Azienda Ospedaliera San Giovanni Addolorata Misure di Sicurezza per gli Strumenti Elettronici Roma, 27 Ottobre 2008 Gianpiero Guerrieri Dirigente Analista Responsabile I.C.T. [email protected] [email protected] Trattamenti con strumenti elettronici Modalità tecniche da adottare a cura del titolare, del responsabile ove designato e dell’incaricato, in caso di trattamento con strumenti elettronici: Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti. (D.Lgs 196/03 All. B reg. 1) Assicurare la segretezza Credenziali di autenticazione Le credenziali di autenticazione consistono in un codice per l’identificazione dell’incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell’incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell’incaricato, eventualmente associata a un codice identificativo o a una parola chiave. (D.Lgs 196/03 All. B reg. 2) Assegnazione delle credenziali agli Incaricati Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per l’autenticazione. Il codice per l’identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica. Le credenziali sono disattivate anche in caso di perdita della qualità che consente all’incaricato l’accesso ai dati personali. (D.Lgs 196/03 All. B reg.le 3, 6 ,7 ,8) Sistema di autorizzazione Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è utilizzato un sistema di autorizzazione. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all’inizio del trattamento, in modo da limitare l’accesso ai soli dati necessari per effettuare le operazioni di trattamento. Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione. (D.Lgs 196/03 All. B reg.le 12, 13, 14) Sistema di autorizzazione Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite. La designazione è effettuata per iscritto e individua puntualmente l’ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l’ambito del trattamento consentito agli addetti all’unità medesima. (D.Lgs 196/03 Art. 30) Sistema di autorizzazione I Responsabili del Trattamento Dati, con il supporto dei Referenti Privacy, devono provvedere all’assegnazione degli incarichi per tutto il personale (interno ed esterno) che appartiene al proprio ambito organizzativo (Dipartimento, Area, U.O.C., …) controllando con particolare attenzione gli spostamenti ed i trasferimenti del personale che di fatto porta con se le abilitazioni informatiche Resp. Trattamento Dati Referenti Privacy Incaricati Sistema di autorizzazione: richiesta credenziali/abilitazioni Il Responsabile del Trattamento dei Dati individua e nomina i suoi incaricati per il trattamento dei dati ed effettua una richiesta all’I.C.T. di creazione delle credenziali o delle abilitazioni necessarie per accedere al sistema informatico di interesse. Scenario Attuale: le richieste vengono effettuate compilando la modulistica presente sul portale aziendale nella sezione “modulistica” e nella cartella “moduli di richiesta-software” ed inviando il tutto via fax all’ICT Scenario Futuro: le richieste verranno effettuate utilizzando delle funzionalità informatiche presenti nel portale aziendale ed accessibili dopo l’autenticazione (login). Tali funzionalità danno modo di visualizzare l’elenco di tutto il personale dipendente e consentono di inoltrare una richiesta informatica. A queste funzionalità saranno abilitati esclusivamente i RTD ed i RP. Per il personale esterno non censito nel sistema informatico si continueranno ad effettuare richieste cartacee. Sistema di autorizzazione: evasione delle richieste L’I.C.T. riceve le richieste di creazione delle credenziali o delle abilitazioni ed, una volta provveduto, invia tramite e-mail le informazioni necessarie per l’abilitazione direttamente all’incaricato (non al RTD o RP) Scenario Futuro: il RTD ed il RP riceveranno una notifica via e-mail dell’avvenuta abilitazione Sistema di autorizzazione: verifica delle abilitazioni Gli Incaricati al Trattamento Dati possono verificare lo stato delle proprie abilitazioni richiamando nella propria area riservata del portale le funzionalità denominate “Abilitazioni ai Sistemi Informatici”. Scenario Futuro: il RTD ed il RP potranno da qualunque postazione informatica ed in qualunque momento effettuare dei controlli sulle abilitazioni dei propri incaricati al fine di verificare l’assegnazione delle credenziali, modificare o chiedere l’eliminazione di credenziali già assegnate o per richiederne di nuove. Tali funzionalità saranno raggiungibili dalla propria area riservata nel portale aziendale. Al momento gli elenchi possono essere richiesti all’ICT. Formazione degli Incaricati Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell’incaricato. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento. Sono impartite istruzioni organizzative e tecniche per la custodia e l’uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti. Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l’intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. (D.Lgs 196/03 All. B reg.le 4, 9, 21, 27) Formazione degli Incaricati: attuazione L’Azienda Ospedaliera S.Giovanni – Addolorata si è da tempo dotata di una piattaforma di e-Learning per la formazione a distanza che facilita il compito della formazione affidato al Titolare ed ai Responsabili del Trattamento dei Dati. Il sistema permette di impartire agli Incaricati le istruzioni operative definite dal Titolare e dai Responsabili. I corsi possono essere seguiti semplicemente collegandosi con una postazione informatica al portale aziendale. Al momento sono presenti tre corsi sulla privacy ai quali possono accedere tutti i dipendenti aziendali in possesso di password di posta elettronica aziendale Documenti Pubblicati sul Portale Aziendale SELS Piattaforma di E-Learning per la Formazione a Distanza D.Lgs. del 30 giugno 2003, n.196 (Testo Unico Privacy) Codice in materia di protezione dei dati personali 09/06/2006 Linee Guida Dignità degli Utenti Linee guida per la tutela della dignità degli utenti dei servizi sanitari dell’Azienda Ospedaliera 10/10/2006 Modulo Consenso Privacy Modulo di autorizzazione al trattamento dei dati personali. Questo modulo deve essere adottato da tutti gli uffici che effettuano operazioni di accettazione con l'utenza (pazienti, assistiti, etc.) 20/11/2007 Norme ad Uso degli Incaricati per il Trattamento dei Dati con Strumenti Elettronici Lo scopo del documento è di fornire un insieme di istruzioni operative agli incaricati del trattamento dei dati che fanno uso di strumenti elettronici al fine di ottemperare a quanto previsto nell’articolo 34 del Decreto Legislativo 196/03 in tema di Misure Minime di Sicurezza da adottare per la protezione dei dati. Azienda Ospedaliera San Giovanni Addolorata Misure di Sicurezza per gli Strumenti Elettronici Roma, 27 Ottobre 2008 GRAZIE PER L‘ATTENZIONE Gianpiero Guerrieri Dirigente Analista Responsabile I.C.T. [email protected] [email protected]