Politique de confidentialité et protection des données personnelles

1. Introduction

Minasoft (« la Société », « nous » ou « Minasoft ») accorde une grande importance à la protection des données personnelles lors du développement, de l'exploitation et de la fourniture de la plateforme d'imagerie et de comptes rendus médicaux ZenPACS.

La présente Politique de confidentialité explique, en vertu de la loi n° 6698 sur la protection des données personnelles (« KVKK ») et de la législation connexe, les finalités et bases légales du traitement, les méthodes de collecte, les conditions de transfert et les droits des personnes concernées. Elle couvre les hôpitaux, centres d'imagerie, établissements de santé utilisant ZenPACS, leur personnel et les patients pris en charge.

2. Responsable du traitement

Entité : Minasoft Sağlık Teknoloji Yazılım Danışmanlık Ltd. Şti.

Adresse : Emrah Mah. General Dr. Tevfik Sağlam Cad. No:2/67 Porte No:101/B Keçiören/Ankara, Türkiye

E-mail : info@minasoft.com.tr · Téléphone : +90 532 587 08 64

ZenPACS utilise une architecture multi-locataire. Chaque établissement de santé est responsable indépendant du traitement de ses propres données ; Minasoft agit comme sous-traitant en tant que fournisseur de la plateforme.

3. Données personnelles traitées

Des données de patients (y compris des données de santé sensibles) et des données d'utilisateurs sont traitées :

• Identité : nom, prénom, numéro national, date de naissance, sexe, identifiant patient
• Contact : téléphone, e-mail
• Données de santé : images DICOM (TDM, IRM, CR, DX, US, MG, etc.), comptes rendus, observations cliniques, diagnostics
• Clinique : messages d'examen/résultat HL7, médecin prescripteur, notes d'urgence et de comparaison
• Métadonnées d'examen : UID étude/série/instance, numéro d'accès, modalité, date/heure
• Données utilisateur : nom, fonction, identifiant, mot de passe haché, rôle, hôpitaux assignés, IBAN (radiologues uniquement), journaux d'accès (IP, session, dernière connexion)

4. Base légale du traitement

Les données sont traitées sur le fondement des articles pertinents de la KVKK :

• Art. 5/2(a) Expressément prévu par la loi — tenue des dossiers médicaux exigée par la législation sanitaire
• Art. 5/2(c) Exécution d'un contrat — gestion des comptes et accès à la plateforme
• Art. 5/2(ç) Obligation légale — journaux d'audit et conservation des données
• Art. 5/2(f) Intérêt légitime — sécurité de l'information et qualité de service
• Art. 6/3 Données sensibles — traitement des données de santé à des fins de santé publique

5. Méthodes de collecte

• Appareils d'imagerie : automatiquement via le protocole DICOM
• Systèmes d'information hospitaliers (SIH) : via la messagerie HL7 v2
• Application web : via la saisie utilisateur sur l'interface ZenPACS
• Actions administrateur : création d'utilisateurs et autorisation
• EdgeServer : automatiquement via un récepteur DICOM par hôpital

6. Mesures de sécurité

Mesures techniques :

• Toutes les communications externes chiffrées en HTTPS/TLS
• Mots de passe hachés avec bcrypt, jamais stockés en clair
• Jetons d'accès limités dans le temps (AES-256-GCM) ; gestion de session JWT (HMAC-SHA256)
• Requêtes paramétrées via SQLC (prévention des injections SQL)
• Isolation des données au niveau ligne dans l'architecture multi-locataire
• Contrôle d'accès basé sur les rôles à 6 niveaux (RBAC)
• Segmentation réseau par pare-feu ; accès DICOM contrôlé par URL pré-signées ; authentification multifacteur TOTP
• Administratif : ISO 27001, SPICE niveau 2, NDA du personnel, formations annuelles, révocation des accès au départ

7. Durées de conservation

• Dossiers médicaux et images DICOM : pendant la durée légale (min. 20 ans selon la législation), puis anonymisation/suppression sécurisée
• Comptes rendus de radiologie : pendant la durée légale
• Dossiers patients actifs : 60 jours après la clôture (configurable)
• Données de compte utilisateur : tant que le compte est actif + 1 an après la fin du contrat
• Journaux d'audit : 365 jours · Sauvegardes : 3-7 jours · Codes de réinitialisation : 3 minutes · Jetons de session : 24 heures (web)

8. Transfert des données

National : échange de données cliniques avec le SIH via HL7, transfert chiffré de métadonnées d'EdgeServer vers le Hub via NATS, et sauvegardes au sein du même réseau privé.

International : Les données des patients et les images médicales ne sont pas transférées à l'étranger. Toute l'infrastructure critique est hébergée sur les serveurs de la société. Seules des données opérationnelles non sensibles sont utilisées : Mailjet (adresses e-mail uniquement), Cloudflare (DNS uniquement), GitHub (code/images), Let's Encrypt (TLS). Aucune donnée de patient n'est transférée via ces services.

9. Anonymisation des données

ZenPACS offre une anonymisation complète via la bibliothèque DICOM Gordion de la société : suppression des identifiants patients, régénération de tous les UID DICOM, décalage de dates, nettoyage du texte libre, suppression des tags propriétaires et 5 profils d'anonymisation prêts à l'emploi. Elle est configurable au niveau de l'hôpital et peut être appliquée en option lors de l'export.

10. Droits de la personne concernée

En vertu de l'article 11 de la KVKK, les personnes concernées ont le droit de savoir si leurs données sont traitées, de demander des informations, de connaître la finalité et les tiers destinataires, de demander la rectification/l'effacement, de s'opposer à l'analyse automatisée et de réclamer réparation.

• E-mail : kvkk@minasoft.com.tr
• Demande écrite : Emrah Mah. Gen. Dr. Tevfik Sağlam Cad. No:2/67/101/B Keçiören/Ankara (par notaire ou courrier recommandé)
• Les demandes sont traitées gratuitement sous 30 jours au plus tard.

11. Politique des cookies

ZenPACS utilise des cookies limités : authentification (session), préférence de langue et de thème (persistants). Aucun cookie d'analyse, de publicité ou de suivi tiers n'est utilisé.

12. Modifications de la politique

Cette politique peut être mise à jour selon les exigences légales, les évolutions technologiques ou les changements de service. Les modifications importantes sont notifiées via la plateforme et/ou par e-mail.

13. Contact

Responsable du traitement : Minasoft Sağlık Teknoloji Yazılım Danışmanlık Ltd. Şti. · KVKK : kvkk@minasoft.com.tr · Sécurité : tech@minasoft.com.tr · Général : info@minasoft.com.tr · www.minasoft.com.tr · ISO 27001 | SPICE niveau 2