La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

eGovernment, eHealth et protection de la vie privée

Publié parCampion Nguyen Modifié depuis plus de 9 années

Présentations similaires

Présentation au sujet: "eGovernment, eHealth et protection de la vie privée"— Transcription de la présentation:

1 eGovernment, eHealth et protection de la vie privée
KSZ-BCSS eGovernment, eHealth et protection de la vie privée Frank Robben Administrateur général Banque Carrefour sécurité sociale Administrateur délégué Smals asbl Chaussée Saint-Pierre 375 B-1040 Bruxelles Site web BCSS: Site web personnel:

2 eGovernment: attentes des utilisateurs
prestation de services effective par les autorités soutien optimal de la politique des autorités services intégrés adaptés à la situation concrète des utilisateurs et, si possible, personnalisés offerts lors de la survenance d'événements se produisant au cours de leur cycle de vie (naissance, école, travail, déménagement, maladie, pension, décès, création d'une entreprise, …) tous niveaux de pouvoir, services publics et instances privées confondus axés sur les processus propres avec un minimum de coûts et de formalités administratives si possible offerts de manière automatique avec un apport actif de l'utilisateur (self-service - autonomie) offerts de manière performante et conviviale fiables, sécurisés et disponibles en permanence par le biais de canaux qu'ils ont choisis (contact direct, téléphone, par la voie électronique, ...) tout en respectant la protection de la vie privée

3 eHealth: attentes des utilisateurs
qualité optimale des soins de santé sécurité optimale du patient soutien optimal de la politique des soins de santé services intégrés multidisciplinaires holistiques continus tous établissements de soins et prestataires de soins confondus avec un minimum de coûts et de formalités administratives avec un apport actif de l'utilisateur (self-service - autonomie) offerts de manière performante et conviviale fiables, sécurisés et disponibles en permanence par le biais de canaux qu'ils ont choisis (contact direct, téléphone, par la voie électronique, ...) tout en respectant la protection de la vie privée

4 Modèle Banque Carrefour
organisation d'un échange de données électronique efficace et dûment sécurisé et optimisation des processus entre de nombreux acteurs autonomes tout en respectant leur autonomie et les missions qui leur sont confiées sans enregistrement central en masse de données à caractère personnel en vue d'une prestation de services électronique intégrée qui répond aux attentes des utilisateurs (citoyens, entreprises, professionnels, …) sur la base de principes communs en matière de modélisation des informations collecte unique et réutilisation des informations gestion de l'information dans des sources authentiques distribuées échange électronique d'informations sécurisation des informations et protection de la vie privée coordonnée, stimulée et organisée par un intégrateur de services assumant une fonction de carrefour

5 Réglementation vie privée: principes de base
réglementation bien développée en matière de protection de la vie privée comporte des principes de base traitement loyal et licite finalité traitement pour des finalités déterminées, explicites et légitimes tant lors de la collecte des données à caractère personnel que lors de leur traitement ultérieur (compatible avec la finalité initiale) proportionnalité: au regard de la finalité du traitement, les données à caractère personnel traitées doivent être adéquates pertinentes et non excessives qualité actualiser corriger supprimer

6 Réglementation vie privée: principes de base
réglementation bien développée en matière de protection de la vie privée comporte des principes de base durée de conservation raisonnable communication d'informations lors de la collecte de données à caractère personnel auprès de l'intéressé lors de l'enregistrement / de la communication de données à caractère personnel mesures de sécurité techniques et organisationnelles adéquates, basées sur une évaluation de l'état de la technique par rapport au coût des mesures de la nature des données par rapport aux risques potentiels droits de la personne concernée information accès correction suppression règles spécifiques pour le traitement de données judiciaires et de données relatives à la santé sensibles

7 Vie privée: mise en forme concrète
ensemble homogène de mesures pour toutes les instances concernées : le maillon le plus faible détermine le degré de sécurité structurelles: effets protecteurs découlant du concept organisationnelles en matière de personnel juridiques techniques physiques la sécurité de l'information et la protection de la vie privée doivent être prises en compte dans le cadre de valeurs de toute instance qui traite des informations et doivent donc être un souci quotidien de chacun lors de l'exécution de tâches, elles doivent être prévues dans les systèmes d'information dès la phase de conception

8 Mesures structuelles éviter un enregistrement de données centralisé inutile: intégration de services, pas d'intégration de données Intégrateur de services (plate-forme eHealth) Hôpital Médecin généraliste VPN via Internet Répertoire services Intégrateur de services (BCSS) ISS Répertoire services Intégrateur de services (Corve, Easi-wal CIBG, …) Extranet sécurité sociale ISS Internet SPF SPF Extranet communauté ou région SPF Répertoire services FedMAN Intégrateur de services (Fedict) SPR/C SPR/C SPP Répertoire services

9 Mesures structuelles répertoires des références structure fonctions
la table qui-où-quand-en quelle qualité (répertoire des personnes) : quelles personnes possèdent des dossiers sous quelles qualités auprès de quels acteurs pour quelles périodes ? la table quoi-où (table des données disponibles) : quels types de données à caractère personnel sont disponibles auprès de quels types d'acteurs dans les différents types de dossiers ? la table qui-peut obtenir-quoi (table des autorisations d’accès) : quels types d'acteurs peuvent obtenir quelles données à caractère personnel concernant les différents types de dossiers et pour quelles périodes ? quelles données à caractère personnel concernant les différents types de dossiers sont communiquées automatiquement dans quelles circonstances? fonctions routage des informations contrôle d’accès préventif communication automatique des données modifiées pas d’enregistrement massif et centralisé de données à caractère personnel

10 Mesures structuelles institution de comités sectoriels au sein de la Commission de la Protection de la Vie Privée (CPVP) composés de représentants de la CPVP spécialistes dans le domaine (p.ex. sécurité sociale, soins de santé, …) indépendants, désignés par la Chambre des Représentants tâches accorder des autorisations pour l’échange (électronique) de données à caractère personnel, dans les cas autres que ceux autorisés par la loi déterminer l’organisation et les directives en matière de sécurité de l’information lors du traitement de données à caractère personnel dans le domaine concerné fournir des avis et des recommandations en matière de sécurité de l’information lors du traitement de données à caractère personnel dans le domaine concerné traiter les plaintes en matière d’infraction à la sécurité de l’information lors du traitement de données à caractère personnel dans le domaine concerné

11 Mesures structuelles contrôle préventif de la légitimité de l'échange de données à caractère personnel par un intégrateur de services (BCSS, plate-forme eHealth, Fedict, Corve, Easi-Wal, CIBG, …) qui est indépendant du fournisseur et de l'utilisateur des données à caractère personnel (trusted third party ou TTP) qui ne traite pas le contenu des données à caractère personnel qui dans l'idéal est géré par des représentants des personnes concernées tout échange électronique de données à caractère personnel fait l’objet d’un logging afin de pouvoir éventuellement tracer par la suite tout usage impropre

12 Mesures structuelles service de sécurité de l'information auprès de chaque organisation concernée avec une fonction de conseil, de stimulation, de documentation et de contrôle interne service(s) de sécurité de l'information spécialisé(s) agréé(s) qui soutiennent les services de sécurité de l'information internes groupes de travail en matière de sécurité de l'information et de protection de la vie privée dans les divers domaines transparence vis-à-vis des personnes concernées les autorisations des comités sectoriels sont publiques chaque fois que des données à caractère personnel sont utilisées pour une décision, les données à caractère personnel utilisées sont communiquées à l’intéressé lors de la notification de la décision toute personne a un droit d’accès et, si les données sont incorrectes, de correction de ses propres données personnelles, en ce compris les loggings

13 Principe de « cercles de confiance »
but éviter une centralisation inutile éviter des menaces inutiles pour la protection de la vie privée éviter des contrôles identiques et des enregistrements multiples de loggings méthode: répartition des tâches entre les instances concernées par la prestation de services électroniques avec des accords précis en ce qui concerne les questions suivantes : quelle instance réalise quelles authentifications, quelles vérifications et quels contrôles à l’aide de quels moyens et qui en est responsable la manière selon laquelle les résultats des authentifications, des vérifications et des contrôles réalisés sont communiqués par la voie électronique, d'une manière sécurisée, entre les instances concernées quelle instance conserve quels loggings comment veiller à ce qu'en cas d'investigation, à l’initiative d’un organisme de contrôle ou à l'occasion d'une plainte, un traçage complet puisse avoir lieu: à savoir quelle personne physique a utilisé quel service ou quelle transaction concernant quel citoyen ou quelle entreprise, à quel moment, par le biais de quel canal et pour quelles finalités

14 Cadre pour d'autres mesures
cadre pour des mesures sur le plan organisationnel, technique, physique et en matière de personnel : série de normes ISO 27000 politique de sécurité, affinée progressivement à l'aide de policies organisation de la sécurité classification et gestion des moyens de production exigences de sécurité par rapport au personnel protection physique de l'environnement (e.a. cryptage) gestion des processus de communication et de maniement protection de l'accès développement et maintenance de systèmes exigences particulières lors du traitement de données à caractère personnel gestion de la continuité contrôle interne et externe du respect communication vis-à-vis des clients et de l'opinion publique en ce qui concerne la politique et les mesures de sécurité de l'information et de protection de la vie privée

15 Exemple: gestion des utilisateurs & des accès
but garantir que seules les instances autorisées aient accès aux données à caractère personnel auxquelles elles peuvent avoir accès conformément à la loi ou aux autorisations du comité sectoriel compétent relatives aux personnes dont les informations personnelles concernées leur sont nécessaires dans le cadre de l'accomplissement de leurs tâches exigences gestion des autorisations d’accès avec indication de quelle instance / application en quelle qualité peut avoir accès dans quelle situation à quels types de données concernant quelles personnes pour quelle période

16 Exemple: gestion des utilisateurs & des accès
exigences authentification de l’identité de l'utilisateur, par exemple au moyen de sa carte d’identité électronique vérification en ligne de la qualité de l'utilisateur par une consultation électronique de la (des) banque(s) de données authentique(s) contenant les qualités éventuellement vérification en ligne des mandats de l’utilisateur pour intervenir au nom d'une personne par une consultation électronique de la (des) banque(s) de données authentique(s) contenant les mandats identification de la personne concernée

17 Exemple: gestion des utilisateurs & des accès
organisation élaborée l'autorisation d'utiliser un service est accordée par l'instance qui propose le service, si nécessaire moyennant une autorisation du comité sectoriel compétent la conformité d’une demande d’accès concrète avec les autorisations d’accès est validée à titre préventif par l'intégrateur de services indépendant compétent, e.a. à l'aide des répertoires des références tous les accès font l’objet d’une prise de trace (logging) électronique au niveau de l’utilisateur afin de pouvoir vérifier par la suite, en cas de plaintes, si l’accès était légitime (uniquement qui-quoi-quand, pas de contenu) l’accès aux loggings est protégé de manière stricte

18 Exemple: gestion des utilisateurs & des accès
organisation élaborée l'authentification de l'identité de l'utilisateur intervient en fonction du niveau de sécurité requis à l'aide de la carte d’identité électronique un numéro d'utilisateur, un mot de passe et un token citoyen un numéro d'utilisateur et un mot de passe la vérification des qualités et mandats intervient par un accès aux sources authentiques validées le tout est développé sur base d’un modèle générique de policy enforcement

19 Policy Enforcement Model
Action sur application Action REFUSÉE Policy sur application Utilisateur Application Application AUTORISÉE ( PEP ) Action sur application Demande Réponse de décision décision Information Question / Recherche Policy Decision Réponse policies (PDP) Information Question / Réponse Gestion de l’autorisation Policy Administration Policy Information Policy Information (PAP) (PIP) (PIP) Gestionnaire Policy Source authentique Source authentique repository

20 Policy Enforcement Point (PEP)
intercepter la demande d’autorisation avec toutes les informations disponibles concernant l’utilisateur, l’action demandée, les ressources et l’environnement transmettre la demande d’autorisation au Policy Decision Point (PDP) et exiger une décision d’autorisation donner accès à l’application et fournir les justificatifs pertinents Action sur application Action REFUSÉE Policy sur Utilisateur Application application AUTORISÉE Application Action ( PEP ) sur application Demande Réponse de décision, décision Policy Décision ( PDP )

21 Policy Decision Point (PDP)
sur la base de la demande d’autorisation reçue, rechercher la policy d’autorisation adéquate dans les Policy Administration Points (PAP) évaluer la policy et, au besoin, rechercher les informations pertinentes dans les Policy Information Points (PIP) prendre la décision d’autorisation (permit / deny / not applicable) et la communiquer au PEP Policy Application ( PEP ) Demande de Réponse décision décision Information Policy Question / Recherche Réponse Policies Décision ( PDP ) Information Question / Réponse Policy Administration Policy Information Policy Information ( PAP ) ( PIP ) ( PIP )

22 Policy Administration Point (PAP)
environnement de sauvegarde et de gestion des policies d’autorisation par les personnes compétentes désignées par le responsable de l’application mise à la disposition du PDP des policies d’autorisation Gestion Recherche de l’autorisation PAP Policies PDP Gestionnaire Policy repository

23 Policy Information Point (PIP)
mise à la disposition du PDP de l’information pour l’évaluation des policies d’autorisation (sources authentiques avec caractéristiques, mandats, …) Information Question/ PDP Réponse Information Question/ Réponse PIP 1 PIP 2 Source authentique Source authentique

24 Implémentation pour l'ensemble des secteurs
eHealth Secteur social (BCSS) SPF hors social (Fedict) USER USER USER APPLICATIONS APPLICATIONS APPLICATIONS Authen - Authorisation Authen - Authorisation Authen - Authorisation tication PEP WebApp tication PEP WebApp tication PEP WebApp Role Mapper XYZ Role XYZ Role Mapper Mapper XYZ Role Role Role Mapper Mapper Mapper DB DB DB PDP Role PDP Role PDP PAP PAP Role PAP Role Provider Role Provider Role Provider DB ‘’Kephas’’ ‘’Kephas’’ Provider Provider DB ‘’Kephas’’ Provider DB PIP PIP PIP PIP PIP PIP PIP PIP PIP Attribute Attribute Attribute Attribute Attribute Attribute Attribute Attribute Attribute Provider Provider Provider Provider Provider Provider Provider Provider Provider DB DB Gestion DB DB Gestion Huissier de justice DB DB DB Gestion Mandats INAMI XYZ SAV Mandats UMAF XYZ SAV XYZ XYZ SAV

25 UN Public Service Award 2006

26 European Public Service Award 2007

27 Pour plus d’informations
site web de la Commission de la Protection de la Vie Privée site web de la Banque Carrefour de la sécurité sociale site web personnel de Frank Robben

Télécharger ppt "eGovernment, eHealth et protection de la vie privée"

Présentations similaires

Université d’automne du ME-F

Université d’automne du ME-F
Présenté à Par. 2 3Termes et définitions 3.7 compétence aptitude à mettre en pratique des connaissances et un savoir-faire pour obtenir les résultats.

Présenté à Par. 2 3Termes et définitions 3.7 compétence aptitude à mettre en pratique des connaissances et un savoir-faire pour obtenir les résultats.
Laccès distant aux bases bibliographiques J. Gutierrez / B.Nominé – Université Nancy 2.

Laccès distant aux bases bibliographiques J. Gutierrez / B.Nominé – Université Nancy 2.
Module 4- Caractéristiques générales de l'évaluation

Module 4- Caractéristiques générales de l'évaluation
Addis-Abeba 21-25 novembre 2005 La Coordination du Système Statistique Atelier régional sur « Organisation et gestion des systèmes statistiques nationaux.

Addis-Abeba novembre 2005 La Coordination du Système Statistique Atelier régional sur « Organisation et gestion des systèmes statistiques nationaux.
Séminaire certification STC 23 mars 2010 - Zaragoza Conseil Régional Aquitaine Autorité nationale France programme POCTEFA 2007-2013 1 POCTEFA 2007-2013.

Séminaire certification STC 23 mars Zaragoza Conseil Régional Aquitaine Autorité nationale France programme POCTEFA POCTEFA
La politique de Sécurité

La politique de Sécurité
CADRE ORGANISATIONNEL ET JURIDIQUE

CADRE ORGANISATIONNEL ET JURIDIQUE
1 Article 1 – Loi du 9 janvier 1978 « Linformatique doit être au service de chaque citoyen « « Elle ne doit porter atteinte ni à lidentité de lhomme, ni.

1 Article 1 – Loi du 9 janvier 1978 « Linformatique doit être au service de chaque citoyen « « Elle ne doit porter atteinte ni à lidentité de lhomme, ni.
Modifications apportées au rapport d’étape 2010 pour 2011

Modifications apportées au rapport d’étape 2010 pour 2011
User management pour les entreprises et les organisations Auteur / section: Gestion des accès.

User management pour les entreprises et les organisations Auteur / section: Gestion des accès.
23/05/2006 Résultat Final Business Consulting Services Pré-étude portant sur l'implémentation et l'organisation d'un système de gestion des connaissances.

23/05/2006 Résultat Final Business Consulting Services Pré-étude portant sur l'implémentation et l'organisation d'un système de gestion des connaissances.
La mise en place du Règlement sur la diffusion de linformation Un travail déquipe.

La mise en place du Règlement sur la diffusion de linformation Un travail déquipe.
La plateforme eHealth: concept et état d'avancement

La plateforme eHealth: concept et état d'avancement
Gestion des risques Contrôle Interne

Gestion des risques Contrôle Interne
Une approche pour un espace de confiance des collectivités locales.

Une approche pour un espace de confiance des collectivités locales.
Le portail personnel pour les professionnels du chiffre

Le portail personnel pour les professionnels du chiffre
Frank Robben Administrateur général de la Banque Carrefour de la sécurité sociale Quai de Willebroeck, 38 B-1000 Bruxelles

Frank Robben Administrateur général de la Banque Carrefour de la sécurité sociale Quai de Willebroeck, 38 B-1000 Bruxelles
Le rôle des villes et communes dans le-government du secteur social KSZ-BCSS Banque Carrefour de la sécurité sociale Emmanuel Quintin Administrateur général.

Le rôle des villes et communes dans le-government du secteur social KSZ-BCSS Banque Carrefour de la sécurité sociale Emmanuel Quintin Administrateur général.
Frank Robben Administrateur général Banque Carrefour sécurité sociale

Frank Robben Administrateur général Banque Carrefour sécurité sociale

Présentations similaires

Annonces Google