Avantages supplémentaires et cas d'utilisation d'une salle blanche de données dans le secteur de la santé
Alors que la salle blanche des données constitue un élément de plus en plus important de la stratégie moderne de sécurité et de récupération des centres de données, les établissements de santé peuvent bénéficier de cette configuration de plusieurs autres manières.
Collaboration renforcée en matière de confidentialité entre les institutions
La nature de la salle blanche des données la rend précieuse pour la collaboration entre plusieurs organisations, car elles fournissent des copies ou des vues des données conformément à leurs propres principes de gouvernance des données, note Kim.
« Par principe, aucune partie ne peut voir les données brutes, les identifiants ou les données exclusives d'une autre partie », dit-elle. Cela permet aux organisations de travailler ensemble sur la recherche médicale et l'analyse de la santé de la population, ainsi que sur des initiatives d'amélioration clinique et opérationnelle, tout en préservant la confidentialité des données des patients.
Développement accéléré de médicaments et d’autres traitements
Kim décrit la salle blanche de données comme un « multiplicateur de force » pour les organisations des sciences de la vie, car elles sont capables de rassembler des ensembles de données riches mais sensibles, depuis les dossiers cliniques et les preuves du monde réel jusqu'aux séquences génomiques. Reilly est d'accord, affirmant que les salles blanches de données sont « à la fois plus efficaces et plus protectrices de la vie privée » que les méthodes traditionnelles de partage de données.
Sans cet environnement en place, les organisations seraient soumises à des processus d'approbation longs et complexes pour les demandes de transfert de données afin de garantir suffisamment que les informations identifiables, exclusives ou sensibles ne soient pas exposées. « Le chemin de l'innovation vers de nouvelles découvertes et connaissances cliniques est désormais plus court et beaucoup plus efficace grâce à l'utilisation de salles blanches de données », explique Kim.
Considérations relatives au déploiement d'une salle blanche de données
Selon la FTC, lorsque « les contraintes sont conçues, mises en œuvre et surveillées de manière appropriée », une salle blanche de données « peut limiter l’utilisation et la divulgation des données des personnes représentées dans les ensembles de données ». De telles contraintes ne sont pas automatiques, ajoute l'agence, et doivent être intentionnellement configurées et déployées pour préserver la confidentialité.
Dans cet esprit, note Kim, toute organisation mettant en œuvre une salle blanche de données doit prendre en compte :
- Comment les données seront utilisées, divulguées et traitées
- Comment l’utilisation s’aligne globalement sur les flux de travail cliniques, de recherche et/ou opérationnels
- Comment les contrôles d'accès seront configurés
- Qui est autorisé à exécuter des requêtes
- Comment les journaux d'audit suivent l'activité au sein de la salle blanche de données
La FTC note que le fait d’accorder à davantage d’entités l’accès à une salle blanche de données peut avoir pour conséquence involontaire d’élargir le périmètre nécessitant une défense. Par conséquent, les organisations hébergeant un environnement de salle blanche de données doivent être conscientes des pratiques globales de sécurité, des politiques de gouvernance des données et des configurations de stockage et d'autorisations de leurs partenaires. L'agence note qu'un partenaire ayant des politiques laxistes, comme ne pas exiger d'authentification multifactorielle pour accorder l'accès, pourrait suffire à exposer la salle blanche des données à une attaque qui compromet la confidentialité et met les organisations en danger.
« Les salles blanches de données ne rendent pas comme par magie votre collaboration en matière de données entièrement conforme », explique Reilly. « Les salles blanches sont capables de rendre une collaboration de données entièrement conforme si elles sont déployées correctement, mais cela dépendra fortement de nombreux facteurs : le cas d'utilisation spécifique, les données impliquées, les protections de la vie privée appliquées et les conditions contractuelles négociées.
