Autorisations d`accès
Transcription
Autorisations d`accès
Gestion des ressources informationnelles Vol. Ch. Suj. Doc. 04 02 05 01 Page : 1 Émise le : 2013-06-20 Pour information : [email protected] RÈGLE PARTICULIÈRE SUR LES AUTORISATIONS D’ACCÈS Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement (L.R.Q., c. G-1.03, a. 10) Loi sur le ministère de la Santé et des Services sociaux (L.R.Q., c. M-19.2, a. 5.2) Loi concernant le partage de certains renseignements de santé (L.R.Q., c. P-9.0001, a. 4 et 5) PRÉAMBULE La présente règle particulière est définie par le dirigeant réseau de l’information (DRI) du secteur de la santé et des services sociaux dans le cadre de la mise en œuvre de la Loi concernant le partage de certains renseignements de santé (LPCRS). SECTION I CHAMP D’APPLICATION 1. Cette règle particulière s’applique : 1° à un gestionnaire opérationnel d’une banque de renseignements de santé d’un domaine clinique; 2° à un gestionnaire opérationnel du registre d’un domaine clinique; 3° au gestionnaire opérationnel du registre des refus; 4° au gestionnaire opérationnel du système de gestion des ordonnances électroniques de médicaments; 5° à un gestionnaire des autorisations d’accès; 6° à un gestionnaire d’un système source; 7° au gestionnaire opérationnel du registre des organismes; 8° à un intervenant du secteur de la santé et des services sociaux inscrit au registre des intervenants; 9° à une personne ou une société qui héberge, opère ou exploite un actif informationnel visé par la LPCRS; Règle particulière sur les autorisations d’accès Version 1.00 Gestion des ressources informationnelles Vol. Ch. Suj. Doc. 04 02 05 01 Page : 2 Émise le : 2013-06-20 10° à une personne ou une société qui exploite un laboratoire de biologie médicale, un laboratoire d’imagerie médicale générale ou un laboratoire de radiologie diagnostique spécifique à la médecine au sens de la Loi sur les laboratoires médicaux, la conservation des organes et des tissus et la disposition des cadavres (L.R.Q., chapitre L-0.2) ou d’un règlement pris pour son application; 11° à la Régie de l’assurance maladie du Québec (RAMQ); 12° à un établissement visé par la Loi sur les services de santé et les services sociaux (L.R.Q., c. S-4.2); 13° à une agence de la santé et des services sociaux visée par la Loi sur les services de santé et les services sociaux; 14° au Conseil cri de la santé et des services sociaux de la Baie James institué en vertu de la Loi sur les services de santé et les services sociaux pour les autochtones cris (L.R.Q., c. S-5); 15° à une personne ou une société qui exploite un cabinet privé de médecin; 16° à une personne ou une société qui exploite une pharmacie communautaire; 17° à une personne ou une société qui exploite un centre médical spécialisé visé à l’article 333.1 de la Loi sur les services de santé et les services sociaux; 18° à un agent ou administrateur technique tel que défini à la Règle particulière sur les agents et administrateurs techniques. Les personnes ou sociétés mentionnées à cet article sont assujetties à la présente règle particulière à l’égard des actifs informationnels auxquels s’applique la LPCRS. SECTION II DÉFINITIONS 2. Dans la présente règle particulière, on entend par : 1° agent technique : un agent technique au sens de la Règle particulière sur les agents et administrateurs techniques; 2° autorisation d’accès : autorisation attribuée à une personne ou à un organisme dûment authentifié d’accéder à des données ou programmes déterminés et de procéder à des opérations informatiques spécifiques; Règle particulière sur les autorisations d’accès Version 1.00 Gestion des ressources informationnelles Vol. Ch. Suj. Doc. 04 02 05 01 Page : 3 Émise le : 2013-06-20 3° certificat-Intervenant : un certificat qui identifie la personne à qui un prestataire de services de certification émet et délivre un tel certificat conformément à sa politique de certification; 4° certificat-objet : un certificat qui identifie un actif informationnel (objet) pour lequel un prestataire de services de certification émet et délivre un tel certificat conformément à sa politique de certification; 5° Dossier santé Québec : le Dossier santé Québec au sens de la LPCRS soit un actif informationnel qui permet, à l’égard de toute personne recevant des services de santé ou des services sociaux, la communication en temps opportun, à des intervenants et organismes autorisés, des renseignements de santé contenus dans les banques de renseignements de santé des domaines cliniques; 6° matrice d’accès : une liste effective de profils d’accès programmée dans les composantes des actifs informationnels mis en place par la LPCRS; 7° matrice d’accès agent technique : une matrice d’accès incluant exclusivement les profils d’accès des agents techniques; 8° matrice d’accès intervenant : une matrice d’accès incluant exclusivement les profils d’accès des intervenants autorisés spécifiés à la LPCRS avec les autorisations d'accès qui leurs sont attribuées par le Règlement sur les autorisations d’accès et la durée d’utilisation des renseignements contenus dans une banque de renseignements de santé d’un domaine clinique; 9° matrice d’accès organisme: une matrice d’accès incluant exclusivement les profils d’accès des organismes autorisés qui sont spécifiés à la LPCRS avec les autorisations d'accès qui leur sont attribuées par le Règlement sur les autorisations d’accès et la durée d’utilisation des renseignements contenus dans une banque de renseignements de santé d’un domaine clinique; 10° profil d’accès : un ensemble d’autorisations d’accès octroyé afin de soutenir un rôle spécifique dans un actif informationnel. SECTION III AUTHENTIFICATION 3. Pour accéder à un actif informationnel visé à la LPCRS : 1° toute personne possédant les autorisations d’accès pour communiquer et recevoir communication des renseignements doit s’authentifier au niveau de confiance N41à l’aide d’un certificat-intervenant qui lui 1 Définis dans la Règle particulière sur les niveaux de confiance de l’authentification Règle particulière sur les autorisations d’accès Version 1.00 Gestion des ressources informationnelles Vol. Ch. Suj. Doc. 04 02 05 01 Page : 4 Émise le : 2013-06-20 est délivré par le prestataire des services de certification conformément à son énoncé de politique de certification; 2° tout organisme possédant les autorisations d’accès pour communiquer et recevoir communication des renseignements doit s’authentifier au niveau de confiance N22 à l'aide d'un certificat-objet, qui lui est délivré par le prestataire des services de certification conformément à son énoncé de politique de certification. 4. Le certificat-objet initialement mis en œuvre dans le cadre du projet expérimental (décret 757-2009, 18 juin 2009) est reconduit dans son usage actuel, notamment : 1° pour les pharmacies communautaires, dans la communication de renseignements au domaine médicament et au système de gestion des ordonnances électroniques de médicaments; 2° pour les pharmacies communautaires, dans la réception de communication de renseignements du système de gestion des ordonnances électroniques de médicaments; 3° pour les systèmes sources et pour les actifs informationnels soutenant ces systèmes; 4° pour les registres communs et pour les actifs informationnels soutenant ces registres; 5° pour les actifs informationnels afin de soutenir les besoins d’identification et de sécurisation; 6° pour les banques de renseignements de santé des domaines cliniques. SECTION IV OFFICIER DE SÉCURITÉ DSQ 5. Le DRI nomme un « officier de sécurité DSQ » pour les actifs informationnels visés à la LPCRS. 6. L’officier de sécurité DSQ doit s'assurer de l’exactitude des définitions des profils d’accès conformément au cadre légal et réglementaire et doit assumer les responsabilités suivantes : 1° confirmer les autorisations d’accès pour un gestionnaire des autorisations d’accès (GAA) ; 2° assurer la coordination de l’usage des matrices d’accès par les différents gestionnaires opérationnels; 3° retirer, le cas échéant, le profil d’accès d’un GAA ; 2 Définis dans la Règle particulière sur les niveaux de confiance de l’authentification Règle particulière sur les autorisations d’accès Version 1.00 Gestion des ressources informationnelles Vol. Ch. Suj. Doc. 04 02 05 01 Page : 5 Émise le : 2013-06-20 4° encadrer les actions des officiers de sécurité des gestionnaires opérationnels appelés officiers de sécurité locaux aux fins de sécurisation des actifs informationnels visés à la LPCRS; 5° aviser le DRI lorsque les mouvements de personnel des GAA font en sorte de ne plus pouvoir offrir le service convenablement. 7. L'officier de sécurité DSQ peut vérifier les activités d’un GAA et peut demander qu’il produise des rapports de conformité de ses activités aux exigences administratives, opérationnelles ou techniques, au besoin. À la suite d’une vérification de conformité, l’officier de sécurité DSQ peut prendre toute mesure qu’il juge appropriée, notamment : 1° signaler les irrégularités, mais permettre au GAA de continuer ses activités jusqu’à la prochaine vérification; 2° appliquer des mesures préventives ou correctives afin d’améliorer la prestation des services, incluant celle de mettre fin aux activités du GAA. SECTION V GESTION DES ACCÈS 8. Il existe trois matrices d’accès spécifiques : la matrice d’accès agent technique, la matrice d’accès intervenant et la matrice d’accès organisme. 9. Le plus haut dirigeant de l’organisme désigne la ou les personnes pour agir à titre de gestionnaire des autorisations d’accès (GAA) au sens de l’article 63 de la LPCRS. 10. Pour être désigné à titre de GAA, une personne doit remplir les conditions suivantes : 1° ne pas occuper les fonctions d’agent de vérification d’identité (AVI)3, ni des fonctions associées au prestataire de services de certification; 2° faire vérifier son identité par un AVI; 3° formuler une demande à l’Officier de sécurité DSQ afin d’obtenir les autorisations d’accès nécessaires à l’exercice de son rôle. 3 Définis dans la Règle particulière sur les services d’identité Règle particulière sur les autorisations d’accès Version 1.00 Gestion des ressources informationnelles Vol. Ch. Suj. Doc. 04 02 05 01 Page : 6 Émise le : 2013-06-20 11. Le GAA est responsable de l’attribution, de la modification et du retrait des autorisations d’accès pour les intervenants. À cette fin, il utilise le système du « gestionnaire opérationnel des profils d’accès » (GOPA) servant à l’enregistrement des autorisations d’accès. 12. Le DRI nomme un « gestionnaire opérationnel des profils d'accès » (GOPA). 13. Le GOPA doit : 1° mettre en place et assurer la gestion opérationnelle de l'actif informationnel permettant d'encadrer les activités d'assignation des profils d'accès par les GAA aux intervenants, organismes et agents techniques; 2° assigner les autorisations d’accès des GAA sur l’avis fourni par l’officier de sécurité DSQ. 14. Afin de contrôler l’accès aux actifs informationnels mis en place par la LPCRS, le gestionnaire opérationnel d’un actif informationnel doit : 1° authentifier le certificat-intervenant ou certificat-objet qui est utilisé pour accéder à l’actif informationnel; 2° vérifier auprès du prestataire des services de certification si le certificat utilisé répond aux exigences décrites dans son énoncé de politique de certification et n’est ni échu, ni altéré ni révoqué; 3° s’assurer que l’actif informationnel utilise la version la plus à jour des différentes matrices d’accès; 4° rechercher le profil d’accès correspondant à l’intervenant ou l’organisme identifié par le certificat; 5° appliquer le profil d’accès et restreindre l’alimentation ou la consultation qu’aux seuls renseignements permis par la matrice d’accès; 6° s’assurer, lorsque requis, de l’absence d’un refus de la personne concernée à communiquer ses renseignements de santé; 7° s’assurer, lorsque requis, de l’existence d’une dérogation au refus d’une personne; 8° répondre aux vérifications demandées par l’officier de sécurité DSQ. 15. Toute personne ou société identifiée à l’article 1 où exercent des GAA est responsable d'informer l'officier de sécurité local sur les mouvements de son personnel et de s’assurer qu’il a les ressources humaines suffisantes pour répondre adéquatement aux besoins. 16. En soutien à l'officier de sécurité DSQ, le GOPA maintient et met à jour le registre des gestionnaires des autorisations d’accès lors du retrait ou de l’ajout d’une personne. Règle particulière sur les autorisations d’accès Version 1.00 Gestion des ressources informationnelles Vol. Ch. Suj. Doc. 04 02 05 01 Page : 7 Émise le : 2013-06-20 SECTION VI REDDITION DE COMPTES 17. Le GOPA doit transmettre au DRI, sur demande, un rapport sur l’état des différentes matrices d’accès dans les actifs informationnels ainsi que le nombre et la qualité des GAA en fonction. 18. Tout officier de sécurité doit transmettre au DRI, sur demande : 1° tout rapport sur les incidents liés à l’attribution des autorisations d’accès; 2° les décisions sur les ajouts ou les retraits d’autorisations d’accès pour les GAA; 3° toute autre information relative au processus d’attribution des autorisations d’accès. SECTION VII DISPOSITIONS FINALES 19. La présente règle particulière a été approuvée par le Conseil du trésor le 21 mai 2013 (C.T. 212626). 20. La présente règle particulière entre en vigueur le 20 juin 2013. Règle particulière sur les autorisations d’accès Version 1.00