J'utilise un système d'anonymisation et/ou de pseudonymisation propre à ma solution. Quels éléments de preuve puis-je apporter pour répondre aux critères correspondants ?
Dans le cadre de l'exigence ETH.24.1 « SI les données recueillies au cours de la téléconsultation sont traitées pour servir une finalité secondaire, ALORS les données DOIVENT être traitées de façon à ne pas permettre la réidentification directe des patients ? », il est conseillé de suivre les règles de la CNIL auquel cas, il est attendu de votre système, une démonstration de sa performance à anonymiser / pseudonymiser. (échantillonnage, process d’évaluation et de qualification par exemple : score d’anonymisation). Il est recommandé de spécifier le processus de pseudomysation, de produire l’attestation du DPO, …
Dans le cas où les données sont anonymisées, il doit être impossible de réidentifier l'usager. Si les données sont pseudonymisées, la réidentification de l’usager est directement impossible, mais indirectement possible.
Vous pouvez consulter les procédés proposés par le CNIL sur leur site.
Cette réponse vous a-t-elle été utile ?
Vous êtes accompagné dans vos différentes démarches
Une FAQ dédiée aux Industriels est à votre disposition
