Règlement de traitement Système d information de la KPT/CPT (Selon l art. 21 OLPD et l art. 84b LAMal)

Transcription

1 Règlement de traitement Système d information de la KPT/CPT (Selon l art. 21 OLPD et l art. 84b LAMal) Version KPT 1

2 Table des matières 1. Situation de départ Contenu Unités d'organisation concernées par le système (organe exploitant le système environnement) Description des interfaces pour le traitement de données personnelles sensibles Provenance Destinataire But de la communication Etendue de la communication Périodicité de la communication Initiateur de la communication Moyen de communication Organigramme de l'organe exploitant le système Responsabilités Documentation de planification, de réalisation et d exploitation du fichier Déclaration du fichier au PFPDT Documentation des processus du système d information de la KPT/CPT Procédures de contrôle ainsi que les mesures techniques et organisationnelles selon l art. 20 OLPD Contrôle des installations à l entrée, contrôle des supports de données personnelles, contrôle de mémoire et contrôle d accès Contrôle du transport Contrôle de communication Contrôle d utilisation Contrôle de l introduction (journalisation) Description des champs de données et des unités d organisation qui y ont accès Accès des utilisateurs au fichier, ainsi que la nature et l étendue de cet accès Formation des utilisateurs du fichier Procédures de traitement, procédures de rectification, de blocage, d anonymisation (pseudonymisation), de sauvegarde, de conservation, d archivage ou de destruction Configuration des moyens informatiques Procédure d exercice du droit d accès Publication Autres documents ANNEXE: Processus «Traitement automatisé dans le système d information de la KPT/CPT» KPT 2

3 1. Situation de départ La KPT Caisse-maladie SA est le maître du fichier automatisé «Système d information de la KPT/CPT», déclaré au préposé fédéral à la protection et à la transparence (PFPDT) et contenant sensibles et des profils de la personnalité. Le fichier vise à la pratique et au suivi de l assurance-maladie et accidents dans le domaine de l assurance obligatoire des soins et de l assurance-maladie complémentaire selon la LCA. Vu les articles 11 et 21 de l ordonnance relative à la loi fédérale sur la protection des données (OLPD), un règlement de traitement doit être élaboré pour le fichier. Selon l art. 84b de la loi fédérale sur l assurance-maladie (LAMal), le règlement est soumis à l appréciation du PFPDT et doit être rendu public. 2. Contenu Le présent règlement de traitement décrit en particulier les procédures de traitement et de contrôle ainsi que la gestion du système d information de la KPT/CPT. Le règlement contient en outre les informations nécessaires à la déclaration des fichiers (art. 16 OLPD) et les indications concernant l organe responsable de la protection et de la sécurité, la provenance, les buts dans lesquels sont régulièrement communiquées, les procédures de contrôle et en particulier les mesures techniques et organisationnelles visées à l art. 20 OLPD, la description des champs de données et des unités d organisation qui y ont accès, l accès des utilisateurs au fichier ainsi que la nature et l étendue de cet accès, les procédures de traitement, notamment les procédures de rectification, de blocage, d anonymisation, de sauvegarde, de conservation, d archivage ou de destruction, la configuration des moyens informatiques ainsi que la procédure d exercice du droit d accès. Le présent règlement de traitement est également valable pour le service indépendant de réception selon l art. 59a OAMal, qui est géré en interne à la CPT KPT 3

4 3. Unités d'organisation concernées par le système (organe exploitant le système environnement) Organe exploitant le système Systèmes périphériques (environnement) Genre de communication KPT Caisse-maladie SA (y compris les partenaires d externalisation pour l exploitation IT, les partenaires en matière de traitement des documents et de solutions postales) SASIS (santésuisse) Plaque tournante des données Partenaire en matière de services télémédicaux VitaClic, Online Easy SA Partenaires HMO Partenaire dans le domaine des recours Cantons Assureurs sociaux Autorités / tribunaux Assurés des filières «classic» / online Fournisseurs de prestations / communication manuelle dans des cas d espèce Communication manuelle dans des cas d espèce Communication manuelle dans des cas d espèce / communication manuelle dans des cas d espèce / communication manuelle dans des cas d espèce KPT 4

5 dps= données personnelles dps= données sensibles, dps= personnelles données M = manuel, personnelles sensibles, A= automatisé M sensibles, = manuel, M A= automatisé manuel, A= automatisé Règlement de traitement pour le système d information de la KPT/CPT La KPT Caisse-maladie SA est l organe exploitant le système et, en qualité de maître du fichier automatisé «Système d information de la KPT/CPT», l organe qui en est responsable. Sur la base de l art. 84 LAMal, la KPT/CPT a externalisé quelques prestations de services comprenant en partie aussi le traitement de données personnelles et les a confiées aux partenaires d externalisation pour l exploitation IT ainsi qu aux partenaires en matière de traitement des documents et de solutions postales. Le traitement conformément à la protection de même que la sécurité ont été réglés dans les contrats de collaboration respectifs. De plus, les partenaires IT sont en partie certifiés selon diverses normes ISO (notamment les normes ISO 9001:2008 Système de management de la qualité et ISO/IEC 27001:2005 Système de management de la sécurité de l'information). Maître du fichier, la CPT demeure responsable du respect de la protection pour les secteurs externalisés (art. 22 OLPD). Dans le cadre de la pratique et du suivi de l assurance-maladie et accidents dans le domaine de l assurance obligatoire des soins selon la LAMal, la CPT entretient des interfaces, décrits sous chiffre 3.1 ss, avec les systèmes périphériques indiqués dans le graphique ci-dessus. 3.1 Description des interfaces pour le traitement de données personnelles sensibles De A But Type de données Périodicité Initiateur Média CPT Partenaire HMO Gatekeeping, Respect du contrat dps Mensuel, trimestriel et annuel A Courriel (sécurisé, Zip), SFTP, Sharepoint CPT Partenaire en matière de services télémédicaux Conseils par le prestataire de services télémédicaux dps Mensuel A SFTP CPT VitaClic Exploitation de VitaClic dps Quotidien A SFTP CPT Plaque tournante Traitement de prestations LAMal dps Quotidien / hebdomadaire A SFTP Lignes louées CPT Partenaire en matière de recours Recours dps Quotidien A SFTP CPT Cantons IPV dps Selon les besoins M Disquette, courriel, etc. CPT Fournisseurs de prestations 84a KVG Div. Dans des cas d espèce M Par écrit KPT 5

6 CPT Assurés Renseignement Div. Dans des cas d espèce M Par écrit / contact direct online (sécurisé) CPT Autorités / tribunaux Art. 82 LAMal, Art. 84a LAMal Div. Dans des cas d espèce M Par écrit CPT Assureurs sociaux Art. 84a LAMal Div. Dans des cas d espèce M Par écrit La CPT entretient d autres interfaces sans implication de données personnelles sensibles avec les externes suivants: De A CPT Imprimerie externe CPT Mail Server du partenaire IT CPT Carte d assuré CPT Banque CPT Cockpit du partenaire IT CPT Poste CPT Déductions sur le salaire CPT Credit Suisse CPT Telekurs CPT Postfinance CPT SASIS (santésuisse) CPT Institution commune LAMal (compensation des risques) CPT Partenaire «Assistance» 3.2 Provenance La provenance est indiquée dans la présentation schématique du processus «Traitement automatisé dans le système d information de la KPT/CPT» (annexe). Les données proviennent de fournisseurs de prestations, d assurés, d autres assurances sociales, de tribunaux et d offices des poursuites. 3.3 Destinataire La KPT Caisse-maladie SA est le destinataire. Ainsi que la présentation schématique du processus «Traitement automatisé dans le système d information de la KPT/CPT» (annexe) le fait apparaître, les documents adressés personnellement (surtout les documents adressés à la direction et au médecin-conseil) sont transmis directement aux collaborateurs concernés de la CPT. Les autres documents (lettres, formulaires et factures) sont numérisés, structurés et transcodés par le partenaire en matière de traitement des documents (partenaire d externalisation) et sont introduits respectivement dans le système d information de la KPT/CPT et le flux de traitement KPT 6

7 Le processus postal exact est documenté dans les documents «Processus postaux de la CPT» et «Processus relatif aux documents sur support papier». Lors de la facturation de type DRG dans le domaine stationnaire, le fournisseur de prestations transmet systématiquement et simultanément avec la facture les fichiers de données avec les indications administratives et médicales visées à l article 59, alinéa 1, OAMal au service indépendant de réception de la CPT selon l art. 59a OAMal. Le processus de traitement au service de réception est fixé à l annexe du présent règlement. D autres développements concernant l attribution des documents scannés aux collaborateurs compétents se trouvent dans le document «Processus en matière de sinistres de la caissemaladie CPT». 3.4 But de la communication Le but de la communication est dans tous les cas la pratique de l assurance obligatoire des soins selon la loi fédérale sur l assurance-maladie (LAMal). Des indications plus détaillées sont fournies dans la description des interfaces (chiffre 3.1). 3.5 Etendue de la communication La description des interfaces (chiffre 3.1) mentionne quelles données sont communiquées et quels en sont les destinataires respectifs. Les données sont communiquées exclusivement aux fins de l assistance administrative dans des cas particuliers selon l art. 32, al. 2, LPGA et l art. 82 LAMal, des renseignements et conseils selon l art. 27 LPGA, de la consultation du dossier selon l art. 47 LPGA ainsi que dans le cadre de la communication de données au sens de l art. 84a LAMal. Toute autre communication s effectue uniquement dans des cas d espèce et si la personne assurée a donné son consentement. En outre, les données ne sont communiquées que dans la mesure où les principes énoncés à l art. 4 et les suivants de la loi fédérale sur la protection (LPD) sont respectés. Notamment, la communication de données s effectue uniquement dans les limites des principes d adéquation et de proportionnalité. 3.6 Périodicité de la communication Il ressort de la description des interfaces (chiffre 3.1) à quelle fréquence les données sont communiquées. 3.7 Initiateur de la communication La communication est générée, en fonction de l interface, soit de manière automatisée soit manuellement KPT 7

8 3.8 Moyen de communication Dans la plupart des cas, la transmission a lieu via SFTP. En outre, les données sont transmises par écrit ou par courriel crypté. Quant au processus en matière de sinistres, l échange de données s effectue sur une plaque tournante commune. Les détails figurent dans la description des interfaces (chiffre 3.1). 4. Organigramme de l'organe exploitant le système Les collaborateurs des secteurs mentionnés ci-dessus disposent d un droit d accès en lecture et aux mutations dans le système d information de la KPT/CPT en fonction des tâches qu ils doivent accomplir selon la LAMal (cf. sous chiffre 10). 5. Responsabilités En qualité de maître du fichier «Système d information de la KPT/CPT», le Comité directeur de la KPT Caisse-maladie SA assume la responsabilité de la protection et de la sécurité. Dans les questions relevant du droit de la protection, il est conseillé par le préposé à la protection au sein de l entreprise (conseiller à la protection ). Les responsabilités en fonction des secteurs sont indiquées dans le tableau ci-dessous. D autres responsabilités du secteur IT en rapport avec le système d information de la KPT/CPT sont réglées dans le document «Protection document de mise en œuvre». Les responsabilités quant aux différentes composantes et parties du système d information (réseau, banque de données, système d exploitation, etc.) sont définies dans les descriptifs de poste valables pour le secteur IT. Quoi Protection en général, formation, demandes d accès et de consultation du dossier, demandes de renseignements d assureurs ou de tiers Personnel en général, attribution de l autorisation d accès Qui Préposé à la protection au sein de l entreprise (conseiller à la protection des données) Responsable de la division Personnel + Formation KPT 8

9 Données de base des clients Responsable de la division Service clients / Assurances spéciales Données des sinistres Documents destinés au médecin-conseil Examen du risque Sécurité technique, profils d accès Elimination des supports de stockage électroniques Responsable de la division Centres de sinistres / Développement de processus Médecin-conseil Responsable du groupe Examen du risque Responsable de l application du système d information de la KPT/CPT Responsable de la division IT 6. Documentation de planification, de réalisation et d exploitation du fichier Les documentations relatives à l exploitation et à la réalisation du système d information de la KPT/CPT sont conservées dans le secteur IT et auprès des partenaires d externalisation de la KPT/CPT et mises à jour le cas échéant. L exploitation du fichier est décrite dans le manuel des utilisateurs du système d information de la KPT/CPT («Manuel des prestations»). La planification technique et la réalisation du système d information de la KPT/CPT sont documentées dans les manuels d exploitation. 7. Déclaration du fichier au PFPDT (Art. 16 OLPD) Conformément à l art. 11a, al. 5, let. e, LPD, la KPT Caisse-maladie SA a désigné un conseiller à la protection indépendant chargé d assurer l application interne des dispositions relatives à la protection et de tenir un inventaire des fichiers. La KPT/CPT est ainsi dispensée de l obligation de déclarer le fichier au PFPDT. 8. Documentation des processus du système d information de la KPT/CPT Les processus de traitement du système d information de la KPT/CPT sont indiqués dans la présentation schématique des processus (annexe). Pour les différentes étapes de traitement, il est renvoyé aux documents déterminants décrivant les processus et qui sont internes à la CPT. 9. Procédures de contrôle ainsi que les mesures techniques et organisationnelles selon l art. 20 OLPD 9.1 Contrôle des installations à l entrée, contrôle des supports de données personnelles, contrôle de mémoire et contrôle d accès Bases légales Selon l art. 9, al. 1, let. a, OLPD, les personnes non autorisées n ont pas accès aux locaux et aux installations utilisées pour le traitement de données personnelles KPT 9

10 Selon l art. 9, al. 1, let. b, OLPD, les personnes non autorisées ne peuvent pas lire, copier, modifier ou éloigner des supports de données. Selon l art. 9, al. 1, let. e, OLPD, les personnes non autorisées ne peuvent ni introduire personnelles dans la mémoire ni prendre connaissance des données mémorisées, les modifier ou les effacer. Selon l art. 9, al. 1, let. g, OLPD, les personnes autorisées ont accès uniquement aux données personnelles dont elles ont besoin pour accomplir leurs tâches. Mise en œuvre à la CPT Afin de garantir que des personnes non autorisées n auront pas accès aux immeubles de la CPT, seuls les collaborateurs de la CPT possédant une clé peuvent y accéder. Il n est permis de pénétrer dans les bureaux qu aux fins de service. Aucun accès à l immeuble n est accordé aux personnes inconnues. En cas de doute, les personnes doivent décliner leur identité. Les visiteurs sont accueillis à la réception des clients. Les collaborateurs de la réception n ont pas le droit de laisser entrer les visiteurs sans accompagnement dans le bâtiment. L accueil de visiteurs à des fins privées est en principe interdit pour des raisons inhérentes à la protection. Dans des cas exceptionnels, il est autorisé dans la zone de la réception. L accès aux immeubles de la CPT est réglé dans le règlement de maison et de bureau. La CPT garantit en outre par des mesures appropriées qu aucune personne non autorisée ne pourra lire, copier, modifier ou éloigner dans le système d information de la KPT/CPT, ni introduire personnelles dans la mémoire ni prendre connaissance mémorisées, les modifier ou les effacer. Comme décrit ci-dessus, il est garanti d une part par le contrôle des installations à l entrée que des personnes externes non autorisées n auront pas accès aux immeubles de la CPT de sorte qu un traitement de données par des externes non autorisés peut être exclu. Afin d éviter un traitement de données non autorisé par des collaborateurs de la CPT, la CPT limite ou empêche, par des mesures techniques, l accès aux données dont les collaborateurs n ont pas besoin pour accomplir les tâches qui leur sont conférées selon la LAMal (art. 84 LAMal). D autres développements concernant la limitation d accès sont exposés sous chiffre 11 du présent règlement. Aussi, divers règlements ainsi que des directives exhortent les collaborateurs au traitement correct. La manière correcte de traiter est transmise aux collaborateurs par les règlements «Protection document de base», «Protection document de mise en œuvre» et par la directive concernant la conservation de courriels, la téléphonie et l utilisation des systèmes IT. En outre, les modifications effectuées par les collaborateurs dans le système peuvent être retracées (voir chiffre 9.5) KPT 10

11 9.2 Contrôle du transport Bases légales Selon l art. 9, al. 1, let. c, OLPD, les personnes non autorisées ne peuvent pas lire, copier, modifier ou effacer personnelles lors de leur communication ou lors du transport de supports de données. Mise en œuvre à la CPT La CPT garantit par des mesures techniques appropriées que les personnes non autorisées ne pourront pas lire, copier, modifier ou effacer personnelles lors de leur communication ou lors du transport de supports de données. La sécurité lors de la transmission électronique est garantie par le transfert via SFTP ou par l utilisation de lignes louées (IPSS). Les données sont cryptées lors de la transmission de données personnelles sensibles et/ou de profils de la personnalité par courriel. 9.3 Contrôle de communication Bases légales Selon l art. 9, al. 1, let. d, OLPD, les destinataires auxquels personnelles sont communiquées à l aide d installations de transmission peuvent être identifiés. Mise en œuvre à la CPT La transmission s effectue via SFTP / IPSS à une adresse cible vérifiée. 9.4 Contrôle d utilisation Bases légales Selon l art. 9, al. 1, let. f, OLPD, les personnes non autorisées ne peuvent pas utiliser les systèmes de traitement automatisé de données personnelles au moyen d installations de transmission. Mise en œuvre à la CPT La CPT dispose d une infrastructure de sécurité à plusieurs échelons pour l accès au système d information de la KPT/CPT. Les collaborateurs autorisés disposent en outre d un login pour l utilisation du système. Le système est protégé par un pare-feu (firewall) contre l utilisation par des personnes non autorisées en dehors de la CPT. La sécurité est contrôlée continuellement dans le cadre des mesures de sécurité IT KPT 11

12 9.5 Contrôle de l introduction (journalisation) Bases légales Selon l art. 9, al. 1, let. h, OLPD, l identité des personnes introduisant personnelles dans le système, ainsi que les données introduites et le moment de leur introduction peuvent être vérifiés a posteriori. Toutefois, la journalisation ne doit être faite que dans la mesure où elle est judicieuse ou nécessaire. Les collaborateurs doivent être informés des journalisations. Mise en œuvre à la CPT La CPT effectue une journalisation des activités les plus importantes déployées. Afin de contrôler le respect du règlement d utilisation, la CPT analyse les journalisations sous forme anonyme. Lorsqu un abus est constaté ou suspecté, les journalisations sont analysées nommément par association avec la liste de correspondance. En cas d abus avéré, les sanctions correspondantes sont engagées. Les collaborateurs de la CPT sont informés de ce procédé. La journalisation est consignée dans la directive concernant la conservation de courriels, la téléphonie et l utilisation des systèmes IT. 10. Description des champs de données et des unités d organisation qui y ont accès (art. 21, al. 2, let. e, OLPD) Les droits d accès au système d information de la KPT/CPT sont réglés au moyen d un système d autorisations d accès basé sur des rôles. Le système d autorisations d accès est défini dans un formulaire de demande pour les autorisations d accès. Une matrice de droits précise quels rôles disposent d un accès au système d information de la KPT/CPT et quelle en est la nature. 11. Accès des utilisateurs au fichier, ainsi que la nature et l étendue de cet accès (art. 21, al. 2, let. f, OLPD) L accès au système d information de la KPT/CPT n est accordé qu aux collaborateurs qui en ont effectivement besoin. Les collaborateurs sont attribués à un profil d utilisateur (cf. chiffre 10 ci-dessus) et reçoivent ensuite une autorisation d accès personnelle qui ne peut pas être transmise à de tierces personnes. Il est notamment aussi constaté si les collaborateurs ont uniquement besoin d une autorisation de consultation ou, en plus, ont encore besoin d une autorisation d effectuer des mutations. Les collaborateurs de la CPT n ont pas accès aux données MCD parvenant au service indépendant de réception de la CPT et qui sont traitées de manière automatisée par ce dernier. Lorsque des factures sont déviées par le service de réception pour vérification, les collaborateurs chargés de vérifier le cas obtiennent un accès aux factures et aux MCD s y rapportant jusqu à la clôture du cas. L accès aux MCD est bloqué dès la clôture du cas KPT 12

13 L unité d organisation Personnel + Formation est responsable de l attribution aux collaborateurs d unprofil d autorisation approprié et présente les demandes correspondantes pour les autorisations d accès. Le responsable de l application du système d information de la KPT/CPT vérifie si les demandes sont complètes et délivre les autorisations d accès. 12. Formation des utilisateurs du fichier Les utilisateurs du système d information de la KPT/CPT sont formés par différentes voies en matière de droit de la protection ainsi que dans la technique des applications. Tous les nouveaux collaborateurs de la CPT doivent suivre une formation dans le domaine de la protection. Une formation relative aux applications du système d information de la KPT/CPT doit également être accomplie. En outre, la CPT forme les collaborateurs par un module e-learning dans le domaine de la protection. Les utilisateurs du système d information de la KPT/CPT sont soutenus dans tout le système en fonction des champs par divers manuels d utilisateurs et dans le domaine de la protection par deux règlements sur la protection («Protection document de base», «Protection document de mise en œuvre»). 13. Les procédures de traitement, notamment les procédures de rectification, de blocage, d anonymisation (pseudonymisation), de sauvegarde, de conservation, d archivage ou de destruction (art. 21, al. 2, let. g, OLPD) Chaque mutation effectuée par un collaborateur de la CPT est consignée techniquement (cf. chiffre 9.5 ci-dessus). L état avant et après la mutation apparaît toujours afin de garantir la traçabilité du traitement. La procédure de traitement, notamment aussi l archivage et la destruction des données, est documentée dans les règlements «Protection document de base et «Protection document de mise en œuvre». 14. La configuration des moyens informatiques (art. 21, al. 2, let. h, OLPD) Le matériel informatique et les logiciels utilisés par la CPT après concertation avec les partenaires d externalisation correspondent aux standards internationaux. Les documentations relatives à la configuration des moyens informatiques utilisés pour le système d information de la KPT/CPT sont conservées dans le secteur IT et auprès des partenaires d externalisation de la KPT/CPT et mises à jour le cas échéant. Pour des raisons de sécurité des systèmes, processus et données, aucune indication n est fournie sur la configuration des moyens informatiques quant aux différentes composantes du système KPT 13

14 15. La procédure d exercice du droit d accès (art. 21, al. 2, let. i, OLPD) Les demandes d accès selon l art. 8 LPD doivent être posées au conseiller à la protection : KPT Caisse-maladie SA Conseillère à la protection Case postale 8624 CH-3001 Berne bdsb@kpt.ch La procédure interne de traitement des demandes d accès est fixée dans le document «Processus relatif au droit d accès de la KPT Caisse-maladie SA». 16. Publication Selon l art. 84b LAMal, le présent règlement et ses annexes sont publiés sur Internet sous Autres documents D autres documents auxquels il est renvoyé dans le présent règlement et ses annexes sont mentionnés ci-après. Pour des raisons de sécurité des systèmes, processus et données et afin de garantir la confidentialité des assurés et de protéger les secrets d affaires de la CPT et de ses partenaires commerciaux (partenaires d externalisation), ces documents ne sont pas rendus publics. Documentations des processus Processus postaux de la CPT Processus relatif aux documents sur support papier Critères de tri pour le partenaire en matière de solutions postales Traitement des sinistres concept d autorisations Traitement des prestations autorisations Processus relatif à la liste des documents Traitement des sinistres processus d attribution Processus en matière de sinistres de la caisse-maladie CPT Protection document de base Protection document de mise en œuvre Directive concernant la conservation de courriels, la téléphonie et l utilisation des systèmes IT Processus relatif au droit d accès de la KPT Caisse-maladie SA Documentation relative à la planification, la réalisation et la configuration du système d information de la KPT/CPT (manuel des prestations) Concept d autorisations d accès basé sur des rôles avec matrice de droits Processus relatif au service de réception KPT 14

15 KPT 15