Azienda Ospedaliera San Giovanni Addolorata
Privacy: Misure Minime di Sicurezza
Gianpiero Guerrieri
Dirigente Analista I.C.T.
E-mail: [email protected]
[email protected]
Roma, 13 Dicembre 2007
ALLEGATO B
DISCIPLINARE TECNICO
IN MATERIA DI MISURE MINIME DI SICUREZZA
(Artt. da 33 a 36 del codice)
Trattamenti con strumenti elettronici
Attuazione nell’A.O. San Giovanni Addolorata
Sistema di Autenticazione Informatica
Il trattamento di dati personali
con strumenti elettronici è
consentito agli incaricati dotati di
credenziali di autenticazione che
consentano il superamento di
una procedura di autenticazione
relativa a uno specifico
trattamento o a un insieme di
trattamenti.
(D.Lgs 196/03 All. B reg. 1-3)
Assicurare la segretezza
Sistema di Autorizzazione
Il Responsabile del trattamento dei dati individua e nomina i
suoi incaricati per il trattamento dei dati. (D.Lgs 196/03 Art. 30)
La Direzione ICT crea le credenziali sui sistemi
come da richiesta del Responsabile del
trattamento dei dati
L’incaricato riceve le credenziali di accesso nella sua casella
di posta elettronica aziendale con le Norme ad Uso degli
Incaricati al Trattamento dei Dati con Strumenti Elettronici.
(D.Lgs 196/03 All. B reg. 4 e 9)
Verifica Periodica delle Credenziali di Accesso
Collaborazione Responsabili del
trattamento dei dati – I.C.T.
(D.Lgs 196/03 All. B reg. 7 e 8)
Periodicamente, e comunque
almeno annualmente, è
verificata la sussistenza delle
condizioni per la conservazione
dei profili di autorizzazione.
(D.Lgs 196/03 All. B reg. 14)
Tutte le credenziali gestite dall’I.C.T.
sono inserite in un unico database
Altre Misure di Sicurezza
I dati personali sono protetti contro il rischio di intrusione e dell’azione
di programmi di cui all’art. 615-quinquies del codice penale, mediante
l’attivazione di idonei strumenti elettronici da aggiornare con cadenza
almeno semestrale. (D.Lgs 196/03 All. B reg. 16)
Gli aggiornamenti periodici dei programmi per elaboratore volti a
prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti
sono effettuati almeno annualmente. In caso di trattamento di dati
sensibili o giudiziari l’aggiornamento è almeno semestrale.
(D.Lgs 196/03 All. B reg. 17)
Sono impartite istruzioni organizzative e tecniche che prevedono il
salvataggio dei dati con frequenza almeno settimanale. (D.Lgs 196/03 All. B reg. 18)
Protezione Fisica dei Dati
Server alta
affidabilità
Controllo degli
accessi
Gruppi di
continuità
adeguati
Sistema Antincendio
a norma
L’I.C.T. e la Centralizzazione dei Dati: Passato
Integrazioni al DPS
per ogni trattamento
effettuato con
strumenti informatici
Una procedura di
salvataggio dei dati
per ogni trattamento
effettuato con
strumenti informatici
Dati sensibili e
personali distribuiti
sui singoli PC
Basi dati distribuite su
tutto il territorio
dell’Azienda che
necessitano di una
protezione fisica
L’I.C.T. e la Centralizzazione dei Dati: Presente
Semplificazione di
gestione e
aggiornamento del DPS
Aziendale
Un’unica procedura di
salvataggio dei dati
per tutti i trattamenti
effettuati con
strumenti informatici
Riduzione di dati
sensibili distribuiti sui
singoli PC grazie
all’utilizzo di terminali
Basi dati centralizzate in
un’unica sala macchine
protetta fisicamente da
intrusioni e incendi
L’I.C.T. e la Centralizzazione dei Dati: Futuro
Adesione totale alle
Misure Minime di
Sicurezza
Miglioramento dei
livelli di servizio
Riduzione dell’obsolescenza
dei PC e aumento del
patrimonio informatico
aziendale
Documento Programmatico sulla Sicurezza
(D.Lgs 196/03 All. B reg. 19)
Reg.19.1– Elenco dei trattamenti dei dati personali
Reg.19.2 – Distribuzione dei compiti e delle responsabilità
Reg.19.3 – Analisi dei rischi che incombono sui dati
Reg.19.4 – Misure da adottare per l’integrità, la disponibilità e la sicurezza fisica dei
dati
Reg.19.5 – Ripristino disponibilità in seguito a distruzione o danneggiamento dei dati
Reg.19.6 – Previsione degli interventi formativi degli incaricati
Reg.19.7 – Descrizione criteri da adottare in caso di trattamenti affidati all’esterno
Reg.19.8 – Definizione dei criteri di cifratura o separazione dei dati sensibili da quelli
personali
Riferimenti Bibliografici in Area Intranet
SELS
Piattaforma di E-Learning in Intranet per la Formazione a Distanza
D.Lgs. del 30 giugno 2003, n.196 (Testo Unico Privacy)
Codice in materia di protezione dei dati personali 09/06/2006
Linee Guida Dignità degli Utenti
Linee guida per la tutela della dignità degli utenti dei servizi sanitari dell’Azienda Ospedaliera
10/10/2006
Modulo Consenso Privacy
Modulo di autorizzazione al trattamento dei dati personali. Questo modulo deve essere adottato
da tutti gli uffici che effettuano operazioni di accettazione con l'utenza (pazienti, assistiti,
etc.) 20/11/2007
Norme ad Uso degli Incaricati per il Trattamento dei Dati con Strumenti Elettronici
Lo scopo del documento è di fornire un insieme di istruzioni operative agli incaricati del
trattamento dei dati che fanno uso di strumenti elettronici al fine di ottemperare a quanto
previsto nell’articolo 34 del Decreto Legislativo 196/03 in tema di Misure Minime di
Sicurezza da adottare per la protezione dei dati.
Azienda Ospedaliera San Giovanni Addolorata
Privacy: Misure Minime di Sicurezza
Grazie per la Cortese l‘Attenzione
Gianpiero Guerrieri
Dirigente Analista I.C.T.
E-mail: [email protected]
Roma, 13 Dicembre 2007