Misure di Sicurezza per gli Strumenti ElettroniciMisure di Sicurezza per gli Strumenti Elettronici

Gianpiero GuerrieriDirigente Analista Responsabile I.C.T.

gguerrieri@hsangiovanni.roma.it comitatoprivacy@hsangiovanni.roma.it

Azienda Ospedaliera San Giovanni AddolorataAzienda Ospedaliera San Giovanni Addolorata

Roma, 27 Ottobre 2008

Trattamenti con strumenti Trattamenti con strumenti elettronicielettronici

Il trattamento di dati personali Il trattamento di dati personali con strumenti elettronici è con strumenti elettronici è consentito agli incaricati dotati di consentito agli incaricati dotati di credenziali di autenticazione che credenziali di autenticazione che consentano il superamento di consentano il superamento di una procedura di autenticazione una procedura di autenticazione relativa a uno specifico relativa a uno specifico trattamento o a un insieme di trattamento o a un insieme di trattamentitrattamenti. .

(D.Lgs 196/03 All. B reg. 1)(D.Lgs 196/03 All. B reg. 1)Assicurare la segretezzaAssicurare la segretezza

Modalità tecniche da adottare a cura del titolare, del responsabile ove designato e dell’incaricato, in caso di trattamento con strumenti elettronici:

Credenziali di autenticazioneCredenziali di autenticazione

Le credenziali di autenticazione consistono in un codice Le credenziali di autenticazione consistono in un codice per l’identificazione dell’incaricato associato a una parola per l’identificazione dell’incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell’incaricato, eventualmente associato a uso esclusivo dell’incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell’incaricato, eventualmente una caratteristica biometrica dell’incaricato, eventualmente associata a un codice identificativo o a una parola chiave. associata a un codice identificativo o a una parola chiave.

(D.Lgs 196/03 All. B reg. 2)(D.Lgs 196/03 All. B reg. 2)

Assegnazione delle credenziali Assegnazione delle credenziali agli Incaricatiagli Incaricati

Ad ogni incaricato sono assegnate o associate individualmente una Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per l’autenticazione. o più credenziali per l’autenticazione.

Il codice per l’identificazione, laddove utilizzato, Il codice per l’identificazione, laddove utilizzato, non può essere non può essere assegnato ad altri incaricati, neppure in tempi diversiassegnato ad altri incaricati, neppure in tempi diversi..

Le credenziali di autenticazione non utilizzate da almeno sei mesi Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivatesono disattivate, salvo quelle preventivamente autorizzate per soli , salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica.scopi di gestione tecnica.

Le credenziali sono disattivate anche in caso di Le credenziali sono disattivate anche in caso di perdita della qualità che consente all’incaricato perdita della qualità che consente all’incaricato l’accesso ai dati personalil’accesso ai dati personali..

(D.Lgs 196/03 All. B reg.le 3, 6 ,7 ,8)(D.Lgs 196/03 All. B reg.le 3, 6 ,7 ,8)

Sistema di autorizzazioneSistema di autorizzazione

Quando per gli incaricati sono individuati Quando per gli incaricati sono individuati profiliprofili di autorizzazione di di autorizzazione di ambito diverso è utilizzato un sistema di autorizzazione. ambito diverso è utilizzato un sistema di autorizzazione.

I profili di autorizzazione, per ciascun incaricato o per classi I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente omogenee di incaricati, sono individuati e configurati anteriormente all’inizio del trattamento, in modo da limitare l’accesso ai soli dati all’inizio del trattamento, in modo da limitare l’accesso ai soli dati necessari per effettuare le operazioni di trattamento. necessari per effettuare le operazioni di trattamento.

Periodicamente, e comunque almeno annualmente, è Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle condizioni per la verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione.conservazione dei profili di autorizzazione.

(D.Lgs 196/03 All. B reg.le 12, 13, 14)(D.Lgs 196/03 All. B reg.le 12, 13, 14)

Sistema di autorizzazioneSistema di autorizzazioneLe operazioni di trattamento possono essere effettuate solo Le operazioni di trattamento possono essere effettuate solo da incaricati che da incaricati che operano sotto la diretta autorità del titolare o operano sotto la diretta autorità del titolare o del responsabiledel responsabile, attenendosi alle istruzioni impartite., attenendosi alle istruzioni impartite.

La designazione è effettuata per iscritto e individua La designazione è effettuata per iscritto e individua puntualmente l’ambito del trattamento consentitopuntualmente l’ambito del trattamento consentito. Si . Si considera tale anche la documentata preposizione della considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per persona fisica ad una unità per la quale è individuato, per iscritto, l’ambito del trattamento consentito agli addetti all’unità iscritto, l’ambito del trattamento consentito agli addetti all’unità medesima. medesima. (D.Lgs 196/03 Art. 30)(D.Lgs 196/03 Art. 30)

Sistema di autorizzazioneSistema di autorizzazioneI Responsabili del Trattamento Dati, con il supporto dei Referenti Privacy, I Responsabili del Trattamento Dati, con il supporto dei Referenti Privacy, devono provvedere all’assegnazione degli incarichi per tutto il personale devono provvedere all’assegnazione degli incarichi per tutto il personale

(interno ed esterno) che appartiene al proprio ambito organizzativo (interno ed esterno) che appartiene al proprio ambito organizzativo (Dipartimento, Area, U.O.C., …) controllando con particolare attenzione gli (Dipartimento, Area, U.O.C., …) controllando con particolare attenzione gli

spostamenti ed i trasferimenti del personale che di fatto porta con se le spostamenti ed i trasferimenti del personale che di fatto porta con se le abilitazioni informaticheabilitazioni informatiche

Resp. Trattamento DatiResp. Trattamento Dati

Referenti PrivacyReferenti Privacy

IncaricatiIncaricati

Sistema di autorizzazione: Sistema di autorizzazione: richiesta credenziali/abilitazionirichiesta credenziali/abilitazioni

Il Responsabile del Trattamento dei Dati individua e nomina i suoi incaricati Il Responsabile del Trattamento dei Dati individua e nomina i suoi incaricati per il trattamento dei dati ed effettua una richiesta all’I.C.T. di creazione delle per il trattamento dei dati ed effettua una richiesta all’I.C.T. di creazione delle credenziali o delle abilitazioni necessarie per accedere al sistema informatico credenziali o delle abilitazioni necessarie per accedere al sistema informatico di interesse. di interesse.

Scenario Attuale: le richieste vengono effettuate compilando la modulistica Scenario Attuale: le richieste vengono effettuate compilando la modulistica presente sul portale aziendale nella sezione “modulistica” e nella cartella presente sul portale aziendale nella sezione “modulistica” e nella cartella “moduli di richiesta-software” ed inviando il tutto via fax all’ICT“moduli di richiesta-software” ed inviando il tutto via fax all’ICT

Scenario Futuro: le richieste verranno effettuate utilizzando delle funzionalità Scenario Futuro: le richieste verranno effettuate utilizzando delle funzionalità informatiche presenti nel portale aziendale ed accessibili dopo informatiche presenti nel portale aziendale ed accessibili dopo l’autenticazione (login). Tali funzionalità danno modo di visualizzare l’elenco l’autenticazione (login). Tali funzionalità danno modo di visualizzare l’elenco di tutto il personale dipendente e consentono di inoltrare una richiesta di tutto il personale dipendente e consentono di inoltrare una richiesta informatica. A queste funzionalità saranno abilitati esclusivamente i RTD ed i informatica. A queste funzionalità saranno abilitati esclusivamente i RTD ed i RP. Per il personale esterno non censito nel sistema informatico si RP. Per il personale esterno non censito nel sistema informatico si continueranno ad effettuare richieste cartacee.continueranno ad effettuare richieste cartacee.

Sistema di autorizzazione: Sistema di autorizzazione: evasione delle richiesteevasione delle richieste

L’I.C.T. riceve le richieste di creazione delle credenziali o delle abilitazioni L’I.C.T. riceve le richieste di creazione delle credenziali o delle abilitazioni ed, una volta provveduto, invia tramite e-mail le informazioni necessarie per ed, una volta provveduto, invia tramite e-mail le informazioni necessarie per l’abilitazione direttamente all’incaricato (non al RTD o RP)l’abilitazione direttamente all’incaricato (non al RTD o RP)

Scenario Futuro: il RTD ed il RP riceveranno una notifica via e-mail Scenario Futuro: il RTD ed il RP riceveranno una notifica via e-mail dell’avvenuta abilitazionedell’avvenuta abilitazione

Sistema di autorizzazione: Sistema di autorizzazione: verifica delle abilitazioniverifica delle abilitazioni

Gli Incaricati al Trattamento Dati possono verificare lo stato delle proprie Gli Incaricati al Trattamento Dati possono verificare lo stato delle proprie abilitazioni richiamando nella propria area riservata del portale le abilitazioni richiamando nella propria area riservata del portale le funzionalità denominate “Abilitazioni ai Sistemi Informatici”.funzionalità denominate “Abilitazioni ai Sistemi Informatici”.

Scenario Futuro: il RTD ed il RP potranno da qualunque postazione Scenario Futuro: il RTD ed il RP potranno da qualunque postazione informatica ed in qualunque momento effettuare dei controlli sulle informatica ed in qualunque momento effettuare dei controlli sulle abilitazioni dei propri incaricati al fine di verificare l’assegnazione delle abilitazioni dei propri incaricati al fine di verificare l’assegnazione delle credenziali, modificare o chiedere l’eliminazione di credenziali già credenziali, modificare o chiedere l’eliminazione di credenziali già assegnate o per richiederne di nuove. Tali funzionalità saranno raggiungibili assegnate o per richiederne di nuove. Tali funzionalità saranno raggiungibili dalla propria area riservata nel portale aziendale. Al momento gli elenchi dalla propria area riservata nel portale aziendale. Al momento gli elenchi possono essere richiesti all’ICT.possono essere richiesti all’ICT.

Formazione degli IncaricatiFormazione degli IncaricatiCon le istruzioni impartite agli incaricati è prescritto di adottare le Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la necessarie cautele per assicurare la segretezzasegretezza della componente della componente riservata della credenziale e la diligente riservata della credenziale e la diligente custodiacustodia dei dispositivi in dei dispositivi in possesso ed uso esclusivo dell’incaricato.possesso ed uso esclusivo dell’incaricato.

Sono impartite istruzioni agli incaricati per Sono impartite istruzioni agli incaricati per non lasciare incustoditonon lasciare incustodito e e accessibile lo strumento elettronico durante una sessione di trattamento.accessibile lo strumento elettronico durante una sessione di trattamento.

Sono impartite istruzioni organizzative e tecniche per la custodia e Sono impartite istruzioni organizzative e tecniche per la custodia e l’uso l’uso dei supporti rimovibilidei supporti rimovibili su cui sono memorizzati i dati al fine di evitare su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti.accessi non autorizzati e trattamenti non consentiti.

Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per alla custodia, per l’intero ciclol’intero ciclo necessario allo svolgimento necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali.contenenti dati personali.

(D.Lgs 196/03 All. B reg.le 4, 9, 21, 27)(D.Lgs 196/03 All. B reg.le 4, 9, 21, 27)

Formazione degli Incaricati: Formazione degli Incaricati: attuazioneattuazione

L’Azienda Ospedaliera S.Giovanni – Addolorata si è da tempo dotata di L’Azienda Ospedaliera S.Giovanni – Addolorata si è da tempo dotata di una piattaforma di e-Learning per la formazione a distanza che facilita il una piattaforma di e-Learning per la formazione a distanza che facilita il compito della formazione affidato al Titolare ed ai Responsabili del compito della formazione affidato al Titolare ed ai Responsabili del Trattamento dei Dati. Trattamento dei Dati.

Il sistema permette di impartire agli Incaricati le istruzioni operative definite Il sistema permette di impartire agli Incaricati le istruzioni operative definite dal Titolare e dai Responsabili. I corsi possono essere seguiti dal Titolare e dai Responsabili. I corsi possono essere seguiti semplicemente collegandosi con una postazione informatica al portale semplicemente collegandosi con una postazione informatica al portale aziendale.aziendale.

Al momento sono presenti tre corsi sulla privacy ai quali possono Al momento sono presenti tre corsi sulla privacy ai quali possono accedere tutti i dipendenti aziendali in possesso di accedere tutti i dipendenti aziendali in possesso di password di posta password di posta elettronica aziendaleelettronica aziendale

Documenti Pubblicati sulDocumenti Pubblicati sulPortale AziendalePortale Aziendale

SELS Piattaforma di E-Learning per la Formazione a Distanza

D.Lgs. del 30 giugno 2003, n.196 (Testo Unico Privacy)Codice in materia di protezione dei dati personali 09/06/2006 

Linee Guida Dignità degli UtentiLinee guida per la tutela della dignità degli utenti dei servizi sanitari dell’Azienda Ospedaliera10/10/2006 

Modulo Consenso PrivacyModulo di autorizzazione al trattamento dei dati personali. Questo modulo deve essere adottato

da tutti gli uffici che effettuano operazioni di accettazione con l'utenza (pazienti, assistiti, etc.) 20/11/2007 

Norme ad Uso degli Incaricati per il Trattamento dei Dati con Strumenti ElettroniciLo scopo del documento è di fornire un insieme di istruzioni operative agli incaricati del

trattamento dei dati che fanno uso di strumenti elettronici al fine di ottemperare a quanto previsto nell’articolo 34 del Decreto Legislativo 196/03 in tema di Misure Minime di Sicurezza da adottare per la protezione dei dati.

Misure di Sicurezza per gli Strumenti ElettroniciMisure di Sicurezza per gli Strumenti ElettroniciRoma, 27 Ottobre 2008

Azienda Ospedaliera San Giovanni AddolorataAzienda Ospedaliera San Giovanni Addolorata

GRAZIE PER L‘ATTENZIONE

Gianpiero GuerrieriDirigente Analista Responsabile I.C.T.

gguerrieri@hsangiovanni.roma.it comitatoprivacy@hsangiovanni.roma.it