Directive relative à la sécurité informatique (article 390 du SGB V) : ce que les cabinets médicaux doivent savoir dès maintenant
Ce texte a été généré par l'intelligence artificielle (IA).Le 14 juillet 2026, l'Office fédéral allemand pour la sécurité informatique (BSI) a attiré l'attention sur la mise en œuvre de la nouvelle directive relative à la sécurité informatique conformément à l'article 390 du SGB V. Cette directive établit des normes de sécurité contraignantes pour la protection des données sensibles des patients et concerne environ 99 000 cabinets médicaux et de psychothérapie ainsi que près de 38 000 cabinets dentaires en Allemagne. L'objectif est de renforcer la sécurité de l'information dans le secteur libéral et d'accroître la résilience face aux cyberattaques.
Le cadre juridique : de l'article 75b à l'article 390 du SGB V
La base juridique de ces nouvelles exigences est l'article 390 du SGB V, qui remplace l'ancien article 75b du SGB V en vertu de la loi sur le numérique (DigiG) du 22 mars 2024. Les dispositions concrètes sont définies par l’Association fédérale des médecins conventionnés (KBV) et l’Association fédérale des dentistes conventionnés (KZBV), en accord avec le BSI. Cette collaboration garantit que les mesures sont conformes à l’état actuel de la technique et à la situation en matière de menaces. Afin de garantir son efficacité à long terme, la directive est réexaminée chaque année et adaptée tous les deux ans.
Les principales exigences de la directive en détail
La directive impose à tous les cabinets médicaux d'adopter une approche structurée en matière de sécurité informatique. Les exigences varient en fonction de la taille du cabinet, mais comprennent des mesures techniques et organisationnelles obligatoires pour tous :
- Sensibilisation et formation : Tous les collaborateurs doivent être régulièrement informés des risques liés à la sécurité et des méthodes d'attaque courantes.
- Formation structurée : Les nouveaux membres de l'équipe doivent recevoir une formation ciblée sur les systèmes informatiques et le traitement sécurisé des données des patients.
- Identifiants personnels : Chaque utilisateur doit disposer de son propre compte afin de permettre le suivi des accès et de gérer les autorisations de manière ciblée.
- Gestion des correctifs et des modifications : Les systèmes d'exploitation et les applications doivent être mis à jour régulièrement afin de corriger les failles connues.
- Sécurité des terminaux : Tous les appareils qui accèdent aux données du cabinet (PC, ordinateurs portables, appareils mobiles) doivent être protégés de manière adéquate.
- Évaluation des services cloud : Le recours à des prestataires externes et à des applications cloud doit faire l'objet d'une évaluation, et la collaboration doit être régie par un contrat.
Délais contraignants et obligations de preuve
Les délais de mise en œuvre de la directive sont déjà en vigueur. Les cabinets médicaux doivent être en mesure de prouver qu'ils respectent ces exigences :
- Cabinets médicaux et de psychothérapie (KBV) : Ces exigences sont obligatoires depuis le 1er octobre 2025.
- Cabinet dentaire (KZBV) : La mise en œuvre est obligatoire depuis le 2 janvier 2026.
En cas d'incident lié à la sécurité, les cabinets médicaux sont tenus, outre le respect de la politique de sécurité informatique prévue à l'article 33 du RGPD, de signaler les violations de données à l'autorité de contrôle compétente en matière de protection des données dans un délai de 72 heures. La politique de sécurité informatique et les obligations de déclaration prévues par la législation sur la protection des données sont donc étroitement liées.
Prouver la conformité à l'article 390 du SGB V avec LocateRisk
La mise en œuvre de la politique de sécurité informatique nécessite une connaissance précise de sa propre infrastructure informatique et des prestataires externes auxquels on fait appel. LocateRisk aide les cabinets médicaux et leurs partenaires informatiques à garantir la transparence nécessaire à la démonstration de la conformité.
La plateforme fournit un inventaire continu de tous les systèmes informatiques accessibles depuis l'extérieur, y compris les sous-domaines oubliés, les ressources cloud non gérées et l'informatique fantôme qui peut apparaître dans le cadre des activités quotidiennes. Cette vue d’ensemble constitue la base d’une gestion efficace des correctifs et sert de justificatif pour les audits au sens de la directive. Le module de gestion des risques liés aux fournisseurs (VRM) permet en outre de contrôler systématiquement les fournisseurs de cloud et autres prestataires informatiques, comme l’exige explicitement la directive. Les cabinets peuvent ainsi prouver de manière transparente que leurs partenaires respectent eux aussi les normes de sécurité requises.
En tant que solution „ Made in Germany “, LocateRisk est hébergé dans des centres de données allemands par des partenaires certifiés ISO 27001. L'hébergement en Allemagne aide les cabinets médicaux à respecter les exigences en matière de résidence des données et à réduire le risque d'accès aux données par des autorités non européennes.
Sources et informations complémentaires
—
Remarque à titre personnel : Cet article reflète la situation juridique au moment de sa publication. Le droit des technologies de l'information et les exigences en matière de conformité étant extrêmement complexes, ce texte ne constitue qu'un premier guide et ne saurait être considéré comme un avis juridique contraignant. En cas de doute, nous vous recommandons de solliciter un avis juridique pour la mise en œuvre au sein de votre entreprise. Toute responsabilité quant au contenu est exclue.
Questions fréquentes
Cette directive s'applique à tous les cabinets médicaux et dentaires participant au système de soins conventionnés en Allemagne. Cela concerne environ 99 000 cabinets médicaux et de psychothérapie, ainsi que près de 38 000 cabinets dentaires.
Les délais de mise en œuvre sont déjà écoulés. La directive s'applique depuis le 1er octobre 2025 pour le secteur KBV et depuis le 2 janvier 2026 pour le secteur KZBV. Une preuve de la mise en œuvre est requise.
Parmi les exigences essentielles figurent la formation régulière des collaborateurs, une gestion systématique des correctifs, la sécurisation des terminaux, l'utilisation d'identifiants individuels, ainsi que la vérification et la réglementation contractuelle des services cloud. Ces exigences sont échelonnées en fonction de la taille du cabinet.
Outre les conséquences en matière de protection des données prévues par le RGPD, tout incident de données doit, conformément à l'article 33 du RGPD, faire l'objet d'une notification à l'autorité de contrôle compétente dans un délai de 72 heures. Les cabinets médicaux doivent donc être en mesure de documenter de manière exhaustive la mise en œuvre de ces exigences.