Certification des services de réception des données

De nombreux assureurs-maladie ont fait certifier leurs services de réception des données et les ont annoncés chez nous. Les petits et moyens assureurs-maladie font souvent effectuer le contrôle automatisé de vraisemblance par un prestataire externe. Les groupes d’assureurs par contre préfèrent exploiter un service de réception des données central pour tous les membres du groupe.

Les assureurs recevant un certificat pour leur service de réception des données (SRD) doivent l'annoncer chez nous. Nous publions sur notre site une liste des services de réception des données qui sont certifiés. Cette liste permet de voir si un assureur exploite lui-même un service de réception des données, si ce dernier travaille pour plusieurs assureurs d'un groupe, si un prestataire effectue le contrôle automatisé de vraisemblance, quel organe a délivré la certification et jusqu'à quand le certificat est valable. Jusqu'à janvier 2014, 39 SRD se sont annoncés chez nous.

Le nombre de ces annonces permet de tirer diverses conclusions. Les petits et moyens assureurs-maladie ont en majorité délégué le contrôle automatisé de vraisemblance à un prestataire externe. Actuellement, cette externalisation semble se concentrer sur deux prestataires. Certains assureurs-maladie de taille moyenne ont cependant décidé d'effectuer ce traitement eux-mêmes. Quant aux grands groupes d'assureurs, ils exploitent un SRD central pour leurs membres. De leur point de vue, ceci constitue à vrai dire une externalisation à la société du groupe.

Ce qui importe dans le cas d'une collaboration avec un prestataire est que tous les processus qui sont nécessaires pour l'exploitation du SRD aient été certifiés aussi bien auprès de l'assureur qui délègue qu'auprès du prestataire-même. Un prestataire ne peut donc jamais à lui seul obtenir un certificat pour son service de réception des données, étant donné que ce dernier est toujours établi pour un assureur ou un groupe donné. Dans les cas où le certificat est établi pour un groupe, il doit d'ailleurs mentionner clairement pour quels membres il est valide. Bien sûr, ceci doit ressortir tout aussi clairement du rapport d'audit correspondant.

Au cours de l'année sous revue, nous avons assisté une nouvelle fois à une réunion des organismes de certification accrédités: KPMG AG, l'Association Suisse pour Systèmes de Qualité et de Management (SQS) et le Service d'accréditation suisse (SAS). Nous y avons en particulier parlé des exigences envers la formation des experts engagés dans les audits de certification, les exigences envers le rapport d'audit et la durée nécessaire de l'audit. Étant donné que la certification en matière de protection des données se base sur la norme ISO/IEC 27001, nous avons logiquement déclaré que la norme ISO/IEC 27006 valable pour les audits avait force obligatoire.

En outre, nous avons réitéré la précision explicite que nous avions déjà apportée lors de la séance en automne de l'année précédente, à savoir que les services de réception des données devaient également faire certifier leurs processus papier. À notre avis, ces séances de travail se sont avérées très utiles puisqu'elles nous permettent, en qualité de détenteur du schéma de certification, de discuter des problèmes et de trouver des solutions directement avec les organismes impliqués, mais aussi de transmettre et d'expliquer nos exigences qui sont contraignantes pour les organismes de certification. En conséquence, nous continuerons à organiser cette réunion chaque année. Si cela s'avère nécessaire, nous convoquerons également des réunions ad hoc.

https://www.edoeb.admin.ch/content/edoeb/fr/home/documentation/rapports-d-activites/21e-rapport-d-activites-2013-2014/certification-des-services-de-reception-des-donnees.html