro de téléphone p rivé

·          Numéro de téléphone mobile

·          Données bancaires

·          Adresse email

·          Emploi

·          Relations familiales

D’autres données (par exemple via la carte d’identité électronique) exigeant que le patient y donne lui-même accès, de manière active.

Données sensibles: Les données concernant les soins de santé concernent une catégorie de données personnelles spéciale, soumise à un niveau de sécurité plus élevé via le règlement général sur la protection des données.

L’intégration de données dans le dossier médical du patient est basée sur l’obligation légale du médecin traitant de documenter toutes les mesures et résultats concernés par rapport au traitement du patient.

Ces données comportent:

·          Anamnèse

·          Diagnostic

·          Examen

·          Résultats d’examen

·          Constatations

·          Thérapies et résultats concernés

·          Interventions et résultats concernés

·          Documentation concernant le consentement et information

·          Lettres de médecins/dentistes

·          Compte/ Données de facturation par exemple

o    Information de facturation

o    Comptes

o    Rappels et degré du rappel

 

Les corrections et les modifications des données du dossier médical du patient sont possibles. Le contenu original est accessible et peut être consulté si nécessaire. L’effacement est possible dans les limites des délais de conservation légaux. L’exportation de données est possible (transférabilité des données) dans un format structuré, généralement utilisé et lisible en machine et peut être remise au patient à sa demande. Les procédures et fonctionnalités correspondantes sont décrites dans le manuel d’utilisation de DentAdmin.

 

4.3 Traitement de données de cabinet et de données personnelles sensibles | données patient par des modules de logiciels

Les modules intégrés sont installés par défaut avec DentAdmin, avec lequel ils interagissent et participent dans le traitement de données personnelles.

Modules intégrés:

          Google Sync (Synchronisation de l’agenda vers Google Agenda)

          DentaSync (Synchronisation vers la comptabilité Yuki et/ou différents agendas en ligne,…)

          Différentes logiciels RX

          Hector (Logiciel HealthConnect pour l’utilisation des services eHealth)

          OxyBoxy (logiciel de CGM pour l’utilisation de services eHealth)

          Sms4less (site web sms4less.be d’intégration pour l’envoi de messages SMS à partir du logiciel.)

5.        Transmission/transfert de données

Le transfert de données électronique basé sur le consentement légal, contractuel ou préalable est effectué par DentAdmin uniquement après l’interaction de l’utilisateur ou automatiquement – si consentement a été donné.

 

Transfert de données basé sur dispositions légales, obligations contractuelles ou basé sur consentement

Le transfert de données via la plateforme eHealth de - et vers différents services d’eHealth (par exemple MyCareNet, Recip-e,…)

Le transfert de données via la plateforme sms: numéro de GSM et contenu du message à envoyer vers l’opérateur de réseaux GSM concerné.

6.        Engagement de respecter la confidentialité, formations sur la protection des données

Tous nos employés ont signé une déclaration de confidentialité, comme partie de leur contrat de travail, et une déclaration séparée qu’ils comprennent et respectent les lois relatives au respect de la vie privée dans le domaine médical, des pays où ATX nv/sa est actif. Nous ne partagerons jamais d’informations sensibles avec un de nos collègues ou avec un de vos employés, sauf si la communication est nécessaire pour résoudre une erreur ou pour l’exécution d’une tâche que vous nous avez demandée. Nous ne partagerons jamais d’informations avec des personnes de l’extérieur, sauf si c’est obligé par la loi.  

ATX nv/sa a pris des mesures pour vérifier les pratiques de travail et pour maintenir cette réglementation sur la protection de la vie privée et la protection des données personnelles. La direction de la société offre régulièrement des formations en matière de confidentialité et de protection de données à tous ses employés.

7.         Mesures de sécurité/ Couverture de risques

ATX nv/sa prend toutes les mesures techniques et organisationnelles de sécurisation nécessaires, pour protéger aussi bien vos données personnelles propres que les données personnelles de vos patients contre l’accès non autorisé, la modification, la distribution, la perte, la destruction et d’autres formes d’abus. Parmi ces mesures se trouvent les dépistages internes et les contrôles de nos applications pour collection, stockage et traitement de données, de même que les mesures de sécurisation pour protéger les systèmes informatiques, où nos stockons les données contractuelles et les données de traitements techniques, contre l’accès non autorisé.

8.        Mesures techniques et organisationnelles

Afin d’assurer la sécurisation de données, ATX nv/sa effectue régulièrement une révision de l’état des technologies de sécurisation. Cela inclut la détermination de scénarios d’indemnités typiques et les besoins/niveaux correspondants au niveau de la sécurisation qui en résultent, pour les différents types de données personnelles, groupés selon catégories d’indemnités possibles, de même que l’exécution d’analyses de risques. 

En plus, des épreuves de pénétration spécifiques sont effectuées pour tester et évaluer sur base régulière l’efficacité de ces mesures techniques et organisationnelles, afin d’assurer la sécurisation du traitement.

Les directives suivantes géreront l’implémentation de mesures techniques et organisationnelles:

 

·         Sauvegarde de données

Afin d’éviter la perte, une sauvegarde de données est régulièrement effectuée.

·         Protection de données par conception

ATX nv/sa assure tenir compte des principes relatifs à la vie privée/à la protection des données personnelles et des principes de la sécurisation des données durant la période de la conception et du développement des systèmes informatiques.

Le but est d’éviter la programmation complémentaire chère et demandant beaucoup de temps, qui serait exigée si la protection de données et les exigences de sécurisation devraient être implémentées après implémentation des systèmes informatiques. On tient compte de mesures spécifiques, par exemple la désactivation de fonctionnalités de logiciels spécifiques, l’authentification ou le chiffrement au début du processus de développement. 

·         Protection de données par la configuration par défaut

Les produits de CGM sont fournis avec des réglages par défaut qui sont optimisés en fonction de la protection de données, de telle façon qu’uniquement les données personnelles nécessaires pour répondre aux finalités concernées sont traitées.  

·         Communication par mail (cabinet / ATX nv/sa)

Si vous souhaitez contacter ATX nv/sa par mail, sachez que la confidentialité de l’information transférée ne peut pas être garantie, parce que le contenu des mails peut être vu par des tiers. Nous conseillons l’utilisation d’un format sécurisé de mail, si vous souhaitez transférer des informations confidentielles (par exemple, chiffrez les annexes avec des informations sensibles). 

·         Services administratifs à distance

Il est possible que des employés ou sous-traitants d’ATX nv/sa doivent avoir accès à des données patient ou de clients et occasionnellement à des données de cabinet. Cet accès est géré par la réglementation générale de CGM.

o    Accès administratif est donné uniquement sur demande explicite des clients.

o    Mots de passe d’accès aux systèmes informatiques de clients sont uniquement destinés à la gestion à distance.

o    Les interventions cruciales sont sécurisées par le principe des quatre yeux avec présence supplémentaire de membres du personnel qualifiés

o    Gestion d’accès externe est enregistrée par le système CRM. Les données suivantes sont enregistrées: personne responsable, date et heure, durée, système visé, aide pour la gestion à distance, description courte de la tâche effectuée.

o    Enregistrements vidéo de sessions administratives à distance sont interdits. Captures d’écran peuvent être prises si nécessaire pour résoudre le problème. Les données personnelles seront anonymisées.

9.        Droits de la personne concernée

Données personnelles du professionnel et des employés du cabinet

Vous avez le droit à être informé sur les données stockées sur votre sujet, de même que le droit d’avoir accès à ces données. Vous avez le droit à la correction, l’effacement, la limitation de traitement, la transférabilité de données et le droit à formuler des objections contre le traitement de vos données personnelles.

Vous avez toujours le droit de rappeler votre consentement. La déclaration de rappel a effet pour le futur.

Vous avez le droit de déposer une plainte auprès de l’autorité de supervision responsable, si vous estimez que nous traitons vos données de manière inappropriée. 

Nous nous engageons à supprimer toutes les données contractuelles, enregistrées, et toutes les données de traitements techniques après résiliation de votre contrat, sans demande préalable.

Toutefois, nous sommes également obligés par la loi, conformément au droit commercial et fiscal, de respecter des délais de conservation qui peuvent aller au-delà de la date de résiliation de votre contrat. Les données des traitements techniques ne sont stockées qu’aussi longtemps que cela est techniquement nécessaire et sont supprimées au plus tard après la résiliation de votre contrat.

 

Données personnelles du patient

Vos patients ont à la fois le droit d’être informé sur les données stockées à leur sujet et le droit de recevoir leurs données personnelles et de les transférer (transférabilité de données) et le droit à la correction, l’effacement, la limitation de traitement et le droit de formuler une objection contre le traitement de leurs données.   

Lors de la réception de demandes de suppression de patients, vous êtes néanmoins obligé de respecter les délais de conservation applicables.

Vos patients ont toujours le droit de rappeler leur consentement. La déclaration de rappel a effet pour le futur.

Vos patients ont le droit de déposer une plainte auprès de l’autorité de supervision responsable s’ils estiment que vous traitez leurs données de manière inappropriée. 

10.     Respect

Le respect des dispositions en matière de protection des données, décrit ci-dessus, est analysé régulièrement et de façon continue par CGM.

Si ATX nv/sa reçoit une plainte formelle, la société contactera le plaignant, afin de résoudre tous les litiges concernant le traitement de leurs données personnelles.

ATX nv/sa s’engage à coopérer avec l’administration compétente, l’autorité de supervision comprise.

11.     Modifications de cette déclaration sur la protection de données

Veuillez noter que cette déclaration sur la protection des données peut être soumise à des modifications et ajouts. En cas de modifications substantielles, nous publierons une notification détaillée. Chaque version de cette déclaration sur la protection des données peut être identifiée par la date le numéro de version dans le pied de page de cette déclaration. En plus, toutes les versions précédentes de cette déclaration sont archivées et rendues accessibles à demande du délégué à la protection de données.

12.     Responsable chez ATX nv/sa 

Dimitry Smagghe

Brusselsesteenweg 283/12

9230 Wetteren

 

Délégué à la protection de données

Veuillez contacter le délégué à la protection des données pour toute question concernant le traitement de vos données personnelles et pour la réception d’informations après vos demandes d’informations ou pour les plaintes.

Fred Hilgers (DPO)

email: dpo.be@cgm.com

13.     Autorité de supervision compétente

L’autorité de supervision compétente pour ATX nv/sa est

·          Pour la Belgique: APD (Autorité de protection des données) - https://www.autoriteprotectiondonnees.be

·          Pour le Luxemburg: CNPD (Commission pour la Protection des Données) - https://cnpd.public.lu


Wenst u meer informatie ?

Contacteer ons vrijblijvend