Autorisations d`accès

Gestion des ressources
informationnelles
Vol.
Ch.
Suj.
Doc.
04
02
05
01
Page :
1
Émise le :
2013-06-20
Pour information : [email protected]
RÈGLE PARTICULIÈRE SUR LES AUTORISATIONS D’ACCÈS
Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics
et des entreprises du gouvernement (L.R.Q., c. G-1.03, a. 10)
Loi sur le ministère de la Santé et des Services sociaux (L.R.Q., c. M-19.2, a. 5.2)
Loi concernant le partage de certains renseignements de santé (L.R.Q., c. P-9.0001, a. 4 et 5)
PRÉAMBULE
La présente règle particulière est définie par le dirigeant réseau de l’information (DRI) du secteur de la santé et
des services sociaux dans le cadre de la mise en œuvre de la Loi concernant le partage de certains
renseignements de santé (LPCRS).
SECTION I
CHAMP D’APPLICATION
1. Cette règle particulière s’applique :
1° à un gestionnaire opérationnel d’une banque de renseignements de santé d’un domaine clinique;
2° à un gestionnaire opérationnel du registre d’un domaine clinique;
3° au gestionnaire opérationnel du registre des refus;
4° au gestionnaire opérationnel du système de gestion des ordonnances électroniques de médicaments;
5° à un gestionnaire des autorisations d’accès;
6° à un gestionnaire d’un système source;
7° au gestionnaire opérationnel du registre des organismes;
8° à un intervenant du secteur de la santé et des services sociaux inscrit au registre des intervenants;
9° à une personne ou une société qui héberge, opère ou exploite un actif informationnel visé par la LPCRS;
Règle particulière sur les autorisations d’accès
Version 1.00
Gestion des ressources
informationnelles
Vol.
Ch.
Suj.
Doc.
04
02
05
01
Page :
2
Émise le :
2013-06-20
10° à une personne ou une société qui exploite un laboratoire de biologie médicale, un laboratoire
d’imagerie médicale générale ou un laboratoire de radiologie diagnostique spécifique à la médecine au
sens de la Loi sur les laboratoires médicaux, la conservation des organes et des tissus et la disposition
des cadavres (L.R.Q., chapitre L-0.2) ou d’un règlement pris pour son application;
11° à la Régie de l’assurance maladie du Québec (RAMQ);
12° à un établissement visé par la Loi sur les services de santé et les services sociaux (L.R.Q., c. S-4.2);
13° à une agence de la santé et des services sociaux visée par la Loi sur les services de santé et les services
sociaux;
14° au Conseil cri de la santé et des services sociaux de la Baie James institué en vertu de la Loi sur les
services de santé et les services sociaux pour les autochtones cris (L.R.Q., c. S-5);
15° à une personne ou une société qui exploite un cabinet privé de médecin;
16° à une personne ou une société qui exploite une pharmacie communautaire;
17° à une personne ou une société qui exploite un centre médical spécialisé visé à l’article 333.1 de la Loi sur
les services de santé et les services sociaux;
18° à un agent ou administrateur technique tel que défini à la Règle particulière sur les agents et
administrateurs techniques.
Les personnes ou sociétés mentionnées à cet article sont assujetties à la présente règle particulière à l’égard
des actifs informationnels auxquels s’applique la LPCRS.
SECTION II
DÉFINITIONS
2. Dans la présente règle particulière, on entend par :
1° agent technique : un agent technique au sens de la Règle particulière sur les agents et administrateurs
techniques;
2° autorisation d’accès : autorisation attribuée à une personne ou à un organisme dûment authentifié
d’accéder à des données ou programmes déterminés et de procéder à des opérations informatiques
spécifiques;
Règle particulière sur les autorisations d’accès
Version 1.00
Gestion des ressources
informationnelles
Vol.
Ch.
Suj.
Doc.
04
02
05
01
Page :
3
Émise le :
2013-06-20
3° certificat-Intervenant : un certificat qui identifie la personne à qui un prestataire de services de
certification émet et délivre un tel certificat conformément à sa politique de certification;
4° certificat-objet : un certificat qui identifie un actif informationnel (objet) pour lequel un prestataire de
services de certification émet et délivre un tel certificat conformément à sa politique de certification;
5° Dossier santé Québec : le Dossier santé Québec au sens de la LPCRS soit un actif informationnel qui
permet, à l’égard de toute personne recevant des services de santé ou des services sociaux, la
communication en temps opportun, à des intervenants et organismes autorisés, des renseignements de
santé contenus dans les banques de renseignements de santé des domaines cliniques;
6° matrice d’accès : une liste effective de profils d’accès programmée dans les composantes des actifs
informationnels mis en place par la LPCRS;
7° matrice d’accès agent technique : une matrice d’accès incluant exclusivement les profils d’accès des
agents techniques;
8° matrice d’accès intervenant : une matrice d’accès incluant exclusivement les profils d’accès des
intervenants autorisés spécifiés à la LPCRS avec les autorisations d'accès qui leurs sont attribuées par le
Règlement sur les autorisations d’accès et la durée d’utilisation des renseignements contenus dans une
banque de renseignements de santé d’un domaine clinique;
9° matrice d’accès organisme: une matrice d’accès incluant exclusivement les profils d’accès des
organismes autorisés qui sont spécifiés à la LPCRS avec les autorisations d'accès qui leur sont attribuées
par le Règlement sur les autorisations d’accès et la durée d’utilisation des renseignements contenus dans
une banque de renseignements de santé d’un domaine clinique;
10° profil d’accès : un ensemble d’autorisations d’accès octroyé afin de soutenir un rôle spécifique dans un
actif informationnel.
SECTION III
AUTHENTIFICATION
3. Pour accéder à un actif informationnel visé à la LPCRS :
1° toute personne possédant les autorisations d’accès pour communiquer et recevoir communication des
renseignements doit s’authentifier au niveau de confiance N41à l’aide d’un certificat-intervenant qui lui
1
Définis dans la Règle particulière sur les niveaux de confiance de l’authentification
Règle particulière sur les autorisations d’accès
Version 1.00
Gestion des ressources
informationnelles
Vol.
Ch.
Suj.
Doc.
04
02
05
01
Page :
4
Émise le :
2013-06-20
est délivré par le prestataire des services de certification conformément à son énoncé de politique de
certification;
2° tout organisme possédant les autorisations d’accès pour communiquer et recevoir communication des
renseignements doit s’authentifier au niveau de confiance N22 à l'aide d'un certificat-objet, qui lui est
délivré par le prestataire des services de certification conformément à son énoncé de politique de
certification.
4. Le certificat-objet initialement mis en œuvre dans le cadre du projet expérimental (décret 757-2009, 18 juin
2009) est reconduit dans son usage actuel, notamment :
1° pour les pharmacies communautaires, dans la communication de renseignements au domaine
médicament et au système de gestion des ordonnances électroniques de médicaments;
2° pour les pharmacies communautaires, dans la réception de communication de renseignements du
système de gestion des ordonnances électroniques de médicaments;
3° pour les systèmes sources et pour les actifs informationnels soutenant ces systèmes;
4° pour les registres communs et pour les actifs informationnels soutenant ces registres;
5° pour les actifs informationnels afin de soutenir les besoins d’identification et de sécurisation;
6° pour les banques de renseignements de santé des domaines cliniques.
SECTION IV
OFFICIER DE SÉCURITÉ DSQ
5. Le DRI nomme un « officier de sécurité DSQ » pour les actifs informationnels visés à la LPCRS.
6. L’officier de sécurité DSQ doit s'assurer de l’exactitude des définitions des profils d’accès conformément au
cadre légal et réglementaire et doit assumer les responsabilités suivantes :
1° confirmer les autorisations d’accès pour un gestionnaire des autorisations d’accès (GAA) ;
2° assurer la coordination de l’usage des matrices d’accès par les différents gestionnaires opérationnels;
3° retirer, le cas échéant, le profil d’accès d’un GAA ;
2
Définis dans la Règle particulière sur les niveaux de confiance de l’authentification
Règle particulière sur les autorisations d’accès
Version 1.00
Gestion des ressources
informationnelles
Vol.
Ch.
Suj.
Doc.
04
02
05
01
Page :
5
Émise le :
2013-06-20
4° encadrer les actions des officiers de sécurité des gestionnaires opérationnels appelés officiers de
sécurité locaux aux fins de sécurisation des actifs informationnels visés à la LPCRS;
5° aviser le DRI lorsque les mouvements de personnel des GAA font en sorte de ne plus pouvoir offrir le
service convenablement.
7. L'officier de sécurité DSQ peut vérifier les activités d’un GAA et peut demander qu’il produise des rapports
de conformité de ses activités aux exigences administratives, opérationnelles ou techniques, au besoin.
À la suite d’une vérification de conformité, l’officier de sécurité DSQ peut prendre toute mesure qu’il juge
appropriée, notamment :
1° signaler les irrégularités, mais permettre au GAA de continuer ses activités jusqu’à la prochaine
vérification;
2° appliquer des mesures préventives ou correctives afin d’améliorer la prestation des services, incluant
celle de mettre fin aux activités du GAA.
SECTION V
GESTION DES ACCÈS
8. Il existe trois matrices d’accès spécifiques : la matrice d’accès agent technique, la matrice d’accès
intervenant et la matrice d’accès organisme.
9. Le plus haut dirigeant de l’organisme désigne la ou les personnes pour agir à titre de gestionnaire des
autorisations d’accès (GAA) au sens de l’article 63 de la LPCRS.
10. Pour être désigné à titre de GAA, une personne doit remplir les conditions suivantes :
1° ne pas occuper les fonctions d’agent de vérification d’identité (AVI)3, ni des fonctions associées au
prestataire de services de certification;
2° faire vérifier son identité par un AVI;
3° formuler une demande à l’Officier de sécurité DSQ afin d’obtenir les autorisations d’accès nécessaires à
l’exercice de son rôle.
3
Définis dans la Règle particulière sur les services d’identité
Règle particulière sur les autorisations d’accès
Version 1.00
Gestion des ressources
informationnelles
Vol.
Ch.
Suj.
Doc.
04
02
05
01
Page :
6
Émise le :
2013-06-20
11. Le GAA est responsable de l’attribution, de la modification et du retrait des autorisations d’accès pour les
intervenants. À cette fin, il utilise le système du « gestionnaire opérationnel des profils d’accès » (GOPA)
servant à l’enregistrement des autorisations d’accès.
12. Le DRI nomme un « gestionnaire opérationnel des profils d'accès » (GOPA).
13. Le GOPA doit :
1° mettre en place et assurer la gestion opérationnelle de l'actif informationnel permettant d'encadrer les
activités d'assignation des profils d'accès par les GAA aux intervenants, organismes et agents techniques;
2° assigner les autorisations d’accès des GAA sur l’avis fourni par l’officier de sécurité DSQ.
14. Afin de contrôler l’accès aux actifs informationnels mis en place par la LPCRS, le gestionnaire opérationnel
d’un actif informationnel doit :
1° authentifier le certificat-intervenant ou certificat-objet qui est utilisé pour accéder à l’actif
informationnel;
2° vérifier auprès du prestataire des services de certification si le certificat utilisé répond aux exigences
décrites dans son énoncé de politique de certification et n’est ni échu, ni altéré ni révoqué;
3° s’assurer que l’actif informationnel utilise la version la plus à jour des différentes matrices d’accès;
4° rechercher le profil d’accès correspondant à l’intervenant ou l’organisme identifié par le certificat;
5° appliquer le profil d’accès et restreindre l’alimentation ou la consultation qu’aux seuls renseignements
permis par la matrice d’accès;
6° s’assurer, lorsque requis, de l’absence d’un refus de la personne concernée à communiquer ses
renseignements de santé;
7° s’assurer, lorsque requis, de l’existence d’une dérogation au refus d’une personne;
8° répondre aux vérifications demandées par l’officier de sécurité DSQ.
15. Toute personne ou société identifiée à l’article 1 où exercent des GAA est responsable d'informer l'officier
de sécurité local sur les mouvements de son personnel et de s’assurer qu’il a les ressources humaines
suffisantes pour répondre adéquatement aux besoins.
16. En soutien à l'officier de sécurité DSQ, le GOPA maintient et met à jour le registre des gestionnaires des
autorisations d’accès lors du retrait ou de l’ajout d’une personne.
Règle particulière sur les autorisations d’accès
Version 1.00
Gestion des ressources
informationnelles
Vol.
Ch.
Suj.
Doc.
04
02
05
01
Page :
7
Émise le :
2013-06-20
SECTION VI
REDDITION DE COMPTES
17. Le GOPA doit transmettre au DRI, sur demande, un rapport sur l’état des différentes matrices d’accès dans
les actifs informationnels ainsi que le nombre et la qualité des GAA en fonction.
18. Tout officier de sécurité doit transmettre au DRI, sur demande :
1° tout rapport sur les incidents liés à l’attribution des autorisations d’accès;
2° les décisions sur les ajouts ou les retraits d’autorisations d’accès pour les GAA;
3° toute autre information relative au processus d’attribution des autorisations d’accès.
SECTION VII
DISPOSITIONS FINALES
19. La présente règle particulière a été approuvée par le Conseil du trésor le 21 mai 2013 (C.T. 212626).
20. La présente règle particulière entre en vigueur le 20 juin 2013.
Règle particulière sur les autorisations d’accès
Version 1.00