...

Azienda Ospedaliera San Giovanni Addolorata Privacy

by user

on
Category: Documents
12

views

Report

Comments

Transcript

Azienda Ospedaliera San Giovanni Addolorata Privacy
Azienda Ospedaliera San Giovanni Addolorata
Misure di Sicurezza per gli Strumenti Elettronici
Roma, 27 Ottobre 2008
Gianpiero Guerrieri
Dirigente Analista
Responsabile I.C.T.
[email protected]
[email protected]
Trattamenti con strumenti
elettronici
Modalità tecniche da adottare a cura del titolare, del responsabile ove designato e
dell’incaricato, in caso di trattamento con strumenti elettronici:
Il trattamento di dati personali
con strumenti elettronici è
consentito agli incaricati dotati di
credenziali di autenticazione che
consentano il superamento di
una procedura di autenticazione
relativa a uno specifico
trattamento o a un insieme di
trattamenti.
(D.Lgs 196/03 All. B reg. 1)
Assicurare la segretezza
Credenziali di autenticazione
Le credenziali di autenticazione consistono in un codice
per l’identificazione dell’incaricato associato a una parola
chiave riservata conosciuta solamente dal medesimo
oppure in un dispositivo di autenticazione in possesso e
uso esclusivo dell’incaricato, eventualmente associato a
un codice identificativo o a una parola chiave, oppure in
una caratteristica biometrica dell’incaricato, eventualmente
associata a un codice identificativo o a una parola chiave.
(D.Lgs 196/03 All. B reg. 2)
Assegnazione delle credenziali agli
Incaricati
Ad ogni incaricato sono assegnate o associate individualmente una
o più credenziali per l’autenticazione.
Il codice per l’identificazione, laddove utilizzato, non può essere
assegnato ad altri incaricati, neppure in tempi diversi.
Le credenziali di autenticazione non utilizzate da almeno sei mesi
sono disattivate, salvo quelle preventivamente autorizzate per soli
scopi di gestione tecnica.
Le credenziali sono disattivate anche in caso di
perdita della qualità che consente all’incaricato
l’accesso ai dati personali.
(D.Lgs 196/03 All. B reg.le 3, 6 ,7 ,8)
Sistema di autorizzazione
Quando per gli incaricati sono individuati profili di autorizzazione di
ambito diverso è utilizzato un sistema di autorizzazione.
I profili di autorizzazione, per ciascun incaricato o per classi
omogenee di incaricati, sono individuati e configurati anteriormente
all’inizio del trattamento, in modo da limitare l’accesso ai soli dati
necessari per effettuare le operazioni di trattamento.
Periodicamente, e comunque almeno annualmente, è
verificata la sussistenza delle condizioni per la
conservazione dei profili di autorizzazione.
(D.Lgs 196/03 All. B reg.le 12, 13, 14)
Sistema di autorizzazione
Le operazioni di trattamento possono essere effettuate solo
da incaricati che operano sotto la diretta autorità del titolare o
del responsabile, attenendosi alle istruzioni impartite.
La designazione è effettuata per iscritto e individua
puntualmente l’ambito del trattamento consentito. Si
considera tale anche la documentata preposizione della
persona fisica ad una unità per la quale è individuato, per
iscritto, l’ambito del trattamento consentito agli addetti all’unità
medesima.
(D.Lgs 196/03 Art. 30)
Sistema di autorizzazione
I Responsabili del Trattamento Dati, con il supporto dei Referenti Privacy,
devono provvedere all’assegnazione degli incarichi per tutto il personale
(interno ed esterno) che appartiene al proprio ambito organizzativo
(Dipartimento, Area, U.O.C., …) controllando con particolare attenzione gli
spostamenti ed i trasferimenti del personale che di fatto porta con se le
abilitazioni informatiche
Resp. Trattamento Dati
Referenti Privacy
Incaricati
Sistema di autorizzazione:
richiesta credenziali/abilitazioni
Il Responsabile del Trattamento dei Dati individua e nomina i suoi incaricati
per il trattamento dei dati ed effettua una richiesta all’I.C.T. di creazione delle
credenziali o delle abilitazioni necessarie per accedere al sistema informatico
di interesse.
Scenario Attuale: le richieste vengono effettuate compilando la modulistica
presente sul portale aziendale nella sezione “modulistica” e nella cartella
“moduli di richiesta-software” ed inviando il tutto via fax all’ICT
Scenario Futuro: le richieste verranno effettuate utilizzando delle funzionalità
informatiche presenti nel portale aziendale ed accessibili dopo
l’autenticazione (login). Tali funzionalità danno modo di visualizzare l’elenco
di tutto il personale dipendente e consentono di inoltrare una richiesta
informatica. A queste funzionalità saranno abilitati esclusivamente i RTD ed i
RP. Per il personale esterno non censito nel sistema informatico si
continueranno ad effettuare richieste cartacee.
Sistema di autorizzazione:
evasione delle richieste
L’I.C.T. riceve le richieste di creazione delle credenziali o delle abilitazioni
ed, una volta provveduto, invia tramite e-mail le informazioni necessarie per
l’abilitazione direttamente all’incaricato (non al RTD o RP)
Scenario Futuro: il RTD ed il RP riceveranno una notifica via e-mail
dell’avvenuta abilitazione
Sistema di autorizzazione:
verifica delle abilitazioni
Gli Incaricati al Trattamento Dati possono verificare lo stato delle proprie
abilitazioni richiamando nella propria area riservata del portale le
funzionalità denominate “Abilitazioni ai Sistemi Informatici”.
Scenario Futuro: il RTD ed il RP potranno da qualunque postazione
informatica ed in qualunque momento effettuare dei controlli sulle
abilitazioni dei propri incaricati al fine di verificare l’assegnazione delle
credenziali, modificare o chiedere l’eliminazione di credenziali già
assegnate o per richiederne di nuove. Tali funzionalità saranno raggiungibili
dalla propria area riservata nel portale aziendale. Al momento gli elenchi
possono essere richiesti all’ICT.
Formazione degli Incaricati
Con le istruzioni impartite agli incaricati è prescritto di adottare le
necessarie cautele per assicurare la segretezza della componente
riservata della credenziale e la diligente custodia dei dispositivi in
possesso ed uso esclusivo dell’incaricato.
Sono impartite istruzioni agli incaricati per non lasciare incustodito e
accessibile lo strumento elettronico durante una sessione di trattamento.
Sono impartite istruzioni organizzative e tecniche per la custodia e l’uso
dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare
accessi non autorizzati e trattamenti non consentiti.
Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed
alla custodia, per l’intero ciclo necessario allo svolgimento
delle operazioni di trattamento, degli atti e dei documenti
contenenti dati personali.
(D.Lgs 196/03 All. B reg.le 4, 9, 21, 27)
Formazione degli Incaricati:
attuazione
L’Azienda Ospedaliera S.Giovanni – Addolorata si è da tempo dotata di
una piattaforma di e-Learning per la formazione a distanza che facilita il
compito della formazione affidato al Titolare ed ai Responsabili del
Trattamento dei Dati.
Il sistema permette di impartire agli Incaricati le istruzioni operative definite
dal Titolare e dai Responsabili. I corsi possono essere seguiti
semplicemente collegandosi con una postazione informatica al portale
aziendale.
Al momento sono presenti tre corsi sulla privacy ai quali possono
accedere tutti i dipendenti aziendali in possesso di password di posta
elettronica aziendale
Documenti Pubblicati sul
Portale Aziendale
SELS
Piattaforma di E-Learning per la Formazione a Distanza
D.Lgs. del 30 giugno 2003, n.196 (Testo Unico Privacy)
Codice in materia di protezione dei dati personali 09/06/2006
Linee Guida Dignità degli Utenti
Linee guida per la tutela della dignità degli utenti dei servizi sanitari dell’Azienda Ospedaliera
10/10/2006
Modulo Consenso Privacy
Modulo di autorizzazione al trattamento dei dati personali. Questo modulo deve essere adottato
da tutti gli uffici che effettuano operazioni di accettazione con l'utenza (pazienti, assistiti,
etc.) 20/11/2007
Norme ad Uso degli Incaricati per il Trattamento dei Dati con Strumenti Elettronici
Lo scopo del documento è di fornire un insieme di istruzioni operative agli incaricati del
trattamento dei dati che fanno uso di strumenti elettronici al fine di ottemperare a quanto
previsto nell’articolo 34 del Decreto Legislativo 196/03 in tema di Misure Minime di
Sicurezza da adottare per la protezione dei dati.
Azienda Ospedaliera San Giovanni Addolorata
Misure di Sicurezza per gli Strumenti Elettronici
Roma, 27 Ottobre 2008
GRAZIE PER L‘ATTENZIONE
Gianpiero Guerrieri
Dirigente Analista
Responsabile I.C.T.
[email protected]
[email protected]
Fly UP