New SDK Release: Build secure medical apps faster with our tools for EHRs, devices, and patient-doctor solutions. Explore CardinalSDK

Back to blog

A Startup`s Guide to GDPR and Privacy

post illustration

Are you a startup venturing into the exciting world of technology or medical innovation? While starting a project in the technology and medical area can be an exciting experience, it is crucial to consider the implications of the General Data Protection Regulation (GDPR), even if you’re a startup.

In this blog post, we are providing you with simple and fundamental steps to comply with GDPR and gain awareness about privacy regulations, especially when dealing with sensitive medical data.

Let’s start by understanding the basics before diving into practical implementation.

Familiarize yourself with the core principles of GDPR and the legal requirements for processing personal data.

Differentiating between Data Controllers and Data Processors is essential. This distinction determines your obligations, which vary depending on your role. Establishing a register of processing activities is a crucial step in your compliance journey.

It is important to distinguish sensitive data and personal data because sensitive data requires additional protection due to its potential impact on an individual’s rights and freedoms. You can find a sample register on the CNIL website for guidance. Understanding the purpose of processing means having a clear understanding of why you collect and use personal data, and under which legal basis.

GDPR requires organizations to have a lawful basis for processing personal data, such as fulfilling a contract, complying with a legal obligation, or obtaining consent. You also need to take into account the principles of the GDPR which are:

  • Lawfulness, fairness, and transparency: Have a valid reason for handling personal data and be transparent about its usage.
  • Purpose limitation: Collect and use personal data only for specific, legitimate purposes. Communicate these purposes clearly to individuals and seek consent for any new purposes.
  • Data minimization: Collect only necessary data for your intended purposes, avoiding irrelevant information.
  • Accuracy: Ensure the data you collect is accurate and up-to-date. Implement checks to maintain data reliability.
  • Storage limitation: Justify the duration for which data is kept and establish appropriate retention periods. Anonymize or delete data when it’s no longer needed.
  • Integrity and confidentiality: Safeguard personal data from unauthorized access or loss, ensuring security and confidentiality.
  • Accountability: Take responsibility for complying with data protection principles, maintain records to demonstrate compliance, and cooperate with authorities if required.

Our advice is to establish the Registers and Data Flow mapping simultaneously, as they complement each other. By employing this method, you can create a comprehensive Data Flow mapping, allowing your company, all the departments, and your colleagues to gain a clearer view of data flows within your company. This mapping exercise will help you in defining policies for data retention, deletion, and internal data transfers.

Additionally, conduct a Data Protection Impact Assessment (DPIA) when processing data that may pose a high risk to individuals’ rights and freedoms, especially sensitive data.

DPIAs are vital tools to assess and mitigate privacy risks associated with data processing activities. Identify and evaluate potential risks, implement appropriate safeguards, and demonstrate GDPR compliance.

Data security is crucial, particularly in the medical domain and sensitive data processing. Prioritize privacy by design and by default to comply with GDPR. Adopt robust end-to-end encryption solutions to secure personal data and limit access. With iCure, you can effectively secure your data and achieve compliance with privacy by design and by default principles mandated by the GDPR. Learn more here.

Also, even if you are a start-up, with a low activity in processing personal data, you will need to create a dedicated portal for data subject requests, allowing individuals to exercise their rights under GDPR, which include the right to access, rectify, and erase their personal data.

Establish an incident management plan and implement measures to mitigate risks. Refer to our blog post on preventing data loss for valuable insights.

You will also need to review and establish contracts, such as Data Processing Agreements, with your suppliers and clients. Develop internal procedures in case of a data breach or incident.

You’ll need to be able to promptly notify the supervisory authority and affected individuals of any data breach that poses a risk to their rights and freedoms within 72 hours of awareness. If you’re a data processor, you must also notify the data controller about any data breaches. In case the data breach poses a high risk to individuals, it’s important to inform them unless effective measures are in place to mitigate the risk.

For certain organizations, depending on their activities, the appointment of a Data Protection Officer (DPO) may be mandatory. This requirement applies to public authorities or bodies, as well as organizations whose core activities involve large-scale regular and systematic monitoring of individuals or processing of sensitive personal data.

Lastly, startups developing medical solutions should consider local regulations regarding patient rights and their medical record. For example, in some European countries, medical records must not be kept for more than 50 years. These regulations are additional to the GDPR.

Secure your sensitive data to achieve GDPR compliance by using iCure’s database management and encryption solutions. Explore iCure’s products and services now to safeguard your data!

Our upcoming blog post will dive into the specifics of cookie regulations, providing you with comprehensive knowledge on this topic.

Please note that this information is for guidance and should not be considered legal advice and achieving full GDPR compliance may require further research.

Back

En savoir plus?

ou passez sur notre instagram icon ou linkedin icon pour nous dire bonjour =)

Conditions d'utilisation du site iCure

www.iCure.com

1. PRÉAMBULE

ICure SA est incorporée à Genève, Suisse, avec un bureau enregistré à Rue de la Fontaine 7, 1211 Genève, Suisse, inscrite au registre du commerce sous le numéro CHE-270.492.477 ('iCure').

Ces Conditions d'Utilisation du Site iCure (“Conditions”) constituent un accord légalement contraignant conclu entre vous, que ce soit à titre personnel ou pour le compte d'une entité ('vous') et iCure SA ('nous', 'notre'), concernant votre accès et utilisation du site web https://www.icure.com ainsi que toute autre forme de média, canal médiatique, site web mobile ou application mobile associée, liée ou autrement connectée à celui-ci (collectivement, le 'Site Web').

Lorsque vous acceptez, ces Conditions forment un accord légalement contraignant entre vous et iCure. Si vous concluez ces Conditions au nom d'une entité, comme votre employeur ou l'entreprise pour laquelle vous travaillez, vous déclarez que vous avez l'autorité légale pour lier cette entité.

VEUILLEZ LIRE ATTENTIVEMENT CES CONDITIONS. EN VOUS INSCRIVANT, ACCÉDANT, NAVIGANT ET/OU UTILISANT AUTREMENT L'ICURE, VOUS RECONNAISSEZ QUE VOUS AVEZ LU, COMPRIS ET ACCEPTEZ D'ÊTRE LIÉ PAR CES CONDITIONS. SI VOUS N'ACCEPTEZ PAS D'ÊTRE LIÉ PAR CES CONDITIONS, N'ACCÉDEZ PAS, NE NAVIGUEZ PAS ET N'UTILISEZ PAS AUTREMENT LE SITE WEB ICURE.

iCure peut, à sa seule discrétion, choisir de suspendre ou de mettre fin à l'accès à, ou à l'utilisation de l'iCure à quiconque viole ces Conditions.

Tous les utilisateurs qui sont mineurs dans la juridiction où ils résident (généralement âgés de moins de 18 ans) doivent avoir la permission de, et être directement supervisés par, leur parent ou tuteur pour utiliser le Site Web. Si vous êtes mineur, vous devez faire lire et accepter ces Conditions d'Utilisation à votre parent ou tuteur avant d'utiliser le Site Web.

La langue originale de ces Conditions d'utilisation est l'anglais. En cas d'autres traductions fournies par iCure, la version anglaise prévaudra.

2. DROITS DE PROPRIÉTÉ INTELLECTUELLE

Le contenu de la documentation indiquée sur ce site Web nous appartient. Toutes les marques, contenus concernant iCure ne peuvent pas être copiés, reproduits, agrégés, republiés, téléchargés, postés, affichés publiquement, encodés, traduits, transmis, distribués, vendus, licenciés, ou autrement exploités à des fins commerciales quelconques, sans notre autorisation écrite préalable expresse.

Pourvu que vous soyez éligible pour utiliser le Site Web, vous êtes accordé une licence limitée pour accéder et utiliser le Site Web et pour télécharger ou imprimer une copie de toute portion du Contenu auquel vous avez correctement accédé uniquement pour votre usage personnel, non commercial. Nous réservons tous les droits non expressément accordés à vous dans et pour le Site Web, le Contenu et les Marques.

3. REPRÉSENTATIONS DE L'UTILISATEUR

En utilisant le Site Web, vous déclarez et garantissez que:

  1. Toutes les informations d'inscription que vous soumettez seront vraies, exactes, actuelles et complètes ; vous maintiendrez l'exactitude de ces informations et mettrez à jour rapidement ces informations d'inscription si nécessaire.
  2. Vous avez la capacité légale, et vous acceptez de vous conformer à ces Conditions d'Utilisation.
  3. Vous n'avez pas moins de 13 ans.
  4. Vous n'êtes pas mineur dans la juridiction où vous résidez, ou si mineur, vous avez reçu l'autorisation parentale pour utiliser le Site Web.
  5. Vous n'accéderez pas au Site Web par des moyens automatisés ou non humains, que ce soit par un robot, un script ou autrement.
  6. Vous n'utiliserez pas le Site Web à des fins illégales ou non autorisées.
  7. Votre utilisation du Site Web ne violera aucune loi ou réglementation applicable.

4. ACTIVITÉS INTERDITES

Vous ne pouvez pas accéder ou utiliser le Site Web à d'autres fins que celles pour lesquelles nous rendons le Site Web disponible. Le Site Web ne peut pas être utilisé en lien avec des entreprises commerciales sauf celles qui sont spécifiquement endossées ou approuvées entre vous et iCure.

En tant qu'utilisateur du Site Web, vous acceptez de ne pas:

  1. Publier du matériel du Site Web dans d'autres médias.
  2. Vendre, sous-licencier et/ou commercialiser autrement tout matériel du Site Web.
  3. Effectuer publiquement et/ou montrer tout matériel du Site Web.
  4. Utiliser ce Site Web de manière à être ou devenir préjudiciable à ce Site Web.
  5. Utiliser ce Site Web de manière à impacter l'accès des utilisateurs à ce Site Web.
  6. Utiliser ce Site Web contrairement aux lois et réglementations applicables, ou de manière à causer un dommage au Site Web, ou à toute personne ou entité commerciale.
  7. Engager dans tout minage de données, collecte de données, extraction de données, ou toute autre activité similaire en relation avec ce Site Web.
  8. Utiliser ce Site Web pour engager dans toute publicité ou marketing.

5. AUCUNE GARANTIE

Ce Site Web est fourni 'tel quel', avec tous ses défauts, et iCure n'exprime aucune représentation ou garantie, de quelque nature que ce soit liée à ce Site Web ou aux matériels contenus sur ce Site Web. De plus, rien de ce qui est contenu sur ce Site Web ne doit être interprété comme un conseil.

6. LIMITATION DE RESPONSABILITÉ

En aucun cas, iCure, ni aucun de ses dirigeants, directeurs et employés, ne seront tenus responsables de quoi que ce soit découlant de ou de quelque manière que ce soit lié à votre utilisation de ce Site Web, que cette responsabilité soit dans le cadre de ce contrat. iCure, y compris ses dirigeants, directeurs et employés ne seront pas tenus responsables pour toute responsabilité indirecte, conséquente ou spéciale découlant de ou de quelque manière que ce soit liée à votre utilisation de ce Site Web.

7. INDEMNISATION

Vous indemnisez pleinement iCure contre toutes responsabilités, coûts, demandes, causes d'action, dommages et dépenses survenant de quelque manière que ce soit liée à votre violation de l'une des dispositions de ces Conditions.

8. DIVISIBILITÉ

Si une disposition de ces Conditions est jugée invalide en vertu de toute loi applicable, ces dispositions seront supprimées sans affecter les dispositions restantes.

9. VARIATION DES TERMES

iCure est autorisé à réviser ces Conditions à tout moment comme il le juge bon, et en utilisant ce Site Web, vous êtes censé revoir ces Conditions régulièrement.

10. CESSION

iCure est autorisé à céder, transférer et sous-traiter ses droits et/ou obligations sous ces Conditions sans aucune notification. Cependant, vous n'êtes pas autorisé à céder, transférer ou sous-traiter aucun de vos droits et/ou obligations sous ces Conditions.

11. ACCORD COMPLET

Ces Conditions constituent l'accord complet entre iCure et vous concernant votre utilisation de ce Site Web et supplantent tous les accords et comprendements antérieurs.

12. DROIT APPLICABLE & JURIDICTION

Ces Conditions seront régies et interprétées conformément aux lois de la Suisse, sans tenir compte de ses dispositions sur les conflits de lois.

Les parties tenteront de résoudre le problème à l'amiable lors de négociations mutuelles. En cas de règlement non amiable trouvé entre les parties, le Tribunal de Genève sera compétent.

13. CONFIDENTIALITÉ

Veuillez vous référer à notre Politique de Confidentialité et Avis sur les Cookies pour les données que nous avons collectées à partir du formulaire de contact et du cookie Matomo.

ATTRIBUTION D'IMAGE

Dans le développement de notre site web, nous avons intégré diverses icônes pour améliorer l'attrait visuel et transmettre efficacement les informations. Nous exprimons notre sincère gratitude aux designers talentueux et contributeurs qui ont généreusement partagé leur travail avec la communauté. Ci-dessous une reconnaissance des ressources que nous avons utilisées:

SVG Repo: Un dépôt d'icônes SVG. Nous avons intégré leurs icônes dans notre site web. Spécifiquement:

  1. Travail de l'auteur vmware, Key Badged SVG Vector sous Licence MIT
  2. Travail de l'auteur Twitter, Cloud SVG Vector sous Licence MIT
  3. Travail de l'auteur Garuda Technology, Node Js SVG Vector et React SVG Vector sous Licence MIT

Merci aux auteurs qui ont contribué au: SVGRepo, Unsplash, communauté Maxipanels.

iCure présente des logos de divers produits, bibliothèques, technologies et cadres avec lesquels notre projet interagit. Il est important de noter que iCure ne détient aucun droit propriétaire sur ces logos ou les produits qu'ils représentent.

iCure SA

Contact: contact@icure.com

Dernière mise à jour: 20 février 2024.

Politique en matière de sécurité de l'information

www.iCure.com

1. Introduction

L'univers iCure est construit sur la confiance. Garantir la confidentialité des données qui nous sont confiées est notre priorité absolue.

La Politique de Sécurité de l'Information d'iCure résume le concept de sécurité qui imprègne chaque activité et respecte les exigences de la norme ISO 27001:2013 pour la sécurité de l'information, afin que nous assurions la sécurité des données que iCure et ses clients gèrent.

Chaque employé, contractant, consultant, fournisseur et client d'iCure est lié par notre Politique de Sécurité de l'Information.

2. Notre Politique

iCure s'engage à protéger la confidentialité, l'intégrité et la disponibilité du service qu'elle fournit et des données qu'elle gère. iCure considère également comme un aspect fondamental de la sécurité la protection de la vie privée de ses employés, partenaires, fournisseurs, clients et de leurs clients.

iCure respecte toutes les lois et réglementations applicables concernant la protection des actifs d'information et s'engage volontairement à respecter les dispositions de la norme ISO 27001:2013.

3. Définitions de la Sécurité de l'Information

La confidentialité fait référence à la capacité d'iCure de protéger les informations contre la divulgation. Les attaques, telles que la reconnaissance réseau, les violations de bases de données ou les écoutes électroniques ou la divulgation involontaire d'informations due à de mauvaises pratiques.

L'intégrité concerne la garantie que les informations ne sont pas altérées pendant ou après leur soumission. L'intégrité des données peut être compromise accidentellement ou intentionnellement, en évitant la détection d'intrusion ou en modifiant les configurations de fichiers pour permettre un accès non désiré.

La disponibilité exige que les organisations disposent de systèmes, de réseaux et d'applications opérationnels pour garantir l'accès des utilisateurs autorisés aux informations sans aucune interruption ou attente. La nature des données qui nous sont confiées nécessite une disponibilité supérieure à la moyenne.

La vie privée est le droit des individus de contrôler la collecte, l'utilisation et la divulgation de leurs informations personnelles. Nos politiques de confidentialité sont basées sur le RGPD (https://gdpr-info.eu/) et peuvent être renforcées par des exigences supplémentaires de clients spécifiques ou de domaines juridiques.

4. Évaluation des Risques

Les principales menaces auxquelles iCure est confrontée en tant qu'entreprise sont :

  1. Vol de données ;
  2. Suppression de données ;
  3. Attaques par déni de service ;
  4. Logiciels malveillants ;
  5. Chantage et extorsion.

En tant que fournisseurs d'une solution utilisée par des développeurs actifs dans le domaine de la santé, nous devons également anticiper les risques de :

  1. Attaques sur les données de nos clients, qui pourraient entraîner des dommages sociaux importants et une perte de confiance dans notre solution ;
  2. Abus de notre solution par des clients mal intentionnés, pouvant affecter la qualité du service fourni au reste de nos clients.

La motivation des attaquants dans ces derniers cas peut aller du gain financier aux motivations politiques ou idéologiques.

Un dernier risque est lié à la nature des données de santé que nous traitons. Nous devons nous assurer que les données que nous gérons ne sont pas utilisées à des fins autres que celles pour lesquelles elles ont été collectées :

Une donnée collectée auprès d'un patient dans le cadre d'une consultation médicale ne doit pas être accessible à des tiers, même pas à une agence gouvernementale.

5. Gestion des Risques

Les principaux principes que nous appliquons pour gérer les risques auxquels nous sommes confrontés sont :

  1. Confidentialité par conception : Toutes les données sensibles sont chiffrées de bout en bout avant d'être stockées dans nos bases de données. Nous n'avons aucun accès aux données que nous stockons. Seuls les clients de nos clients peuvent déchiffrer les données que nous stockons.
  2. Anonymisation par conception : Les informations de santé qui doivent être stockées non chiffrées sont toujours anonymisées en utilisant un schéma de chiffrement de bout en bout. Cela signifie que le lien entre les informations de santé et les informations administratives doit être chiffré.

Ces deux principes nous permettent de minimiser les risques de vol de données, de chantage, d'extorsion et de contrainte par une agence gouvernementale.

  1. Réplicas en temps réel multiples, avec basculement automatique : Nous utilisons une architecture de base de données distribuée pour garantir que nos données sont disponibles en tout temps. Nous utilisons une architecture maître-maître, chaque donnée est répliquée au moins 3 fois. Des instantanés sont pris chaque jour pour garantir que nous pouvons restaurer les données en cas d'événement de suppression malveillante.
  2. Rotations automatiques de mots de passe : aucun mot de passe ne peut être utilisé pendant plus de 48 heures. Les mots de passe sont automatiquement changés toutes les 24 heures. En cas de fuite de mot de passe, nous pouvons limiter la fenêtre d'opportunité pour une attaque.

Ces deux principes nous permettent de minimiser les risques de suppression de données, d'attaques par déni de service et de logiciels malveillants.

  1. Minimisation de la surface d'attaque : nous déployons nos systèmes de la manière la plus minimale possible. Nous exposons uniquement les services réseau strictement nécessaires.
  2. Gestion stricte des dépendances : nous utilisons uniquement des logiciels open-source qui sont régulièrement mis à jour et audités par la communauté. Nous privilégions les logiciels et fournisseurs de gestion des dépendances qui minimisent le risque d'empoisonnement de la chaîne d'approvisionnement.

Ces deux principes permettent à iCure de minimiser les risques d'intrusion par exploitation de vulnérabilité ou attaques de la chaîne d'approvisionnement, deux risques qui pourraient conduire au vol ou à la suppression de données.

6. Informations Complémentaires

Cette politique est valide à partir du 10 novembre 2022. Pour plus d'informations, veuillez nous contacter à privacy@icure.com

Mentions légales

iCure SA

Place de la Bourse-aux-Fleurs 2, Case postale 45, 1022 Chavannes-près-Renenss, Suisse

CHE-270.492.477

cookie

Ce site utilise des cookies

Nous utilisons uniquement une application de cookie à des fins de recherche interne visant à améliorer notre service pour tous les utilisateurs. Cette application s'appelle Matomo (conseillée par les institutions européennes et la CNIL), elle stocke les informations en Europe, de manière anonymisée et pour une durée limitée. Pour plus de détails, veuillez consulter notre Politique sur les Données Personnelles et .

Politique en matière de qualité

www.iCure.com

Chez iCure SA, nous nous engageons à l'excellence dans tous les aspects de notre travail. Notre politique de qualité est conçue pour fournir un cadre permettant de mesurer et d'améliorer nos performances au sein du SMQ.

1. Objectif de l'Organisation

L'objectif du SMQ est d'assurer une qualité constante dans la conception, le développement, la production, l'installation et la livraison de solutions de traitement des données, de sécurité, d'archivage, de support technique et de protection pour les logiciels de dispositifs médicaux, tout en s'assurant de répondre aux exigences des clients et réglementaires. Ce document s'applique à toute la documentation et aux activités au sein du SMQ. Les utilisateurs de ce document sont les membres de l'équipe de direction d'iCure impliqués dans les processus couverts par le périmètre.

2. Conformité et Efficacité

Nous nous engageons à respecter toutes les exigences réglementaires et légales applicables, y compris les normes ISO 13485: 2016 et ISO 27001:2013. Nous nous efforçons de maintenir et d'améliorer continuellement l'efficacité de notre système de gestion de la qualité.

3. Objectifs de Qualité

Nos objectifs de qualité sont définis dans le cadre de cette politique et tels que définis par notre cycle de vie de développement logiciel et sont régulièrement révisés pour s'assurer qu'ils sont alignés avec nos objectifs commerciaux. Ces objectifs servent de repères pour mesurer nos performances et guider nos processus décisionnels.

4. Communication

Nous assurons que notre politique de qualité est communiquée et comprise à tous les niveaux de l'organisation. Nous encourageons chaque membre de notre équipe à respecter ces normes dans leur travail quotidien, qu'ils soient employés, contractants, consultants, fournisseurs, clients ou toute autre personne impliquée dans la construction de notre logiciel de gestion de données médicales.

5. Pertinence Continue

Nous révisons régulièrement notre politique de qualité pour nous assurer qu'elle reste adaptée à notre organisation. Cela inclut la prise en compte des nouvelles exigences réglementaires, des retours des clients et des changements dans notre environnement commercial. En adhérant à cette politique, nous visons à améliorer la satisfaction client, à améliorer nos performances et à contribuer à l'avancement de la technologie médicale.

iCure SA

Contact : contact@icure.com

Dernière mise à jour : 17 avril 2024