La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

KSZ-BCSS eGovernment, eHealth et protection de la vie privée Frank Robben Administrateur général Banque Carrefour sécurité sociale Administrateur délégué.

Présentations similaires


Présentation au sujet: "KSZ-BCSS eGovernment, eHealth et protection de la vie privée Frank Robben Administrateur général Banque Carrefour sécurité sociale Administrateur délégué."— Transcription de la présentation:

1 KSZ-BCSS eGovernment, eHealth et protection de la vie privée Frank Robben Administrateur général Banque Carrefour sécurité sociale Administrateur délégué Smals asbl Chaussée Saint-Pierre 375 B-1040 Bruxelles Site web BCSS: Site web personnel:

2 KSZ-BCSS 2 Banque Carrefour de la sécurité socialeBruxelles, le 18 avril 2008 eGovernment: attentes des utilisateurs n prestation de services effective par les autorités n soutien optimal de la politique des autorités n services intégrés -adaptés à la situation concrète des utilisateurs et, si possible, personnalisés -offerts lors de la survenance d'événements se produisant au cours de leur cycle de vie (naissance, école, travail, déménagement, maladie, pension, décès, création d'une entreprise, …) -tous niveaux de pouvoir, services publics et instances privées confondus n axés sur les processus propres n avec un minimum de coûts et de formalités administratives n si possible offerts de manière automatique n avec un apport actif de l'utilisateur (self-service - autonomie) n offerts de manière performante et conviviale n fiables, sécurisés et disponibles en permanence n par le biais de canaux qu'ils ont choisis (contact direct, téléphone, par la voie électronique,...) n tout en respectant la protection de la vie privée

3 KSZ-BCSS 3 Banque Carrefour de la sécurité socialeBruxelles, le 18 avril 2008 eHealth: attentes des utilisateurs n qualité optimale des soins de santé n sécurité optimale du patient n soutien optimal de la politique des soins de santé n services intégrés -multidisciplinaires -holistiques -continus -tous établissements de soins et prestataires de soins confondus n avec un minimum de coûts et de formalités administratives n avec un apport actif de l'utilisateur (self-service - autonomie) n offerts de manière performante et conviviale n fiables, sécurisés et disponibles en permanence n par le biais de canaux qu'ils ont choisis (contact direct, téléphone, par la voie électronique,...) n tout en respectant la protection de la vie privée

4 KSZ-BCSS 4 Banque Carrefour de la sécurité socialeBruxelles, le 18 avril 2008 Modèle Banque Carrefour n organisation d'un échange de données électronique efficace et dûment sécurisé et optimisation des processus entre de nombreux acteurs autonomes n tout en respectant leur autonomie et les missions qui leur sont confiées n sans enregistrement central en masse de données à caractère personnel n en vue d'une prestation de services électronique intégrée qui répond aux attentes des utilisateurs (citoyens, entreprises, professionnels, …) n sur la base de principes communs en matière de -modélisation des informations -collecte unique et réutilisation des informations -gestion de l'information dans des sources authentiques distribuées -échange électronique d'informations -sécurisation des informations et protection de la vie privée n coordonnée, stimulée et organisée par un intégrateur de services assumant une fonction de carrefour

5 KSZ-BCSS 5 Banque Carrefour de la sécurité socialeBruxelles, le 18 avril 2008 Réglementation vie privée: principes de base n réglementation bien développée en matière de protection de la vie privée comporte des principes de base -traitement loyal et licite -finalité traitement pour des finalités déterminées, explicites et légitimes tant lors de la collecte des données à caractère personnel que lors de leur traitement ultérieur (compatible avec la finalité initiale) -proportionnalité: au regard de la finalité du traitement, les données à caractère personnel traitées doivent être adéquates pertinentes et non excessives -qualité actualiser corriger supprimer

6 KSZ-BCSS 6 Banque Carrefour de la sécurité socialeBruxelles, le 18 avril 2008 Réglementation vie privée: principes de base n réglementation bien développée en matière de protection de la vie privée comporte des principes de base -durée de conservation raisonnable -communication d'informations lors de la collecte de données à caractère personnel auprès de l'intéressé lors de l'enregistrement / de la communication de données à caractère personnel -mesures de sécurité techniques et organisationnelles adéquates, basées sur une évaluation de l'état de la technique par rapport au coût des mesures de la nature des données par rapport aux risques potentiels -droits de la personne concernée information accès correction suppression -règles spécifiques pour le traitement de données judiciaires et de données relatives à la santé sensibles

7 KSZ-BCSS 7 Banque Carrefour de la sécurité socialeBruxelles, le 18 avril 2008 Vie privée: mise en forme concrète n ensemble homogène de mesures pour toutes les instances concernées : le maillon le plus faible détermine le degré de sécurité -structurelles: effets protecteurs découlant du concept -organisationnelles -en matière de personnel -juridiques -techniques -physiques n la sécurité de l'information et la protection de la vie privée doivent être prises en compte dans le cadre de valeurs de toute instance qui traite des informations et doivent donc être un souci quotidien de chacun lors de l'exécution de tâches, elles doivent être prévues dans les systèmes d'information dès la phase de conception

8 KSZ-BCSS 8 Banque Carrefour de la sécurité socialeBruxelles, le 18 avril 2008 Mesures structuelles n éviter un enregistrement de données centralisé inutile: intégration de services, pas d'intégration de données Internet VPN via Internet FedMAN Répertoire services SPF SPP SPF ISS Répertoire services Extranet sécurité sociale ISS Répertoire services Extranet communauté ou région SPR/C Répertoire services Intégrateur de services (Fedict) Intégrateur de services (BCSS) Intégrateur de services (plate-forme eHealth) Intégrateur de services (Corve, Easi-wal CIBG, …) Hôpital Médecin généraliste

9 KSZ-BCSS 9 Banque Carrefour de la sécurité socialeBruxelles, le 18 avril 2008 Mesures structuelles n répertoires des références -structure la table qui-où-quand-en quelle qualité (répertoire des personnes) : quelles personnes possèdent des dossiers sous quelles qualités auprès de quels acteurs pour quelles périodes ? la table quoi-où (table des données disponibles) : quels types de données à caractère personnel sont disponibles auprès de quels types d'acteurs dans les différents types de dossiers ? la table qui-peut obtenir-quoi (table des autorisations d’accès) : quels types d'acteurs peuvent obtenir quelles données à caractère personnel concernant les différents types de dossiers et pour quelles périodes ? quelles données à caractère personnel concernant les différents types de dossiers sont communiquées automatiquement dans quelles circonstances? -fonctions routage des informations contrôle d’accès préventif communication automatique des données modifiées -pas d’enregistrement massif et centralisé de données à caractère personnel

10 KSZ-BCSS 10 Banque Carrefour de la sécurité socialeBruxelles, le 18 avril 2008 Mesures structuelles n institution de comités sectoriels au sein de la Commission de la Protection de la Vie Privée (CPVP) -composés de représentants de la CPVP spécialistes dans le domaine (p.ex. sécurité sociale, soins de santé, …) indépendants, désignés par la Chambre des Représentants -tâches accorder des autorisations pour l’échange (électronique) de données à caractère personnel, dans les cas autres que ceux autorisés par la loi déterminer l’organisation et les directives en matière de sécurité de l’information lors du traitement de données à caractère personnel dans le domaine concerné fournir des avis et des recommandations en matière de sécurité de l’information lors du traitement de données à caractère personnel dans le domaine concerné traiter les plaintes en matière d’infraction à la sécurité de l’information lors du traitement de données à caractère personnel dans le domaine concerné

11 KSZ-BCSS 11 Banque Carrefour de la sécurité socialeBruxelles, le 18 avril 2008 Mesures structuelles n contrôle préventif de la légitimité de l'échange de données à caractère personnel par un intégrateur de services (BCSS, plate-forme eHealth, Fedict, Corve, Easi-Wal, CIBG, …) -qui est indépendant du fournisseur et de l'utilisateur des données à caractère personnel (trusted third party ou TTP) -qui ne traite pas le contenu des données à caractère personnel -qui dans l'idéal est géré par des représentants des personnes concernées n tout échange électronique de données à caractère personnel fait l’objet d’un logging afin de pouvoir éventuellement tracer par la suite tout usage impropre

12 KSZ-BCSS 12 Banque Carrefour de la sécurité socialeBruxelles, le 18 avril 2008 Mesures structuelles n service de sécurité de l'information auprès de chaque organisation concernée avec une fonction de conseil, de stimulation, de documentation et de contrôle interne n service(s) de sécurité de l'information spécialisé(s) agréé(s) qui soutiennent les services de sécurité de l'information internes n groupes de travail en matière de sécurité de l'information et de protection de la vie privée dans les divers domaines n transparence vis-à-vis des personnes concernées -les autorisations des comités sectoriels sont publiques -chaque fois que des données à caractère personnel sont utilisées pour une décision, les données à caractère personnel utilisées sont communiquées à l’intéressé lors de la notification de la décision -toute personne a un droit d’accès et, si les données sont incorrectes, de correction de ses propres données personnelles, en ce compris les loggings

13 KSZ-BCSS 13 Banque Carrefour de la sécurité socialeBruxelles, le 18 avril 2008 Principe de « cercles de confiance » n but -éviter une centralisation inutile -éviter des menaces inutiles pour la protection de la vie privée -éviter des contrôles identiques et des enregistrements multiples de loggings n méthode: répartition des tâches entre les instances concernées par la prestation de services électroniques avec des accords précis en ce qui concerne les questions suivantes : -quelle instance réalise quelles authentifications, quelles vérifications et quels contrôles à l’aide de quels moyens et qui en est responsable -la manière selon laquelle les résultats des authentifications, des vérifications et des contrôles réalisés sont communiqués par la voie électronique, d'une manière sécurisée, entre les instances concernées -quelle instance conserve quels loggings -comment veiller à ce qu'en cas d'investigation, à l’initiative d’un organisme de contrôle ou à l'occasion d'une plainte, un traçage complet puisse avoir lieu: à savoir quelle personne physique a utilisé quel service ou quelle transaction concernant quel citoyen ou quelle entreprise, à quel moment, par le biais de quel canal et pour quelles finalités

14 KSZ-BCSS 14 Banque Carrefour de la sécurité socialeBruxelles, le 18 avril 2008 Cadre pour d'autres mesures n cadre pour des mesures sur le plan organisationnel, technique, physique et en matière de personnel : série de normes ISO politique de sécurité, affinée progressivement à l'aide de policies -organisation de la sécurité -classification et gestion des moyens de production -exigences de sécurité par rapport au personnel -protection physique de l'environnement (e.a. cryptage) -gestion des processus de communication et de maniement -protection de l'accès -développement et maintenance de systèmes -exigences particulières lors du traitement de données à caractère personnel -gestion de la continuité -contrôle interne et externe du respect -communication vis-à-vis des clients et de l'opinion publique en ce qui concerne la politique et les mesures de sécurité de l'information et de protection de la vie privée

15 KSZ-BCSS 15 Banque Carrefour de la sécurité socialeBruxelles, le 18 avril 2008 Exemple: gestion des utilisateurs & des accès n but -garantir que seules les instances autorisées aient accès -aux données à caractère personnel auxquelles elles peuvent avoir accès conformément à la loi ou aux autorisations du comité sectoriel compétent -relatives aux personnes dont les informations personnelles concernées leur sont nécessaires dans le cadre de l'accomplissement de leurs tâches n exigences -gestion des autorisations d’accès avec indication de quelle instance / application en quelle qualité peut avoir accès dans quelle situation à quels types de données concernant quelles personnes pour quelle période

16 KSZ-BCSS 16 Banque Carrefour de la sécurité socialeBruxelles, le 18 avril 2008 Exemple: gestion des utilisateurs & des accès n exigences -authentification de l’identité de l'utilisateur, par exemple au moyen de sa carte d’identité électronique -vérification en ligne de la qualité de l'utilisateur par une consultation électronique de la (des) banque(s) de données authentique(s) contenant les qualités -éventuellement vérification en ligne des mandats de l’utilisateur pour intervenir au nom d'une personne par une consultation électronique de la (des) banque(s) de données authentique(s) contenant les mandats -identification de la personne concernée

17 KSZ-BCSS 17 Banque Carrefour de la sécurité socialeBruxelles, le 18 avril 2008 Exemple: gestion des utilisateurs & des accès n organisation élaborée -l'autorisation d'utiliser un service est accordée par l'instance qui propose le service, si nécessaire moyennant une autorisation du comité sectoriel compétent -la conformité d’une demande d’accès concrète avec les autorisations d’accès est validée à titre préventif par l'intégrateur de services indépendant compétent, e.a. à l'aide des répertoires des références -tous les accès font l’objet d’une prise de trace (logging) électronique au niveau de l’utilisateur afin de pouvoir vérifier par la suite, en cas de plaintes, si l’accès était légitime (uniquement qui-quoi-quand, pas de contenu) -l’accès aux loggings est protégé de manière stricte

18 KSZ-BCSS 18 Banque Carrefour de la sécurité socialeBruxelles, le 18 avril 2008 Exemple: gestion des utilisateurs & des accès n organisation élaborée -l'authentification de l'identité de l'utilisateur intervient en fonction du niveau de sécurité requis à l'aide de la carte d’identité électronique un numéro d'utilisateur, un mot de passe et un token citoyen un numéro d'utilisateur et un mot de passe -la vérification des qualités et mandats intervient par un accès aux sources authentiques validées -le tout est développé sur base d’un modèle générique de policy enforcement

19 KSZ-BCSS 19 Banque Carrefour de la sécurité socialeBruxelles, le 18 avril 2008 Policy Enforcement Model Utilisateur Policy Application (PEP) Application Policy Decision (PDP) Action sur application Demande de décision Réponse décision Action sur application AUTORISÉE Policy Information (PIP) Information Question/ Réponse Policy Administration (PAP) Recherche policies Source authentique Policy Information (PIP) Information Question/ Réponse Policy repository Action sur application REFUSÉE Gestionnaire Gestion de l’autorisation Source authentique

20 KSZ-BCSS 20 Banque Carrefour de la sécurité socialeBruxelles, le 18 avril 2008 Policy Enforcement Point (PEP) n intercepter la demande d’autorisation avec toutes les informations disponibles concernant l’utilisateur, l’action demandée, les ressources et l’environnement n transmettre la demande d’autorisation au Policy Decision Point (PDP) et exiger une décision d’autorisation n donner accès à l’application et fournir les justificatifs pertinents Utilisateur Policy Application (PEP) Application Policy Décision(PDP) Action sur application Demande de décision, Réponse décision Action sur application AUTORISÉE Action sur application REFUSÉE

21 KSZ-BCSS 21 Banque Carrefour de la sécurité socialeBruxelles, le 18 avril 2008 Policy Decision Point (PDP) n sur la base de la demande d’autorisation reçue, rechercher la policy d’autorisation adéquate dans les Policy Administration Points (PAP) n évaluer la policy et, au besoin, rechercher les informations pertinentes dans les Policy Information Points (PIP) n prendre la décision d’autorisation (permit / deny / not applicable) et la communiquer au PEP Policy Application (PEP) Policy Décision(PDP) Demande de décision Réponse décision Policy Information (PIP) Question / Réponse Policy Administration (PAP) Recherche Policies Policy Information (PIP) Information Question/ Réponse Information

22 KSZ-BCSS 22 Banque Carrefour de la sécurité socialeBruxelles, le 18 avril 2008 Policy Administration Point (PAP) n environnement de sauvegarde et de gestion des policies d’autorisation par les personnes compétentes désignées par le responsable de l’application n mise à la disposition du PDP des policies d’autorisation PDP PAP Recherche Policies Gestionnaire Gestion de l’autorisation Policy repository

23 KSZ-BCSS 23 Banque Carrefour de la sécurité socialeBruxelles, le 18 avril 2008 Policy Information Point (PIP) n mise à la disposition du PDP de l’information pour l’évaluation des policies d’autorisation (sources authentiques avec caractéristiques, mandats, …) PDP PIP1 Information Question/ Réponse Source authentique PIP2 Source authentique Information Question/ Réponse

24 KSZ-BCSS 24 Banque Carrefour de la sécurité socialeBruxelles, le 18 avril 2008 APPLICATIONS AuthorisationAuthen- tication PEP Role Mapper USER PAP ‘’Kephas’’ Role Mapper DB PDP Role Provider PIP Attribute Provider Role Provider DB UMAF PIP Attribute Provider DB XYZ WebApp XYZ APPLICATIONS AuthorisationAuthen- tication PEP Role Mapper USER WebApp XYZ PIP Attribute Provider PAP ‘’Kephas’’ Role Mapper DB PDP Role Provider Role Provider DB Gestion SAV PIP Attribute Provider DB XYZ PIP Attribute Provider DB Huissier de justice PIP Attribute Provider DB Mandats eHealth APPLICATIONS AuthorisationAuthen- tication PEP Role Mapper USER PAP ‘’Kephas’’ Role Mapper DB PDP Role Provider PIP Attribute Provider Role Provider DB INAMI PIP Attribute Provider DB XYZ WebApp XYZ Gestion SAV PIP Attribute Provider DB Mandats Secteur social (BCSS) SPF hors social (Fedict) Gestion SAV DB XYZ Implémentation pour l'ensemble des secteurs

25 KSZ-BCSS 25 Banque Carrefour de la sécurité socialeBruxelles, le 18 avril 2008 UN Public Service Award 2006

26 KSZ-BCSS 26 Banque Carrefour de la sécurité socialeBruxelles, le 18 avril 2008 European Public Service Award 2007

27 KSZ-BCSS 27 Banque Carrefour de la sécurité socialeBruxelles, le 18 avril 2008 Pour plus d’informations n site web de la Commission de la Protection de la Vie Privée -http://www.privacycommission.behttp://www.privacycommission.be n site web de la Banque Carrefour de la sécurité sociale -http://www.bcss.fgov.behttp://www.bcss.fgov.be n site web personnel de Frank Robben -http://www.law.kuleuven.ac.be/icri/frobbenhttp://www.law.kuleuven.ac.be/icri/frobben


Télécharger ppt "KSZ-BCSS eGovernment, eHealth et protection de la vie privée Frank Robben Administrateur général Banque Carrefour sécurité sociale Administrateur délégué."

Présentations similaires


Annonces Google