Azienda Ospedaliera San Giovanni Addolorata Privacy: Misure Minime di Sicurezza Gianpiero Guerrieri Dirigente Analista I.C.T. E-mail: [email protected] [email protected] Roma, 13 Dicembre 2007 ALLEGATO B DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA (Artt. da 33 a 36 del codice) Trattamenti con strumenti elettronici Attuazione nell’A.O. San Giovanni Addolorata Sistema di Autenticazione Informatica Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti. (D.Lgs 196/03 All. B reg. 1-3) Assicurare la segretezza Sistema di Autorizzazione Il Responsabile del trattamento dei dati individua e nomina i suoi incaricati per il trattamento dei dati. (D.Lgs 196/03 Art. 30) La Direzione ICT crea le credenziali sui sistemi come da richiesta del Responsabile del trattamento dei dati L’incaricato riceve le credenziali di accesso nella sua casella di posta elettronica aziendale con le Norme ad Uso degli Incaricati al Trattamento dei Dati con Strumenti Elettronici. (D.Lgs 196/03 All. B reg. 4 e 9) Verifica Periodica delle Credenziali di Accesso Collaborazione Responsabili del trattamento dei dati – I.C.T. (D.Lgs 196/03 All. B reg. 7 e 8) Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione. (D.Lgs 196/03 All. B reg. 14) Tutte le credenziali gestite dall’I.C.T. sono inserite in un unico database Altre Misure di Sicurezza I dati personali sono protetti contro il rischio di intrusione e dell’azione di programmi di cui all’art. 615-quinquies del codice penale, mediante l’attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale. (D.Lgs 196/03 All. B reg. 16) Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l’aggiornamento è almeno semestrale. (D.Lgs 196/03 All. B reg. 17) Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale. (D.Lgs 196/03 All. B reg. 18) Protezione Fisica dei Dati Server alta affidabilità Controllo degli accessi Gruppi di continuità adeguati Sistema Antincendio a norma L’I.C.T. e la Centralizzazione dei Dati: Passato Integrazioni al DPS per ogni trattamento effettuato con strumenti informatici Una procedura di salvataggio dei dati per ogni trattamento effettuato con strumenti informatici Dati sensibili e personali distribuiti sui singoli PC Basi dati distribuite su tutto il territorio dell’Azienda che necessitano di una protezione fisica L’I.C.T. e la Centralizzazione dei Dati: Presente Semplificazione di gestione e aggiornamento del DPS Aziendale Un’unica procedura di salvataggio dei dati per tutti i trattamenti effettuati con strumenti informatici Riduzione di dati sensibili distribuiti sui singoli PC grazie all’utilizzo di terminali Basi dati centralizzate in un’unica sala macchine protetta fisicamente da intrusioni e incendi L’I.C.T. e la Centralizzazione dei Dati: Futuro Adesione totale alle Misure Minime di Sicurezza Miglioramento dei livelli di servizio Riduzione dell’obsolescenza dei PC e aumento del patrimonio informatico aziendale Documento Programmatico sulla Sicurezza (D.Lgs 196/03 All. B reg. 19) Reg.19.1– Elenco dei trattamenti dei dati personali Reg.19.2 – Distribuzione dei compiti e delle responsabilità Reg.19.3 – Analisi dei rischi che incombono sui dati Reg.19.4 – Misure da adottare per l’integrità, la disponibilità e la sicurezza fisica dei dati Reg.19.5 – Ripristino disponibilità in seguito a distruzione o danneggiamento dei dati Reg.19.6 – Previsione degli interventi formativi degli incaricati Reg.19.7 – Descrizione criteri da adottare in caso di trattamenti affidati all’esterno Reg.19.8 – Definizione dei criteri di cifratura o separazione dei dati sensibili da quelli personali Riferimenti Bibliografici in Area Intranet SELS Piattaforma di E-Learning in Intranet per la Formazione a Distanza D.Lgs. del 30 giugno 2003, n.196 (Testo Unico Privacy) Codice in materia di protezione dei dati personali 09/06/2006 Linee Guida Dignità degli Utenti Linee guida per la tutela della dignità degli utenti dei servizi sanitari dell’Azienda Ospedaliera 10/10/2006 Modulo Consenso Privacy Modulo di autorizzazione al trattamento dei dati personali. Questo modulo deve essere adottato da tutti gli uffici che effettuano operazioni di accettazione con l'utenza (pazienti, assistiti, etc.) 20/11/2007 Norme ad Uso degli Incaricati per il Trattamento dei Dati con Strumenti Elettronici Lo scopo del documento è di fornire un insieme di istruzioni operative agli incaricati del trattamento dei dati che fanno uso di strumenti elettronici al fine di ottemperare a quanto previsto nell’articolo 34 del Decreto Legislativo 196/03 in tema di Misure Minime di Sicurezza da adottare per la protezione dei dati. Azienda Ospedaliera San Giovanni Addolorata Privacy: Misure Minime di Sicurezza Grazie per la Cortese l‘Attenzione Gianpiero Guerrieri Dirigente Analista I.C.T. E-mail: [email protected] Roma, 13 Dicembre 2007