Règlement relatif au traitement des données



Documents pareils
Convention nationale sur les modalités d application complémentaires dans le cadre de l introduction de la structure tarifaire SwissDRG

Règlement de traitement des données personnelles. Version destinée au siège principal

Commentaire concernant l ordonnance sur les certifications en matière de protection des données

pour la soumission de demandes d approbation d adaptations tarifaires en assurance-maladie complémentaire

Digne de confiance. Règlement. Art. I. Dispositions générales Objet 1 Base 2 Formes particulières d assurance 3

Sans cet agrément, il est interdit de pratiquer l assurance, en Suisse ou à partir de la Suisse (art. 87 LSA).

Ordonnance sur la gestion électronique des affaires dans l administration fédérale

é Surveillance de l'assurance-maladie sociale. Loi (Divergences)

GUIDE PRATIQUE entreprises d assurance exerçant en Suisse Liechtenstein

Politique sur l accès aux documents et sur la protection des renseignements personnels

Le Parlement de la République et Canton du Jura, vu les articles 42, alinéa 2, et 68 de la Constitution cantonale 1),

Conférence Clusis: DPO De l indépendance légale à l indépendance de l action. - Le cas du Valais - 28 octobre 2014

Statuts de la Société suisse de radiodiffusion et télévision (SRG SSR idée suisse)

R È G L E M E N T I. Agence

(exemple d un magasin ALDI)

Directives sur la gestion des dossiers dans les domaines AVS/AI/APG/PC/AfamAgr/Afam (DGD)

Statuts Société coopérative Caisse d assurance de sport de la Fédération suisse de gymnastique. Table des matières. Généralités. 1.

Code civil suisse (forme authentique)

INSOS Suisse Statuts 26 juin 2014

Ce texte est une version provisoire. Seule la version qui sera publiée dans la Feuille officielle

Conditions générales d assurance (CGA)

COMMUNICATION N D. 134

LA TENUE DES ARCHIVES

Assurance obligatoire des soins

1 La fortune de base est utilisée par la Fondation comme. 2 La fortune de base ne doit pas être utilisée pour

I. Généralités. l Assurance-hospitalisation Franchise à option 18 Choix restreint de l hôpital 19 Extension du choix de l hôpital 20

Loi fédérale sur l archivage. (LAr) Dispositions générales. du 26 juin 1998 (Etat le 1 er août 2008)

2.2 Objet du contrôle Il y a lieu de vérifier les points suivants de manière individuelle ou combinée.

Optimiser l organisation pour voir plus loin. Le système GEVER dans l Administration fédérale : cadre légal et standards

Mensuration officielle Plan de conservation et d archivage de données et de documents (PCA)

Loi sur le transport de voyageurs

mondial assurance de base selon la LCA (pays de résidence à l étranger)

REGLEMENT DE PLACEMENT DES ACTIFS MOBILIERS ET IMMOBILIERS. Fondation de prévoyance en faveur du personnel des Transports publics genevois (FPTPG)

Ordonnance concernant la gestion et le contrôle financier et des prestations de la HES-SO Valais/Wallis du 16 décembre 2014

FAQ pour utilisateurs

Ordonnance sur les ressources d adressage dans le domaine des télécommunications

I partie : diagnostic et proposition de solutions

CONSEIL DE L'EUROPE COMITÉ DES MINISTRES RECOMMANDATION N R (87) 15 DU COMITÉ DES MINISTRES AUX ÉTATS MEMBRES

Conformité aux exigences de la réglementation "21 CFR Part 11" de la FDA

Interfaces pour l'échange de données au sein de la protection civile

MV Consulting. ITIL & IS02700x. Club Toulouse Sébastien Rabaud Michel Viala. Michel Viala

Groupe Banque européenne d investissement. Politique de vidéosurveillance

S t a t u t s. suissemusic Commerces de musique spécialisés en Suisse. Section 1

Profil B ou profil E? Aide à la décision

données à caractère personnel (ci-après LVP), en particulier les articles 31bis et 36bis ;

ISMS. Politique de sécurité de l'information. (Information Security Management System) (Information Security Policy)

CGA. Assurance obligatoire des soins (LAMal)

Ordonnance sur la formation professionnelle initiale de spécialiste en restauration

STATUTS. I. Nom, siège et but de l Association. Article 1 - Nom et siège

Etendue de l assujettissement aux droits. de lois ou par des ordonnances du Conseil fédéral édictées en vertu de la présente loi.

Exigences pour la certification HERMES. Règlement des examens de certification personnelle, version public

Loi fédérale sur l aménagement du territoire

Infrastructure de recharge >22kW

Vous avez besoin de soins Nous vous accompagnons. Informations pour les soins à domicile et en EMS

AIDE-MEMOIRE SUR L'ASSURANCE-MALADIE ET LE CHANGEMENT DE CAISSE

S T A T U T S (Version française) Association pour la gestion d un centre de renseignements sur le crédit à la consommation (IKO)

ARCHIVES ET PIECES COMPTABLES CPZ

Glossaire. Arborescence : structure hiérarchisée et logique qui permet d organiser les données dans un système informatique.

RECUEIL POLITIQUE DES

STATUTS DE L ASSOCIATION «FORUM EPFL» Version du 7 mai 2014

LA COMPTABILITÉ DU COMITÉ D ENTREPRISE : DE NOUVELLES OBLIGATIONS DE TRANSPARENCE À PARTIR DU 1 er JANVIER 2015

Directive de la Direction. Directive No 6.9 Fichiers informatiques et protection des données personnelles ou sensibles.

Baer Online e-banking Des opérations bancaires simplifiées

1. Procédure. 2. Les faits

Université du Québec à Trois-Rivières Politique de gestion des documents actifs, semi-actifs et inactifs de l'u.q.t.r.

EXIGENCES MINIMALES RELATIVES À LA PROTECTION DES RENSEIGNEMENTS PERSONNELS LORS DE SONDAGES RÉALISÉS PAR UN ORGANISME PUBLIC OU SON MANDATAIRE

Conditions supplémentaires d assurance (CSA) des prestations complémentaires d accidents OPTIMA selon la LCA. Edition

Cahier des charges du secrétaire municipal et administrateur des finances municipales (les définitions personnelles se rapportent aux deux sexes)

Solution de branche élaborée par santésuisse sur la base de la lettre adressée au Conseiller fédéral Didier Burkhalter

Forum Suisse pour le Droit de la Communication. Séminaire du 28 novembre 2008

Protection des données et transparence dans le canton de Genève

Règlement interne de la Société suisse de crédit hôtelier

Politique de gestion documentaire

Charte informatique. Ce document n est qu un exemple. Il doit être adapté à chaque entreprise selon ses moyens et ses nécessités.

ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION NORME 012 NORME DE SÉCURITÉ DES IMAGES

POLITIQUE ET PROCÉDURES DE GESTION DOCUMENTAIRE

Avez-vous des questions concernant l'enregistrement, le reporting annuel ou la banque de données?

BULLETIN D ADHESION SLA SL00 SMART LIGHITING ALLIANCE. Association Loi , place Antigone, Parc de la BAOU SANARY / MER

Contrat. relatif à la réalisation d'ouvrages dans le domaine informatique et à la maintenance de logiciels individuels (contrat d'entreprise)

Guide relatif à la demande d'autorisation pour délivrer un service postal

concernant la demande d enregistrement dans le registre des intermédiaires d assurance

La CCM vous remercie de lui offrir la possibilité de donner son avis sur la révision partielle de la LA Mal.

Assurance de protection juridique d'entreprise Orion PRO Basic 01/2010

Directives relatives à la tenue des comptes de tutelle et curatelle

Activité : Élaboration, mise en forme et renseignement de documents

STATUTS. Adoptés par l Assemblée générale du 19 juin 2013

CGA. Assurance des soins. (Conditions générales d assurance) Visana SA, sana24 SA, vivacare SA. Med Call (LAMal) Valable dès 2014

Circulaire 2008/31 Rapport de groupe groupes d assureurs. Rapport de groupe pour les groupes d assurance et les conglomérats d assurance

Règlement sur les soins préhospitaliers et les transports de patients. Le Conseil d Etat de la République et Canton de Neuchâtel,

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

POLITIQUE DE GESTION ET DE CONSERVATION DES DOCUMENTS (Adoptée le 12 juin 2013)

Assurances selon la LAMal

Règlement d'organisation

Conditions supplémentaires d assurance (CSA) Assurance complémentaire d hospitalisation HOSPITAL CLASSICA

Règlement UPSA/AGVS. LA VOITURE, NOTRE PASSION F. 11/2005. régissant l'octroi du brevet fédéral de conseilleur de vente automobiles

1 Points du champ d'audit «Documentation des risques selon l'art. 196 et l'art. 97 OS»

Type de document : Politique Révision prévue : 2008 Objet : Politique sur la sécurité des actifs informationnels du CSSSNL

DISCLAIMER: As Member States provide national legislations, hyperlinks and explanatory notes (if any), UNESCO does not guarantee their accuracy, nor

Catalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4

Transcription:

Règlement relatif au traitement des données Version 1.2 16 juin 2014 1

Sommaire 1. Situation initiale... 3 2. Description des unités d'organisation concernées par le système... 3 3. Description des interfaces... 3 3.1 Interfaces avec des destinataires ou des fournisseurs de données externes... 3 3.2 Provenance des données... 4 4. Organigramme de l'organe exploitant le fichier... 4 5. Responsabilités... 5 6. Documents relatifs à la planification, à l élaboration et à la gestion du fichier... 5 7. Déclaration du fichier au Préposé fédéral à la protection des données et à la transparence (PFPDT) en accord avec la préposée à la protection des données (DSB)... 5 8. Description des processus relatifs au traitement des fichiers... 5 9. Provenance des données... 5 10. Buts de la communication régulière de données... 5 11. Procédures de contrôle et mesures techniques et organisationnelles selon l'art. 20 OLPD.. 5 11.1 Contrôle des installations à l entrée... 5 11.2 Contrôle des supports de données... 6 11.3 Contrôle du transport... 6 11.4 Contrôle de communication... 6 11.5 Contrôle de mémoire... 6 11.6 Contrôle d utilisation... 6 11.7 Contrôle d'accès... 6 11.8 Contrôle de l introduction (journalisation)... 6 12. Description des champs de données et des unités d'organisation qui y ont accès... 7 13. Nature et étendue de l'accès des utilisateurs au fichier... 7 14. Procédures de traitement des données, notamment de rectification, de blocage, d anonymisation (pseudonymisation), de sauvegarde, de conservation, d archivage ou de destruction des données... 7 15. Configuration des moyens informatiques... 7 16. Procédure d'exercice du droit d'accès... 7 2

1. Situation initiale CONCORDIA Assurance suisse de maladie et accidents SA est le maître du fichier de données automatisé constitué dans le cadre de la loi fédérale sur l assurance-maladie (LAMal). Ce dernier vise à mettre en œuvre et à gérer l assurance-maladie et accidents dans le domaine de l assurance obligatoire des soins (AOS) conformément à la LAMal. Le présent règlement relatif au traitement des données est également valable pour le service indépendant de réception des données (SRD) selon l art. 59a OAMal, qui, chez CONCORDIA, est géré en interne. 2. Description des unités d'organisation concernées par le système CONCORDIA Assurance suisse de maladie et accidents SA exploite le système et, en sa qualité de maître du fichier de données automatisé, en est l'organe responsable. 3. Description des interfaces 3.1 Interfaces avec des destinataires ou des fournisseurs de données externes Sur la base de l'art. 84 LAMal, CONCORDIA a délégué à des partenaires externes certains services en matière de solutions postales et d élaboration de documents qui comprennent en partie aussi le traitement de données personnelles. Dans ce contexte, différents contrats de collaboration règlent le respect des dispositions relatives à la protection et à la sécurité des données. Certains partenaires informatiques de CONCORDIA sont en outre certifiés selon différentes normes ISO (notamment les normes ISO 9001:2008 «Systèmes de management de la qualité» et ISO/IEC 27001 «Systèmes de management de la sécurité de l'information»). En sa qualité de maître du fichier automatisé, CONCORDIA demeure responsable de la protection des données pour les domaines externalisés (art. 22 de l ordonnance relative à la loi sur la protection des données, OLPD). Dans le cadre de la mise en œuvre et de la gestion de l assurance-maladie et accidents dans le domaine de l AOS selon la LAMal, CONCORDIA dispose d interfaces avec des destinataires et des fournisseurs de données. Ils sont énumérés dans le tableau ci-dessous: Destinataire/Fournisseur But Données particulièrement sensibles Banques Autorités/Tribunaux Opérations de paiement Art. 82 LAMal, art. 84a LAMal Activation Imprimerie externe Magazine clients Fournisseurs de prestations financières Institutions communes LAMal Fichier des banques Compensation des risques, jours d'hospitalisation Partenaires HMO Art. 84a LAMal Comparateurs en ligne Offres calculées Cantons RIP, art. 64 LAMal Fournisseurs de prestations Art. 84a LAMal, art. 59 OAMal / 3

Destinataire/Fournisseur But Données particulièrement sensibles MediData Partenaires de services télémédicaux santésuisse Plate-forme d'échange de documents électroniques Prise en charge médicale Renseignements, RCCo, banque de données Activation Sedex RIP Assureurs sociaux Art. 84a LAMal Swiss Post Solutions Centre Cada Assurés Affichage des justificatifs de paiement Carte d'assuré (art. 42a LAMal, OCA) Renseignements, correspondance, décomptes de prestations / RCCo Renseignements 3.2 Provenance des données Les données proviennent des fournisseurs de prestations, des assurés, d'autres assureurs sociaux, d'autorités et de fournisseurs de prestations financières. 4. Organigramme de l'organe exploitant le fichier Organigramme de CONCORDIA Assurance suisse de maladie et accidents SA 4

5. Responsabilités En sa qualité de maître du fichier automatisé, le Comité directeur de CONCORDIA Assurance suisse de maladie et accidents SA est responsable du respect des dispositions relatives à la protection et à la sécurité des données. Pour toutes les questions ayant trait à la protection et à la sécurité des données, CONCORDIA dispose de préposés à la protection des données, à la sécurité des informations et à la sécurité physique. Ils conseillent le Comité directeur, édictent des directives et participent aux processus de contrôle. 6. Documents relatifs à la planification, à l élaboration et à la gestion du fichier L'exploitation du fichier est réglée par des manuels ad hoc. La planification et l élaboration techniques figurent dans des documents de projet, tandis que les composants du système sont répertoriés dans des manuels d exploitation de l unité d entreprise Informatique. 7. Déclaration du fichier au Préposé fédéral à la protection des données et à la transparence (PFPDT) en accord avec la préposée à la protection des données (DSB) Conformément à l'art. 11a al. 5 let. e de la loi fédérale sur la protection des données (LPD), CONCORDIA Assurance suisse de maladie et accidents SA a désigné un conseiller à la protection des données indépendant chargé d assurer l application interne des dispositions relatives à la protection des données et de tenir un inventaire des fichiers. CONCORDIA est dès lors déliée de l obligation de déclarer le fichier au PFPDT prévue par l art. 11a al. 2 LPD. CONCORDIA satisfait à l'obligation de soumettre le règlement à l approbation du PFPDT au sens de l'art. 84b LAMal. 8. Description des processus relatifs au traitement des fichiers Les processus relatifs au traitement des données pour les différents fichiers sont réglés dans des documents internes ad hoc. 9. Provenance des données Se référer au tableau du chapitre 3 du présent règlement. 10. Buts de la communication régulière de données Se référer au tableau du chapitre 3 du présent règlement. 11. Procédures de contrôle et mesures techniques et organisationnelles selon l'art. 20 OLPD Des mesures techniques et organisationnelles adéquates sont mises en œuvre afin de garantir la confidentialité, l'intégrité et la disponibilité des données. 11.1 Contrôle des installations à l entrée Dans l'optique d'éviter que des personnes non autorisées aient accès aux immeubles commerciaux de CONCORDIA, seuls les collaborateurs de CONCORDIA disposant d'un badge ou d'une clé peuvent y accéder. 5

L'accès aux immeubles commerciaux de CONCORDIA est réglé dans les directives «Accès aux biens immobiliers commerciaux de CONCORDIA» et «Zutritts- und Schliessorganisation» (règlement en matière d'accès et de fermeture, disponible en allemand uniquement). La directive supplémentaire «Zutrittsrechte bei der Informatik» (droits d'accès aux locaux informatiques, disponible en allemand uniquement) concerne l'accès aux locaux informatiques. 11.2 Contrôle des supports de données Par le biais de mesures techniques et organisationnelles, CONCORDIA veille à ce qu'aucune personne non autorisée ne puisse lire, copier, modifier ou supprimer des données personnelles, introduire des données personnelles dans la mémoire, ni prendre connaissance des données mémorisées, les modifier ou les effacer. Il est possible de retracer dans les systèmes certaines modifications spécifiques effectuées par les collaborateurs. Différents règlements et directives rappellent à ces derniers la manière correcte de traiter les données. Dans ce contexte, la directive «Utilisation du matériel informatique, des logiciels et des données électroniques» est essentielle. L'unité d'entreprise Informatique se charge d'éliminer les supports de données en suivant un processus bien défini. 11.3 Contrôle du transport CONCORDIA garantit, au moyen de mesures techniques et organisationnelles (par exemple, cryptage des données ou directives relatives à la gestion des e-mails), qu aucune personne non autorisée ne puisse lire, copier, modifier ou effacer des données personnelles lors de leur communication ou lors du transport de supports de données. 11.4 Contrôle de communication Les destinataires auxquels des données personnelles sont communiquées font l objet d une identification, que ce soit manuellement ou par des moyens techniques. 11.5 Contrôle de mémoire Se référer au point 11.2 du présent règlement. 11.6 Contrôle d utilisation CONCORDIA dispose d'un programme de sécurité à plusieurs échelons adapté au besoin de protection des données. Les utilisateurs doivent s identifier pour accéder aux systèmes d'informations. 11.7 Contrôle d'accès Les autorisations d'accès aux données sont attribuées selon le principe du besoin de connaître (need-to-know principle), c'est-à-dire que seuls les droits nécessaires à l'exercice d'une fonction sont octroyés. L'attribution se base sur des profils d'autorisation. Des processus bien définis, complétés par des instruments techniques, permettent en outre de gérer les droits et les utilisateurs. Les autorisations attribuées font l'objet d'un contrôle ponctuel dans le cadre des processus de contrôle internes. 11.8 Contrôle de l introduction (journalisation) Les données personnelles saisies sont archivées chronologiquement dans le système d'information central. En cas d'abus ou de soupçon d'abus, elles peuvent être analysées. La 6

directive «Utilisation du matériel informatique, des logiciels et des données électroniques» en informe les collaborateurs. 12. Description des champs de données et des unités d'organisation qui y ont accès Dans le cadre de la déclaration du fichier, la description des champs de données et l illustration du système de gestion des autorisations figurent dans des règlements de traitement distincts. 13. Nature et étendue de l'accès des utilisateurs au fichier Chaque collaborateur dispose uniquement d'un accès aux données dont il a besoin pour réaliser ses tâches. Un système de gestion des autorisations règle les modalités d accès au fichier, définit les différents profils (rôles) et les fonctions autorisées, ainsi que l étendue de l accès aux données. Il contient également une liste approuvée des personnes autorisées à demander ces rôles et des responsables chargés d approuver les attributions. Les collaborateurs de CONCORDIA n ont pas accès aux données MCD (Minimal Clinical Dataset) parvenant au service indépendant de réception des données et traitées de manière automatisée par ce dernier. Lorsque des factures sont sélectionnées par le service de réception des données pour vérification, les collaborateurs chargés de vérifier le cas obtiennent un accès aux factures et aux MCD s y rapportant jusqu à la clôture du cas. 14. Procédures de traitement des données, notamment de rectification, de blocage, d anonymisation (pseudonymisation), de sauvegarde, de conservation, d archivage ou de destruction des données Les procédures relatives au traitement des données sont réglées dans des directives, règlements et manuels spécifiques (voir aussi les chapitres 13 et 15 du présent règlement). Les utilisateurs d'un fichier suivent régulièrement des formations sur les processus techniques et les règles applicables en matière de protection des données. 15. Configuration des moyens informatiques Les outils informatiques utilisés par CONCORDIA (matériel et logiciels) répondent à des normes internationales usuelles dans la branche. Ils sont soumis à un processus bien réglé dans le cadre de la gestion du cycle de vie. La configuration du matériel informatique figure dans des manuels d'exploitation et fait l'objet d'adaptations ponctuelles. 16. Procédure d'exercice du droit d'accès Les demandes d accès au sens de l'art. 8 LPD doivent être adressées à la préposée interne à la protection des données: CONCORDIA Assurance suisse de maladie et accidents SA Préposée à la protection des données Bundesplatz 15 6002 Lucerne 7

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back