Avec le Registre National du Cancer, le Luxembourg a mis en place un outil unique lui permettant de suivre à la fois l’incidence des cancers, leur prise en charge mais aussi la survie des patients. Le Centre de Recherche Public de la Santé (CRP-Santé) pilote le projet en tant qu’institution responsable en liaison avec les hôpitaux et les autres acteurs clés du domaine du Cancer au Luxembourg.
Conformément au règlement grand-ducal du 18 avril 2013 déterminant les modalités et conditions de fonctionnement du registre national du cancer, le règlement interne, qui contiendra outre la charte de sécurité, aussi les modalités de contrôle qualité à opérer et les modalités relatives à la publication des résultats est soumis pour approbation au ministre ensemble avec la Commission nationale.
Cette dernière s’est prononcée au sujet des documents concernant le règlement interne du Registre National du Cancer. Le règlement interne, tel que soumis à la Commission nationale, est composé du document du règlement interne, de la charte de sécurité des systèmes d’information, du manuel qualité, de la procédure de diffusion des résultats et de la brochure d’information des patients.
Concernant la charte de sécurité, la CNPD a suggéré dans son avis de mettre en place une formation continue qu’elle propose d’organiser suivant un cycle au minimum annuel au lieu d’une seule formation.
La CNPD recommande par ailleurs de mettre en place des « bornes Internet », séparées du système d’information du RNC, destinées à un usage privé (ex : utilisation de webmails privés, consultation de sites Internet non professionnels) et d’associer à cette activité une charte d’utilisation des bornes Internet. De manière générale, la CNPD estime nécessaire d’isoler le système d’information propre au registre national du cancer de toutes autres activités nécessitant l’utilisation d’un système d’information (navigation Internet, email, gestion administrative,…).
En ce qui concerne la gestion des mots de passe, la CNPD a proposé de mettre en place une politique de construction de mots de passe forcée techniquement, afin que les utilisateurs soient contraints d’utiliser des mots de passe avec le niveau de complexité requis. De plus, elle a exigé la mise en œuvre d’une authentification forte pour l’accès à la base de données du RNC.
La CNPD a encore fait plusieurs suggestions concernant les règles élémentaires à appliquer par le collaborateur. Elle a notamment conseillé :
- de mettre en œuvre des blocages techniques pour que les utilisateurs ne se connectent pas aux réseaux locaux des équipements non autorisés par le CRP-Santé ou son établissement ;
- l’implémentation d’un outil qui permet le contrôle des supports mobiles pour assurer la protection des informations sensibles du RNC et ne pas les transporter sans protection ;
- d’ajouter la mise en œuvre d’un blocage automatique du poste de travail après quelques minutes d’inactivité ;
- d’indiquer aux collaborateurs un point de contact unique auquel ils peuvent s’adresser en cas de suspicions d’incident ou d’incident avéré ;
- d’intégrer une section relative à l’utilisation du téléphone/courriel et d’indiquer aux collaborateurs les règles de divulgations et de collectes d’information par téléphone/courriel ;
- d’insérer une section sur la mise en œuvre de mesures relatives à la continuité de service et la récupération de production (BCP / DRP).
Finalement, la CNPD a estimé important et nécessaire de rajouter au formulaire de refus du patient une phrase qui informe le patient que son opposition au traitement de ses données n’entraîne aucun préjudice pour lui et ne porte pas atteinte à son droit à recevoir des soins de santé appropriés.