registre des codes-créanciers - sasis

Registre des codes-créanciers

3-1013 Web Règlement de traitement RCC SASIS-101-19 Page 0/11 © SASIS SA Soleure Accès limité 16.04.2018

Règlement de traitement de SASIS SA concernant le registre des codes-créanciers (RCC)

DSMS-3-1013-RCC

Version 1.5 Date 26 mars 2018

Pour des raisons de lisibilité, la forme masculine est utilisée et inclut le féminin par analogie.



Table des matières 1 Dispositions générales _______________________________________________ 2

1.1 But, champ d‘application _______________________________________________ 2

1.2 Droit applicable _______________________________________________________ 3

1.3 Principes du traitement des données _____________________________________ 4

1.4 Droits des personnes concernées _________________________________________ 4

1.5 Obligations des personnes traitant les données _____________________________ 5

2 Traitement des données dans le RCC ___________________________________ 5

2.1 Origine des données ___________________________________________________ 5

2.2 Schéma des données et processus ________________________________________ 6

2.3 Personnes responsables _______________________________________________ 10

2.4 Archivage/destruction _________________________________________________ 10

2.5 Autres documents importants relatifs à la protection des données ____________ 11

Documents référencés ________________________________________________________ 11



1 Dispositions générales

1.1 But, champ d‘application

But Le présent règlement décrit l’organisation interne ainsi que la procédure de contrôle et de traitement des données du registre des codes-créanciers. Il énumère les documents relatifs à l’exploitation des données et des moyens informatiques. Il vise avant tout à créer une transpa-rence optimale dans le traitement des données, afin de permettre une évaluation adéquate des risques en matière de protection des données. Le registre des codes-créanciers (RCC) est le répertoire officiel des fournisseurs de prestations dans l’assurance-maladie selon la LAMal et la LCA. Les assureurs s’en servent avant tout comme registre des créanciers et pour le trafic des paiements. Le RCC attribue un numéro RCC aux fournisseurs de prestations qui en font la demande. Ce numéro doit être utilisé par les fournisseurs de prestations et les assureurs-maladie lors de la facturation, du contrôle des factures, des paiements et de la réalisation de statistiques. SASIS SA gère le RCC pour le compte des assureurs-maladie (voir annexe 8 du contrat de li-cence RCC de SASIS SA ; procuration pour gérer le registre des codes-créanciers) et remplit notamment les fonctions suivantes: a) Facturation et paiement selon les art. 35ss et 43ss LAMal ainsi que les art. 38ss et 59ss OAMal • Attribution, à sa demande, d’un numéro d’identification au fournisseur de prestations en

vue de la facturation. • Vérification si un fournisseur de prestations remplit les conditions d’admission énoncées

dans la LAMal ainsi que les éventuelles conditions d’admission cantonales. • Vérification de l’existence d’une limitation à l’autorisation des fournisseurs de prestations

de pratiquer à la charge de l’assurance-maladie obligatoire. • Indication pour chaque fournisseur de prestations d’une adresse de paiement officielle à

laquelle les assureurs-maladie peuvent effectuer leurs versements. • Énumération des qualifications et de l’infrastructure des fournisseurs de prestations. • Énumération des mandats de prestations cantonaux selon la liste des hôpitaux. • Indications relatives à la mise en œuvre des conventions tarifaires et des modalités de

paiement (p. ex. TARMED, DRG). Si nécessaire, SASIS SA peut également mettre le RCC à disposition d’autres assureurs sociaux et privés, de même qu’aux organisations et personnes agissant au nom d’assureurs ou de fournisseurs de prestations, afin de faciliter la prescription, la facturation, le contrôle des fac-tures ou pour la numérisation des processus an amont de ces tâches. Ceci inclut également l’identification des ayants droit économiques pour les intermédiaires financiers conformément à la Loi sur le blanchiment d’argent (LBA). SASIS SA peut en outre mettre le RCC à disposition des autorités cantonales pour l’exercice des tâches qui leur ont été attribuées, à savoir : ga-rantie du traitement selon l’art. 45 LAMal, rémunération des prestations hospitalières selon l’art. 49a LAMal et limitation de l’admission à pratiquer à la charge de l’assurance-maladie se-lon l’art. 55a LAMal.



b) Base pour des statistiques selon les art. 56 LAMal et 76 OAMal Le RCC sert de base pour la réalisation de statistiques (pool de données et pool tarifaire) éta-blies conjointement ou individuellement par les assureurs-maladie. En conséquence, les assu-reurs peuvent traiter en commun des données relatives au genre et à l’étendue des presta-tions directes ou indirectes fournies par les différents fournisseurs de prestations ainsi qu’aux rémunérations facturées pour ces prestations, dans le but: • d’analyser les coûts et leur évolution; • de contrôler et de garantir le caractère économique des prestations. SASIS SA remet un relevé du RCC aux fournisseurs de prestations (p. ex. aux pharmaciens) afin que les prescripteurs en tant que donneurs d’ordre des prestations puissent être identifiés et attribués en vue du contrôle des coûts induits. c) Autres applications selon les art. 28 et 28a OAMal ainsi que les art. 42a et 64a LAMal Le registre des codes-créanciers fait partie intégrante des données de la surveillance que l’OFSP peut consulter chez les assureurs-maladie et utiliser pour les audits. Le registre des codes-créanciers permet aussi aux fournisseurs de prestations de s’identifier sur les services de consultation en ligne dans le cadre de l’utilisation de la carte d’assuré et de la consultation de la liste des mauvais payeurs (LMP). Les données ne doivent pas être utilisées à des fins de marketing. Les assureurs-accidents utilisent également le registre des codes-créanciers en tant que réper-toire des créanciers des fournisseurs de prestations dans le cadre du contrôle des factures et du paiement selon les art. 53, 54, 54a, 55 et 56 LAA et l’art. 68ss OLAA. d) Communication de données par des organes chargés d’appliquer la LAMal selon l’art. 84a LAMal Dans certains cas, les assureurs-maladie peuvent communiquer leurs données à d’autres or-ganes chargés d’appliquer la loi ou d’en contrôler ou surveiller l’application. Champ d‘application Le présent règlement est valable uniquement pour le traitement des données du RCC par le département Registres de SASIS SA. 1.2 Droit applicable

Les bases légales suivantes sont applicables: • Loi fédérale sur l’assurance-maladie (LAMal, RS 832.10) : les art. 35ss, 42a, 43 ss, 45,

49a, 55a, 56, 64a et 84a. • Ordonnance sur l’assurance-maladie (OAMal, RS 832.102) : les art. 28, 28a, 38ss, 59 et

76. • LAA: les art. 53, 54, 55 et 56 ainsi que OLAA: art. 68ss. • OCA art. 15 et OCA-DFI • Loi fédérale sur la protection des données (LPD, RS 235.1). • Ordonnance relative à la loi fédérale sur la protection des données (OLPD; RS 235.11). • Loi sur le blanchiment d’argent (LBA), art. 4.



• Contrats de licence relatifs à l’utilisation du RCC entre SASIS SA et des assureurs-maladie, des autorités, des fournisseurs de prestations, des organisations de fournisseurs de pres-tations et des partenaires.

• Accords conclus avec les services de certification concernant l’échange de données réci-proque pour les prestations d’assurance selon la LCA.

• Conditions générales du registre des codes-créanciers (RCC). 1.3 Principes du traitement des données

Toutes les données de personnes sont traitées selon les principes suivants en matière de pro-tection des données: • légalité: tous les traitements de données doivent être légalement fondés: autorisation à

facturer des prestations selon la LAMal, la LCA et la LAA, garantie de l’économicité par des statistiques, accomplissement de l’obligation de livrer des données pour la surveil-lance, données à des fins de facturation, autorisation en tant que fournisseur de presta-tions à accéder aux services de consultation en ligne en relation avec la carte d’assuré et la LMP ou avec l’accord des intéressés (demande des fournisseurs de prestations d’attri-bution d’un numéro de décompte RCC pour le registre des créanciers et le trafic de paie-ment des assureurs-maladie);

• bonne foi: tous les traitements de données doivent être réalisés selon le principe de la bonne foi;

• proportionnalité: tous les traitements de données doivent respecter le principe de pro-portionnalité, c’est-à-dire qu’ils doivent permettre d’atteindre l’objectif visé et se limiter à ce qui est nécessaire pour ce dernier. Les traitements de données se limitent aux informa-tions déclarées sur les formulaires de demande et de mutation ainsi que sur les docu-ments à présenter (diplômes, certificats de capacité) par les fournisseurs de prestations ou leurs associations et organisations habilitées;

• affectation à un but: les données personnelles ne doivent être traitées que dans le but indiqué lors de leur collecte, qui ressort des circonstances ou qui est prévu légalement voire statutairement ou selon les règlements applicables;

• sécurité des informations: toutes les données personnelles doivent être protégées par des mesures techniques et organisationnelles appropriées contre la perte et l’utilisation abusive;

• droits des personnes concernées: toutes les personnes, dont les données sont traitées par le département Registres pour le compte des assureurs participants, ont le droit de connaître ces données et de les rectifier en cas d’erreur.

1.4 Droits des personnes concernées

Droit d’information et de consultation Toute personne est en droit de se renseigner auprès du département Registres de SASIS SA pour savoir si ce dernier conserve et traite des données la concernant. En vertu de l’art. 8 de la Loi sur la protection des données, toutes les données disponibles dans la base de données sur le fournisseur de prestations qui en fait la demande doivent lui être communiquées. Les données enregistrées sur un fournisseur de prestations médicales sont en principe com-muniquées par écrit, sous la forme d’une édition sur papier ou d’une photocopie. Cette infor-



mation est généralement gratuite. Une indemnisation des frais n’est prélevée que si la trans-mission des informations génère des frais importants. Ces frais sont dans tous les cas commu-niqués au préalable au demandeur. L’édition sur papier est envoyée à l’adresse officielle du fournisseur de prestations. La transmission d’informations et le droit de consultation ne concernent pas la correspon-dance interne. Droit de rectification de données inexactes Toute personne est en droit de faire rectifier les données inexactes la concernant enregistrées dans le RCC. Les fournisseurs de prestations reçoivent périodiquement un extrait de mutation du RCC les invitant à rectifier les données incorrectes. 1.5 Obligations des personnes traitant les données

Obligation de discrétion • Toutes les personnes traitant des données du RCC pour le compte de SASIS SA, que ce

soit en vertu d’un contrat de travail ou dans le cadre d’un mandat, sont soumises au se-cret professionnel. Celui-ci s’applique à toutes les informations dont elles ont connais-sance dans le cadre de leur activité professionnelle, et notamment celles de nature actua-rielle et médicale voire celles ayant trait à la politique professionnelle.

• L’obligation de garder le secret vaut également après la fin des rapports de travail ou du mandat.

• Cette obligation doit être précisée dans tous les contrats de travail en y incluant le règle-ment du personnel contenant l’obligation correspondante.

• Toutes les personnes, qui traitent ou consultent des données personnelles, sont tenues de signer ou de reconnaître une déclaration de devoir de diligence.

• Les directives de l’Ordonnance sur la partie générale du droit des assurances sociales (OPGA) doivent être respectées.

Envoi de données pesonnelles • Tous les relevés contenant des données personnelles doivent être adressés au nom de la

personne concernée et être signalés comment étant des documents confidentiels. • Tous les fichiers contenant des données personnelles doivent être envoyés uniquement

par voie électronique sous une forme cryptée. En cas d’accord du fournisseur de presta-tions, les données qui ne contiennent pas de données personnelles sensibles ou des pro-fils de la personnalité, peuvent être envoyées par messagerie électronique, sans être cryp-tées.

2 Traitement des données dans le RCC

2.1 Origine des données

(Art. 21, al. 2, let. b OLPD)



Les données sont communiquées au RCC par un fournisseur de prestations individuel, une or-ganisation mandatée par ce dernier ou un assureur avec la demande d’attribution d’un nu-méro RCC (questionnaire et documents à joindre, avis de mutation suite au relevé de muta-tion ou fichier d’une organisation de fournisseurs de prestations). En cas de doutes ou de discordances, les données sont vérifiées, comparées et contrôlées à l’aide d’autres registres (MedReg de l’OFSP, répertoire GLN de RefData, registre IDE de l’OFS et NAREG), auprès des assureurs, par l’intermédiaire de demandes auprès d’autorités ou d’autres informations publiques (liste des médecins FMH, etc.). Il est nécessaire de vérifier les numéros GLN avec la base de données RefData compte tenu de la facturation, pour laquelle un numéro GLN doit être indiqué en plus du numéro RCC, et en raison de conventions tarifaires nationales comme p.ex. TARMED, qui prescrit la mention des numéros RCC et GLN sur les factures des fournisseurs de prestations. Par ailleurs, les cantons utilisent le numéro GLN dans MedReg pour les autorisations de pratiquer et d’exploitation. Le numéro GLN peut, si aucun numéro n’a encore été attribué, être demandé par SASIS SA au-près de la base de données RefData (HCI) pour les fournisseurs de prestations concernés. La fondation RefData a confié à HCI la gestion du système de référencement GS1 (GTIN et GLN auparavant EAN). 2.2 Schéma des données et processus

Le schéma de données repose avant tout sur le questionnaire de demande d’attribution d’un numéro et comprend les informations suivantes:

Folie 1

Modèle de données théorique de la base de données RCC avec input et output

Admissions et mutations:•Attribution numéro RCC•Documents d’admission•Affiliation à l’association•Adhésion à convention•Auto-déclaration (questionnaire, fiche de mutation)•Demandes de modificationfournisseurs de prestations•Avis de modification desassureurs•Listes d’admission cantons•Contrôles de plausibilité

Données externesassociations:•Attribution à un numéro RCC•Numéro de l’association•Val. intrins./formation FMH•N° RME/ASCA•Périodes de validité

Base de données RCCInformations de base:•Numéro RCC•Numéro GLN/EAN cabinet•Numéro de l’association•Canton d’implantation•Type de partenaire (GP/SG)

Informations compl.:•Nom et adresse•Trafic des paiements•Admission•Discipline médicale•Formation & valeur intrins.•Équipement du cabinet•Mode de décompte•Relations•Membre association/tarif

A) Trafic des paiements:•Numéro RCC•Numéro GLN/EAN pour EDI•Adresse•Compte bancaire et clearing•Compte postal avec clearing•Paiements BVR

B) Contrôle des factures:•Numéro RCC•Début & fin•Admission LAMal•Formation•Employés (numéro C)•Types de traitement•Adhésion convention•Affiliation à l’association

C) Statistiques et EES:•Numéro RCC•Sous-groupe genre departenaire (activité principale)•Équipement du cabinet•Particularités du cabinet

Base de données RCCo:•N° de convention/partenaire•Contenu de la convention•Liste des conventions RCC

Le questionnaire et le relevé de mutation contiennent les informations suivantes:



• nom 1, nom 2, localité, numéro RCC, numéro GLN, canton d’implantation ; • informations relatives au fournisseur de prestations: entre autres, genre de fournisseur de

prestations, groupe de spécialiste, GLN (Global Location Number), numéro REE, classifica-tion selon la statistique des hôpitaux de l’OFS (numéro REE), classification selon la statis-tique SOMED de l’OFS, forme juridique, IDE ;

• informations relatives à l’adresse: entre autres, formule de civilité, langue, adresse, nu-méro de téléphone, numéro de téléfax, adresse e-mail, site web ;

• informations concernant le trafic des paiements: banque avec adresse, compte bancaire, détenteur du compte avec adresse, intermédiaire financier (Ofac, Caisse des médecins, Curabill, etc.) ;

• informations concernant les personnes employées (numéros C et GLN) avec leur qualifica-tion médicale ;

• informations concernant les conditions d’admission: entre autres, autorisation d’exercer cantonale et/ou autorisation d’exercer la profession ainsi que listes des hôpitaux ;

• qualifications/spécialité du fournisseur de prestations: entre autres, brevet, certificat de capacité/d’aptitude, informations concernant la discipline médicale (p. ex. dialyses, psy-chosomatique), informations concernant l’équipement du cabinet médical (p. ex. labora-toire, radiologie, etc.), informations concernant les spécialités des hôpitaux et des EMS ;

• statut: entre autres, informations si les conditions de la LAMal et de l’OAMal sont rem-plies ;

• début et cessation de l’activité ; • conventions tarifaires: entre autres, informations sur les conventions tarifaires appli-

cables ; • informations concernant les critères de qualité selon la LCA: entre autres, indication de la

reconnaissance par des organisations de contrôle de la qualité (RME, ASCA, SPAK, Quali-top, entre autres).

Les données sont gérées en continu (admissions, mutations, attributions) et traitées en vue de leur communication aux organismes autorisés. Le schéma suivant présente l’application RCC:



Folie 2

Aperçu des applications du registre RCC et des produits

ApplicationRegistre des

codes créanciers(RCC)

BD SQL & .NET

Distribution auxassureurs

via l’Extranet

Application Internet

Relevé nocturnede données actuelles

Solution demandant

(propre attribution RCC)

Interfacestandard pourles assureurs

Systèmes des assureurs

Nouvelles admissions

Mutations

Demandes

Corrections

Applicationweb

Extranet/Intranet

santésuisse, acheteurs de prestations,assureurs, autorités et fournisseurs de prestations

AttributionsListes

Interface EDI pour lesassureurs

Donnéessouches

tarif

MedRegdes

cantons

GLN/EANRefdata

ListesAM

PPO

1 2 3 4

Extrait de données à des tiers

(fournisseurs de prestations & autorités)

5

Exportation dedonnées à SASIS

(statistique des données souches, RCCo et Cada)

6

La communication électronique des données est réalisée avec une application Web pour l’affi-chage (GUI) et le téléchargement (download) conformément aux contrats de licence. Les as-sureurs-maladie peuvent accéder à leurs propres attributions (p. ex. fournisseurs de presta-tions en médecine empirique selon la LCA, soins gérés, listes de fournisseurs de prestations, etc.) grâce au paramétrage mis en place pour les mandants.



Le RCC réceptionne et transmet les données selon les interfaces suivantes: De À Objet Fréquence À l’initia-

tive de Moyen utilisé

Fournisseur de presta-tions

RCC Demande ou mutation

En continu Fournisseur de presta-tions

Lettre ou fax pour numérisa-tion, e-mail

Association ou organisa-tion de four-nisseurs de prestations

RCC Demande ou mutation

Chaque se-maine

Association ou organisa-tion de four-nisseurs de prestations

SFTP

RCC Partenaire Comparai-son avec d’autres re-gistres

Chaque mois

RCC SFTP et Web Service

RCC Utilisateur de licence (assureurs, autorités, fournisseurs de presta-tions)

Utilisation selon bases légales

Chaque se-maine

RCC Web-GUI, télé-chargement SFTP

RCC Centre Cada et sta-tistiques

Données souches pour autres produits

Chaque mois

RCC SFTP

Transmission de données à SASIS SA Les données sont transmises en continu ou périodiquement au RCC, par lettre, fax, e-mail ou SFTP, par le fournisseur de prestations demandeur, l’assureur, une organisation de fournis-seurs de prestations mandatée par ses soins ou un tiers autorisé. Traitement et sécurité des données chez SASIS SA SASIS SA exploite le RCC dans un centre informatique externe, à l’intérieur d’une zone sécuri-sée DMZ et Back Office. Transmission de données aux destinataires Les données sont transmises sur la base des modules et contrats de licence suivants: • application Web pour affichage à l’écran: informations importantes (version intégrale) en

vue du contrôle des factures pour les assureurs-maladie, les acheteurs de prestations et les entreprises de services des assureurs-maladie (login entreprise ou utilisateur enregis-tré),

• application Web pour affichage à l’écran: informations limitées (version courte) pour les fournisseurs de prestations (public) afin de consulter le numéro RCC du fournisseur de prestations prescripteur,



• application Web pour affichage à l’écran : pour les autorités (login entreprise ou utilisa-teur enregistré) pour consultation des informations nécessaires à l’exécution de leurs tâches (version moyenne),

• application Web pour téléchargement de données: informations complètes (version inté-grale) destinées aux assureurs-maladie pour leur système d’assurance (registre des créan-ciers des fournisseurs de prestations médicales),

• application Web pour téléchargement de données ou service Web: informations limitées pour l’échange électronique des données de facturation conformément au contrat de li-cence destinées aux fournisseurs de prestations, aux organisations de fournisseurs de prestations (p. ex. intermédiaires comme l’Ofac, la Caisse des médecins, etc.).

SASIS SA peut comparer des relevés de données du RCC avec ceux d’autres bases de don-nées, notamment avec des organisations de fournisseurs de prestations médicales (associa-tions, coopératives professionnelles, etc.), les autorités (OFSP et directions de la santé des cantons) et les assureurs-maladie, si une amélioration de la qualité des données saisies dans les deux bases de données peut être obtenue. Dans le cadre de la collaboration transfrontalière, une livraison de données est effectuée au Liechtensteinischer Krankenkassenverband (LKV). La Principauté du Liechtenstein dispose d’une législation garantissant une protection adéquate. En ce qui concerne la transmission des données à des prestataires des assureurs (conformé-ment à un contrat conclu avec les assureurs), il peut arriver que l’entreprise d’outsourcing ait son siège social à l’étranger. Au cas où le pays en question ne possèderait pas de législation garantissant une protection adéquate, l’entreprise concernée qui réceptionne les données de-vra garantir d’une autre manière le respect des directives légales en matière de protection des données. 2.3 Personnes responsables

Le responsable du département en charge du RCC doit veiller à ce que ce dernier soit géré selon le présent règlement. Il doit notamment s’assurer que les données ne sont traitées que pour le but prévu et que l’accès aux données et leur communication respectent le présent rè-glement. Le responsable de la sécurité des informations et de la protection des données de SASIS SA contrôle le respect des directives et du règlement, tant en interne que chez les fournisseurs de prestations et de données externes. 2.4 Archivage/destruction

La base de données RCC peut être consultée dans la version actuelle respective ainsi que dans les deux dernières versions. Les données du RCC sont archivées pendant 10 ans.



2.5 Autres documents importants relatifs à la protection des don-nées

La documentation [1] des mesures de sécurité techniques et organisationnelles repose sur les directives suivantes: • contrôle des installations à l’entrée: (art. 9, al. 1, let. a OLPD) • contrôle des supports de données personnelles: (art. 9, al. 1, let. b OLPD) • contrôle du transport: (art. 9, al. 1, let. c OLPD) • contrôle de communication: (art. 9, al. 1, let. d OLPD) • contrôle de mémoire: (art. 9, al. 1, let. e OLPD) • contrôle d’utilisation: (art. 9, al. 1, let. f OLPD) • contrôle d’accès: (art. 9, al. 1, let. g OLPD) • contrôle de l’introduction (procès-verbal): (art. 9, al. 1, let. h OLPD)

Documents référencés

No d‘ordre

ID du docu-ment

Titre du document / remarques

[1] DSMS-2-1004 Mesures de sécurité techniques et organisationnelles