La clé de chiffrement partagée (SEK) est utilisée par Ocean pour chiffrer les informations personnelles sur la santé (IPS) d'un patient avant de quitter le cercle de soins. Au-delà des précautions de sécurité standard mises en place par Ocean, la confidentialité de la clé de chiffrement partagée empêche efficacement les tiers (y compris OceanMD) d'espionner les informations des patients. Sans la clé de chiffrement partagée, les données du patient ne peuvent pas être déchiffrées et par conséquent ne peuvent pas être consultées.
Par conséquent (dans l'esprit de la LPRPDE et de notre politique de confidentialité), il est important que les responsables de l'information sur la santé (RIS) prennent des précautions pour garantir que la clé de chiffrement partagée et son mot de passe associé restent privés.
Ces précautions rendent parfois plus difficile pour les cliniciens de localiser la clé de chiffrement partagée lorsqu'elle est nécessaire à des fins cliniques légitimes. Cela pourrait entraîner une situation très malheureuse lorsque la clé de chiffrement partagée est complètement perdue, car cela empêche les fournisseurs de services de santé de consulter des informations cliniques potentiellement importantes sur les patients dans Ocean. Pour des conseils sur la récupération de la clé de chiffrement partagée de votre site, veuillez consulter : "Récupération d'une clé de chiffrement partagée perdue / oubliée".
Précautions générales pour protéger la clé de chiffrement partagée
Ocean propose quelques mécanismes automatisés pour protéger la confidentialité de la clé de chiffrement partagée :
- Ocean ne transmet pas la SEK sur le réseau pour quelque raison que ce soit, sauf lors de la configuration de votre site Ocean et de Cloud Connect. La SEK est protégée contre l'accès par le personnel d'OceanMD par plusieurs contrôles.
- Toutes les consultations demandées de la SEK dans le Portail Ocean sont consignées.
- La SEK ne peut pas être consultée dans un dossier médical électronique sans autorisation préalable en tant qu'administrateur clinique.
- par exemple, dans PS Suite, l'utilisateur est invité à saisir son nom d'utilisateur Ocean et son mot de passe, puis est validé en tant qu'administrateur du site Ocean avant la présentation de la clé
Meilleures pratiques pour les administrateurs cliniques
- Suivez les directives standard en matière de sécurité des "mots de passe forts" lors du choix d'une clé de chiffrement partagée
- Gardez l'indice de votre clé de chiffrement partagée suffisamment vague pour qu'un pirate informatique ne puisse pas facilement l'utiliser pour deviner la clé, trouver l'emplacement physique de la clé ou utiliser l'ingénierie sociale pour l'obtenir
- Ne notez pas la clé de chiffrement partagée dans un endroit public
- Ne choisissez pas un indice qui est simplement une version abrégée ou transformée de la clé de chiffrement partagée réelle (par exemple, utiliser "P@ssw0rd" pour décrire le mot de passe)
- Ne saisissez pas la clé de chiffrement partagée dans les navigateurs sur des terminaux accessibles au public
- Ne transmettez pas la clé de chiffrement partagée par e-mail.
- Ne stockez pas la clé de chiffrement partagée sur un lecteur externe ou un serveur cloud sans protocoles de confidentialité et de sécurité appropriés pour restreindre l'accès.
- Si vous imprimez la clé de chiffrement partagée, gardez un nombre limité et connu de copies de l'impression et stockez-les dans un endroit sécurisé et verrouillé.
- Ne réutilisez pas un mot de passe personnel pour la clé
- Ne réutilisez pas un mot de passe pour tout le cabinet pour la clé
- Ne réutilisez pas une clé de chiffrement partagée qui a été utilisée par un autre cabinet.
- Changez la clé si elle a été divulguée publiquement ou compromise par une personne non digne de confiance.
- Envisagez d'utiliser un gestionnaire de mots de passe sécurisé de confiance tel que 1Password pour stocker la clé de chiffrement partagée.