Page 1 / 5 Politique de sécurité de l'information d comprend les fondations partenaires EGK Assurances de Base Mal) et ainsi que leurs filiales EGK Assurances Privées SA
Page 2 / 5 Informations importantes sur le document Classe de document: Documentation-cadre IT Titre du document: Politique de sécurité de l'information d Auteur responsable: Kilian Schmidlin Nom du fichier: 20150306 Informationssicherheitspolitik.docx Établissement commencé le: 25.09.2014 Dernier traitement le: 16.10.2014 Nombre de pages: 5 Niveau de confidentialité: V1 officiel Numéro de version: 1.0 Statut de traitement: validé Validé par: Reto Flury Directeur Amanda Brotschi Responsable Prestations / Administration des contrats Patrick Tanner Responsable ICT Preuve de modification Numéro de Statut de traitement Date Rédacteur Modification / remarque version 0.1 Version initiale 25.09.2014 K. Schmidlin 1.0 Validé 20.10.2014 K. Schmidlin comprend les fondations partenaires EGK Assurances de Base Mal) et ainsi que leurs filiales EGK Assurances Privées SA
Page 3 / 5 Domaine d'application La raison sociale, ci-après dénommée EGK, comprend les fondations partenaires EGK Assurances de Base (l assureur dans le cadre de l assurance obligatoire des soins de maladie) et ainsi que leurs filiales EGK Assurances Privées SA (l assureur dans le cadre des assurances complémentaires selon la LCA) et EGK Services La politique de sécurité de l'information d'egk s'applique à toutes les entreprises du groupe EGK. But La politique de sécurité de l'information fournit le cadre nécessaire pour assurer la sécurité de l'information au sein d'egk. Les informations et les données, notamment les données personnelles et sur la santé des assurés, sont d une importance cruciale pour EGK. Les mesures de protection des données et de sécurité servent à éviter dans la mesure du possible les faits dommageables ou respectivement à réduire leur fréquence et leurs effets et à les maintenir dans des limites acceptables et proportionnées. Objectifs de sécurité d'egk - Maintien des processus commerciaux centraux. - Haut niveau de sécurité et qualité lors du traitement de données et d informations et de la fourniture de prestations, en prenant en considération les prescriptions légales, le principe de la proportionnalité et des aspects économiques défendables. - Empêcher la survenance de dommages financiers ou la détérioration de la réputation d EGK du fait de la perte de données ou d informations, ou respectivement de la prise de connaissance de données et d informations par des personnes non autorisées. - Sensibilisation des collaborateurs à la sécurité et à la protection des données à tous les niveaux et dans tous les domaines opérationnels. ICT, division IT EGK Services SA exploite l'infrastructure ICT pour toutes les entreprises du groupe EGK et est responsable de la sécurité des données. Les différentes entreprises restent en tout cas propriétaires des données. Différents domaines opérationnels (service de réception des données, contrôle des factures électroniques avec SU- MEX II) sont confiés à Centris SA à Soleure, qui est responsable de la sécurité des données. Service de réception des données EGK renonce pour des raisons économiques ainsi que de sécurité et de protection des données à entretenir un propre service de réception des données. Elle confie cette tâche à un prestataire spécialisé, Centris SA à Soleure, qui propose un service de réception des données certifié en tant que prestation à l intention des assureurs-maladie. Centris SA assure un déroulement conforme aux prescriptions légales et aux impératifs de protection des données au sein du service de réception des données. comprend les fondations partenaires EGK Assurances de Base Mal) et ainsi que leurs filiales EGK Assurances Privées SA
Page 4 / 5 Le service de réception des données garantit que les factures d hôpitaux pour séjours stationnaires acheminées par voie électronique et les MCD sont automatiquement contrôlées par traitement électronique automatisé et que seules les factures qui nécessitent un contrôle détaillé sont déviées. Seul un petit groupe clairement défini de collaborateurs EGK a accès aux MCD déviées. Principes - Les dispositions légales, contractuelles et internes doivent être respectées en permanence lors du traitement de données et d'informations. - Les principes juridiques de la loi fédérale sur la protection des données (LPD) et de la loi fédérale sur l'assurance-maladie (LAMal) doivent notamment être observés pour les données et les informations sensibles d assurés. - Un règlement de traitement des données accessible à tous rendu public doit être établi conformément à l'art. 84b LAMal. - Il convient de veiller à ce que la disponibilité, l'intégrité et le traitement confidentiel de données et d informations d'egk sur ses assurés, collaborateurs et partenaires soient garantis en permanence. - Un concept de sauvegarde des données dans lequel sont définies les conditions-cadres pour les mesures organisationnelles et techniques visant à assurer la sécurité des données doit être établi. - Le besoin de protection des objets protégés (informations, applications, systèmes) est vérifié et les mesures de protection correspondantes sont mises en place. - Les données et les informations doivent être classifiées. - Les niveaux de classification sont indépendants de l'application dans laquelle les données et les informations sont mises à disposition. - Les changements d applications doivent être effectués selon un processus de gestion de Change-Management défini. - Les applications ICT d'egk sont soumises annuellement à une révision IT externe. - La conservation de données, d'informations et de documents relève des prescriptions légales; en cas de doute, un délai de conservation de 10 ans est applicable. - Si des données et des informations sont transmises à des tiers, la manière dont ces informations peuvent être utilisées, traitées et exploitées doit être convenue par contrat. La transmission de données a lieu sous forme anonyme ou via des supports de données et des canaux codés. - Les collaborateurs suivent une formation de base et continue sur la protection des données et la sécurité des informations. Cela permet de garantir qu'ils connaissent et appliquent les règlements de traitement en vigueur dans leur domaine. - Un concept d'autorisation par rôle garantit que les collaborateurs n ont accès qu aux données et informations dont ils ont besoin dans le cadre de leur activité. comprend les fondations partenaires EGK Assurances de Base Mal) et ainsi que leurs filiales EGK Assurances Privées SA
Page 5 / 5 Classification de données / informations / documents Les niveaux de classifications suivants sont appliqués: Niveau Données personnelles Informations / documents V1 officiel officiel V2 interne interne V3 données personnelles dignes d être protégées confidentiel (données sensibles) V4 données personnelles particulièrement dignes d être protégées (données très sensibles) secret Responsabilité La responsabilité de la sécurité des données et des informations ainsi que de la disponibilité et de l'intégrité des données incombe au ou à la responsable ICT. Les responsables ainsi que les cadres des différentes divisions répondent de la mise en œuvre dans leur domaine d attributions. Les collaborateurs sont invités à signaler à la direction de la division ou au/à la préposé-e interne à la protection des données les problèmes de sécurité rencontrés ou supposés. comprend les fondations partenaires EGK Assurances de Base Mal) et ainsi que leurs filiales EGK Assurances Privées SA