Mesures de sécurité.
Le responsable du traitement prend toutes précautions utiles pour préserver la sécurité et la confidentialité des données traitées et notamment pour empêcher qu'elles soient déformées, endommagées ou que des tiers non autorisés puissent en prendre connaissance.
Le responsable du traitement définit une politique de sécurité qui devra notamment décrire :
― les mesures de sécurisation physique des matériels et des locaux ainsi que les dispositions prises pour la sauvegarde des fichiers ;
― les modalités d'accès aux traitements, dont les mesures d'identification et de vérification de la qualité des utilisateurs, et de recours à des dispositifs d'accès sécurisés ;
― les dispositifs de contrôle des identifications et habilitations et les procédures de traçabilité des accès aux informations médicales, ainsi que l'histoire des connexions.
Un audit pourra être effectué pour tout projet commencé avec un nouveau prestataire. Le plan de l'audit couvre notamment la vérification du plan qualité de l'entreprise, de la validation des systèmes informatiques avec l'existence d'un système de sauvegarde et de récupération des données.