eGovernment, eHealth et protection de la vie privée

Slides:



Advertisements
Présentations similaires
Université d’automne du ME-F
Advertisements

Présenté à Par. 2 3Termes et définitions 3.7 compétence aptitude à mettre en pratique des connaissances et un savoir-faire pour obtenir les résultats.
Laccès distant aux bases bibliographiques J. Gutierrez / B.Nominé – Université Nancy 2.
Module 4- Caractéristiques générales de l'évaluation
Addis-Abeba novembre 2005 La Coordination du Système Statistique Atelier régional sur « Organisation et gestion des systèmes statistiques nationaux.
Séminaire certification STC 23 mars Zaragoza Conseil Régional Aquitaine Autorité nationale France programme POCTEFA POCTEFA
La politique de Sécurité
CADRE ORGANISATIONNEL ET JURIDIQUE
1 Article 1 – Loi du 9 janvier 1978 « Linformatique doit être au service de chaque citoyen « « Elle ne doit porter atteinte ni à lidentité de lhomme, ni.
Modifications apportées au rapport d’étape 2010 pour 2011
User management pour les entreprises et les organisations Auteur / section: Gestion des accès.
23/05/2006 Résultat Final Business Consulting Services Pré-étude portant sur l'implémentation et l'organisation d'un système de gestion des connaissances.
La mise en place du Règlement sur la diffusion de linformation Un travail déquipe.
La plateforme eHealth: concept et état d'avancement
Gestion des risques Contrôle Interne
Une approche pour un espace de confiance des collectivités locales.
Le portail personnel pour les professionnels du chiffre
Frank Robben Administrateur général de la Banque Carrefour de la sécurité sociale Quai de Willebroeck, 38 B-1000 Bruxelles
Le rôle des villes et communes dans le-government du secteur social KSZ-BCSS Banque Carrefour de la sécurité sociale Emmanuel Quintin Administrateur général.
Frank Robben Administrateur général Banque Carrefour sécurité sociale
KSZ-BCSS E-Government dans le secteur de la sécurité sociale belge et la Banque Carrefour de la Sécurité Sociale Frank ROBBEN Administrateur général Banque.
Norme de service - Attractions et événements 1 Introduction à la norme de service Attractions et événements Session de formation 3 P
Projet : Carte médicale électronique Rencontres provinciales – automne 2010.
Le Travail Collaboratif ...
Configuration de Windows Server 2008 Active Directory
La stratégie E-government de lautorité fédérale Frank Robben Administrateur général Banque Carrefour de la Sécurité Sociale Chaussée Saint-Pierre
Rôle de la norme ISO 9001:2000 dans le domaine des acquisitions Gilles D. Béland, ing Conseiller qualité Acquisition Centre des services partagés 9 juin.
Système d’information
Prima-Web Janvier SERUVIRE Attaché SPP Intégration Sociale Avril 2005.
RECHERCHE COMMERCIALE
1 BeHealth Pourquoi BeHealth ? Cest quoi BeHealth ? Où en sommes-nous ? … mais aussi des réponses Beaucoup de questions …
SEMINAIRE DE CONTACT novembre 2008 Outils de gestion de projet.
ORGANISATION DES ADMINISTRATIONS ET DE L’ÉTAT FRANÇAIS
LA VÉRIFICATION DES ANTÉCÉDENTS JUDICIAIRES
Frank Robben Administrateur général plate-forme eHealth
La plate-forme eHealth: objectifs, situation actuelle et priorités
La plate-forme eHealth: objectifs, organisation, situation actuelle et priorités Frank Robben Administrateur général Plate-forme eHealth Chaussée Saint-Pierre.
Frank Robben Coordinateur plate-forme eHealth
EHealth avec respect de la vie privée et du secret professionnel Frank Robben Administrateur général Plate-forme eHealth Chaussée Saint-Pierre 375 B-1040.
Frank Robben Coordinateur plate-forme eHealth
Présentation de M e Christiane Larouche Service juridique, FMOQ 28 mai 2014.
ANALYSE METHODE & OUTILS
XLAB : Formation Initiale Paramétrage Commande – Service Fait – Factures Missions Echanges et sauvegardes Outils et bases de données.
Les services de santé en français et l’intégration du système de santé en Ontario Forum Santé Centre-Sud-Ouest 2009 Le 23 mars 2009.
Page 1 Présentation à la Commission des finances du Grand Conseil - 14 mai 2014 Préposé cantonal à la protection des données et à la transparence.
Votre espace Web Entreprises Article 39 Démonstration.
Présentation Date de la présentation Une approche collaborative au niveau provincial en matière d’apprentisssage par l’expérience.
Management public local et performance : Réflexion et application d’une approche de gestion intégrée par résultats. Cas de deux organisations communales.
1 L’évaluation de l’Entente entre le MCC et les CRC 19 mai 2005 Colloque SQEP Les résultats générés par la performance organisationnelle.
Une vision sur la collaboration électronique dans les soins de santé, basée sur l’expérience acquise dans le secteur social, et le rôle possible d’une.
Comité d’Hygiène, de Sécurité et des Conditions de Travail (CHSCT)
Norme de service - Attractions et événements 1 Introduction à la norme de service Attractions et événements Session de formation 4 P
Supports de formation au SQ Unifié
Utilisateurs en aval Downstream Users Utilisateurs en aval Downstream Users Daphné Hoyaux Jeudi 21 février 2013.
20 ans d'échanges de données électroniques et sécurisés au sein du secteur social dans le respect de la vie privée Frank Robben Administrateur g é n é.
Quelques défis en matière d’e-government pour les années à venir Frank Robben Administrateur général Banque Carrefour Sécurité Sociale Conseiller stratégique.
DOCUMENTS DE FORMATION CODEX FAO/OMS SECTION QUATRE LES BASES SCIENTIFIQUES DES TRAVAUX DU CODEX Module 4.5 Les JEMRA FOS-Module4-5.ppt.
Van De Sande J.M. SPF Economie – DG Potentiel économique directive «services»
Suggestions pour le développement réussi de l’E-government KSZ-BCSS Frank Robben Administrateur général Banque Carrefour sécurité sociale Conseiller stratégique.
ISO 9001:2000 MESURE, ANALYSE et AMELIORATION Interprétation
DOCUMENTS DE FORMATION CODEX FAO/OMS SECTION TROIS LES BASES DES ACTIVITES NATIONALES DU CODEX Module 3.2 Comment mettre au point des positions nationales.
Explication de la plate-forme eHealth Frank Robben Administrateur général Banque Carrefour de la sécurité sociale Chaussée Saint-Pierre 375 B-1040 Bruxelles.
BAD- BERD Conférence régionale sur les Marchés Publics Marrakech 22 et 23 Avril 2013 Délégation jordanienne.
Module 3 : Création d'un domaine Windows 2000
KSZ-BCSS Frank ROBBEN - Administrateur général Banque Carrefour de la sécurité sociale Généralisation de l’usage de la carte d’identité électronique au.
1 Current status of the BeHealth platform: Activities and results Current status of the BeHealth platform: Activities and results.
EBir th © Fedict All rights reserved Notification Electronique des Naissances eHealth Info Day – 12/01/2011.
La plate-forme eHealth ICT InfoDay 2 mars /03/2011 Services de base plate-forme eHealth Réseau Schéma plate-forme de collaboration Patients,
ISO 9001:2000 Interprétation Article 7 Réalisation du produit
Plate-forme eHealth tend vers la médaille d'or Frank Robben Administrateur général Banque Carrefour de la sécurité sociale Chaussée Saint-Pierre 375 B-1040.
Transcription de la présentation:

eGovernment, eHealth et protection de la vie privée KSZ-BCSS eGovernment, eHealth et protection de la vie privée Frank Robben Administrateur général Banque Carrefour sécurité sociale Administrateur délégué Smals asbl Chaussée Saint-Pierre 375 B-1040 Bruxelles E-mail: Frank.Robben@bcss.fgov.be Site web BCSS: www.bcss.fgov.be Site web personnel: www.law.kuleuven.ac.be/icri/frobben

eGovernment: attentes des utilisateurs prestation de services effective par les autorités soutien optimal de la politique des autorités services intégrés adaptés à la situation concrète des utilisateurs et, si possible, personnalisés offerts lors de la survenance d'événements se produisant au cours de leur cycle de vie (naissance, école, travail, déménagement, maladie, pension, décès, création d'une entreprise, …) tous niveaux de pouvoir, services publics et instances privées confondus axés sur les processus propres avec un minimum de coûts et de formalités administratives si possible offerts de manière automatique avec un apport actif de l'utilisateur (self-service - autonomie) offerts de manière performante et conviviale fiables, sécurisés et disponibles en permanence par le biais de canaux qu'ils ont choisis (contact direct, téléphone, par la voie électronique, ...) tout en respectant la protection de la vie privée

eHealth: attentes des utilisateurs qualité optimale des soins de santé sécurité optimale du patient soutien optimal de la politique des soins de santé services intégrés multidisciplinaires holistiques continus tous établissements de soins et prestataires de soins confondus avec un minimum de coûts et de formalités administratives avec un apport actif de l'utilisateur (self-service - autonomie) offerts de manière performante et conviviale fiables, sécurisés et disponibles en permanence par le biais de canaux qu'ils ont choisis (contact direct, téléphone, par la voie électronique, ...) tout en respectant la protection de la vie privée

Modèle Banque Carrefour organisation d'un échange de données électronique efficace et dûment sécurisé et optimisation des processus entre de nombreux acteurs autonomes tout en respectant leur autonomie et les missions qui leur sont confiées sans enregistrement central en masse de données à caractère personnel en vue d'une prestation de services électronique intégrée qui répond aux attentes des utilisateurs (citoyens, entreprises, professionnels, …) sur la base de principes communs en matière de modélisation des informations collecte unique et réutilisation des informations gestion de l'information dans des sources authentiques distribuées échange électronique d'informations sécurisation des informations et protection de la vie privée coordonnée, stimulée et organisée par un intégrateur de services assumant une fonction de carrefour

Réglementation vie privée: principes de base réglementation bien développée en matière de protection de la vie privée comporte des principes de base traitement loyal et licite finalité traitement pour des finalités déterminées, explicites et légitimes tant lors de la collecte des données à caractère personnel que lors de leur traitement ultérieur (compatible avec la finalité initiale) proportionnalité: au regard de la finalité du traitement, les données à caractère personnel traitées doivent être adéquates pertinentes et non excessives qualité actualiser corriger supprimer

Réglementation vie privée: principes de base réglementation bien développée en matière de protection de la vie privée comporte des principes de base durée de conservation raisonnable communication d'informations lors de la collecte de données à caractère personnel auprès de l'intéressé lors de l'enregistrement / de la communication de données à caractère personnel mesures de sécurité techniques et organisationnelles adéquates, basées sur une évaluation de l'état de la technique par rapport au coût des mesures de la nature des données par rapport aux risques potentiels droits de la personne concernée information accès correction suppression règles spécifiques pour le traitement de données judiciaires et de données relatives à la santé sensibles

Vie privée: mise en forme concrète ensemble homogène de mesures pour toutes les instances concernées : le maillon le plus faible détermine le degré de sécurité structurelles: effets protecteurs découlant du concept organisationnelles en matière de personnel juridiques techniques physiques la sécurité de l'information et la protection de la vie privée doivent être prises en compte dans le cadre de valeurs de toute instance qui traite des informations et doivent donc être un souci quotidien de chacun lors de l'exécution de tâches, elles doivent être prévues dans les systèmes d'information dès la phase de conception

Mesures structuelles éviter un enregistrement de données centralisé inutile: intégration de services, pas d'intégration de données Intégrateur de services (plate-forme eHealth) Hôpital Médecin généraliste VPN via Internet Répertoire services Intégrateur de services (BCSS) ISS Répertoire services Intégrateur de services (Corve, Easi-wal CIBG, …) Extranet sécurité sociale ISS Internet SPF SPF Extranet communauté ou région SPF Répertoire services FedMAN Intégrateur de services (Fedict) SPR/C SPR/C SPP Répertoire services

Mesures structuelles répertoires des références structure fonctions la table qui-où-quand-en quelle qualité (répertoire des personnes) : quelles personnes possèdent des dossiers sous quelles qualités auprès de quels acteurs pour quelles périodes ? la table quoi-où (table des données disponibles) : quels types de données à caractère personnel sont disponibles auprès de quels types d'acteurs dans les différents types de dossiers ? la table qui-peut obtenir-quoi (table des autorisations d’accès) : quels types d'acteurs peuvent obtenir quelles données à caractère personnel concernant les différents types de dossiers et pour quelles périodes ? quelles données à caractère personnel concernant les différents types de dossiers sont communiquées automatiquement dans quelles circonstances? fonctions routage des informations contrôle d’accès préventif communication automatique des données modifiées pas d’enregistrement massif et centralisé de données à caractère personnel

Mesures structuelles institution de comités sectoriels au sein de la Commission de la Protection de la Vie Privée (CPVP) composés de représentants de la CPVP spécialistes dans le domaine (p.ex. sécurité sociale, soins de santé, …) indépendants, désignés par la Chambre des Représentants tâches accorder des autorisations pour l’échange (électronique) de données à caractère personnel, dans les cas autres que ceux autorisés par la loi déterminer l’organisation et les directives en matière de sécurité de l’information lors du traitement de données à caractère personnel dans le domaine concerné fournir des avis et des recommandations en matière de sécurité de l’information lors du traitement de données à caractère personnel dans le domaine concerné traiter les plaintes en matière d’infraction à la sécurité de l’information lors du traitement de données à caractère personnel dans le domaine concerné

Mesures structuelles contrôle préventif de la légitimité de l'échange de données à caractère personnel par un intégrateur de services (BCSS, plate-forme eHealth, Fedict, Corve, Easi-Wal, CIBG, …) qui est indépendant du fournisseur et de l'utilisateur des données à caractère personnel (trusted third party ou TTP) qui ne traite pas le contenu des données à caractère personnel qui dans l'idéal est géré par des représentants des personnes concernées tout échange électronique de données à caractère personnel fait l’objet d’un logging afin de pouvoir éventuellement tracer par la suite tout usage impropre

Mesures structuelles service de sécurité de l'information auprès de chaque organisation concernée avec une fonction de conseil, de stimulation, de documentation et de contrôle interne service(s) de sécurité de l'information spécialisé(s) agréé(s) qui soutiennent les services de sécurité de l'information internes groupes de travail en matière de sécurité de l'information et de protection de la vie privée dans les divers domaines transparence vis-à-vis des personnes concernées les autorisations des comités sectoriels sont publiques chaque fois que des données à caractère personnel sont utilisées pour une décision, les données à caractère personnel utilisées sont communiquées à l’intéressé lors de la notification de la décision toute personne a un droit d’accès et, si les données sont incorrectes, de correction de ses propres données personnelles, en ce compris les loggings

Principe de « cercles de confiance » but éviter une centralisation inutile éviter des menaces inutiles pour la protection de la vie privée éviter des contrôles identiques et des enregistrements multiples de loggings méthode: répartition des tâches entre les instances concernées par la prestation de services électroniques avec des accords précis en ce qui concerne les questions suivantes : quelle instance réalise quelles authentifications, quelles vérifications et quels contrôles à l’aide de quels moyens et qui en est responsable la manière selon laquelle les résultats des authentifications, des vérifications et des contrôles réalisés sont communiqués par la voie électronique, d'une manière sécurisée, entre les instances concernées quelle instance conserve quels loggings comment veiller à ce qu'en cas d'investigation, à l’initiative d’un organisme de contrôle ou à l'occasion d'une plainte, un traçage complet puisse avoir lieu: à savoir quelle personne physique a utilisé quel service ou quelle transaction concernant quel citoyen ou quelle entreprise, à quel moment, par le biais de quel canal et pour quelles finalités

Cadre pour d'autres mesures cadre pour des mesures sur le plan organisationnel, technique, physique et en matière de personnel : série de normes ISO 27000 politique de sécurité, affinée progressivement à l'aide de policies organisation de la sécurité classification et gestion des moyens de production exigences de sécurité par rapport au personnel protection physique de l'environnement (e.a. cryptage) gestion des processus de communication et de maniement protection de l'accès développement et maintenance de systèmes exigences particulières lors du traitement de données à caractère personnel gestion de la continuité contrôle interne et externe du respect communication vis-à-vis des clients et de l'opinion publique en ce qui concerne la politique et les mesures de sécurité de l'information et de protection de la vie privée

Exemple: gestion des utilisateurs & des accès but garantir que seules les instances autorisées aient accès aux données à caractère personnel auxquelles elles peuvent avoir accès conformément à la loi ou aux autorisations du comité sectoriel compétent relatives aux personnes dont les informations personnelles concernées leur sont nécessaires dans le cadre de l'accomplissement de leurs tâches exigences gestion des autorisations d’accès avec indication de quelle instance / application en quelle qualité peut avoir accès dans quelle situation à quels types de données concernant quelles personnes pour quelle période

Exemple: gestion des utilisateurs & des accès exigences authentification de l’identité de l'utilisateur, par exemple au moyen de sa carte d’identité électronique vérification en ligne de la qualité de l'utilisateur par une consultation électronique de la (des) banque(s) de données authentique(s) contenant les qualités éventuellement vérification en ligne des mandats de l’utilisateur pour intervenir au nom d'une personne par une consultation électronique de la (des) banque(s) de données authentique(s) contenant les mandats identification de la personne concernée

Exemple: gestion des utilisateurs & des accès organisation élaborée l'autorisation d'utiliser un service est accordée par l'instance qui propose le service, si nécessaire moyennant une autorisation du comité sectoriel compétent la conformité d’une demande d’accès concrète avec les autorisations d’accès est validée à titre préventif par l'intégrateur de services indépendant compétent, e.a. à l'aide des répertoires des références tous les accès font l’objet d’une prise de trace (logging) électronique au niveau de l’utilisateur afin de pouvoir vérifier par la suite, en cas de plaintes, si l’accès était légitime (uniquement qui-quoi-quand, pas de contenu) l’accès aux loggings est protégé de manière stricte

Exemple: gestion des utilisateurs & des accès organisation élaborée l'authentification de l'identité de l'utilisateur intervient en fonction du niveau de sécurité requis à l'aide de la carte d’identité électronique un numéro d'utilisateur, un mot de passe et un token citoyen un numéro d'utilisateur et un mot de passe la vérification des qualités et mandats intervient par un accès aux sources authentiques validées le tout est développé sur base d’un modèle générique de policy enforcement

Policy Enforcement Model Action sur application Action REFUSÉE Policy sur application Utilisateur Application Application AUTORISÉE ( PEP ) Action sur application Demande Réponse de décision décision Information Question / Recherche Policy Decision Réponse policies (PDP) Information Question / Réponse Gestion de l’autorisation Policy Administration Policy Information Policy Information (PAP) (PIP) (PIP) Gestionnaire Policy Source authentique Source authentique repository

Policy Enforcement Point (PEP) intercepter la demande d’autorisation avec toutes les informations disponibles concernant l’utilisateur, l’action demandée, les ressources et l’environnement transmettre la demande d’autorisation au Policy Decision Point (PDP) et exiger une décision d’autorisation donner accès à l’application et fournir les justificatifs pertinents Action sur application Action REFUSÉE Policy sur Utilisateur Application application AUTORISÉE Application Action ( PEP ) sur application Demande Réponse de décision, décision Policy Décision ( PDP )

Policy Decision Point (PDP) sur la base de la demande d’autorisation reçue, rechercher la policy d’autorisation adéquate dans les Policy Administration Points (PAP) évaluer la policy et, au besoin, rechercher les informations pertinentes dans les Policy Information Points (PIP) prendre la décision d’autorisation (permit / deny / not applicable) et la communiquer au PEP Policy Application ( PEP ) Demande de Réponse décision décision Information Policy Question / Recherche Réponse Policies Décision ( PDP ) Information Question / Réponse Policy Administration Policy Information Policy Information ( PAP ) ( PIP ) ( PIP )

Policy Administration Point (PAP) environnement de sauvegarde et de gestion des policies d’autorisation par les personnes compétentes désignées par le responsable de l’application mise à la disposition du PDP des policies d’autorisation Gestion Recherche de l’autorisation PAP Policies PDP Gestionnaire Policy repository

Policy Information Point (PIP) mise à la disposition du PDP de l’information pour l’évaluation des policies d’autorisation (sources authentiques avec caractéristiques, mandats, …) Information Question/ PDP Réponse Information Question/ Réponse PIP 1 PIP 2 Source authentique Source authentique

Implémentation pour l'ensemble des secteurs eHealth Secteur social (BCSS) SPF hors social (Fedict) USER USER USER APPLICATIONS APPLICATIONS APPLICATIONS Authen - Authorisation Authen - Authorisation Authen - Authorisation tication PEP WebApp tication PEP WebApp tication PEP WebApp Role Mapper XYZ Role XYZ Role Mapper Mapper XYZ Role Role Role Mapper Mapper Mapper DB DB DB PDP Role PDP Role PDP PAP PAP Role PAP Role Provider Role Provider Role Provider DB ‘’Kephas’’ ‘’Kephas’’ Provider Provider DB ‘’Kephas’’ Provider DB PIP PIP PIP PIP PIP PIP PIP PIP PIP Attribute Attribute Attribute Attribute Attribute Attribute Attribute Attribute Attribute Provider Provider Provider Provider Provider Provider Provider Provider Provider DB DB Gestion DB DB Gestion Huissier de justice DB DB DB Gestion Mandats INAMI XYZ SAV Mandats UMAF XYZ SAV XYZ XYZ SAV

UN Public Service Award 2006

European Public Service Award 2007

Pour plus d’informations site web de la Commission de la Protection de la Vie Privée http://www.privacycommission.be site web de la Banque Carrefour de la sécurité sociale http://www.bcss.fgov.be site web personnel de Frank Robben http://www.law.kuleuven.ac.be/icri/frobben