Sergio Ferri (Beamat - Roma)

Slides:



Advertisements
Presentazioni simili
PARTECIPAZIONE AL PROCEDIMENTO (ARTT. 7-10; 13) 1.
Advertisements

Associazione Industriale Bresciana 24 giugno 2004 PRIVACY ADEMPIMENTI IN MATERIA DI SICUREZZA E DPS Criteri per la redazione Associazione Industriale Bresciana.
Informativa sull’adempimento degli obblighi di e-cohesion di cui all’art. 122, comma 3 del reg. (UE) 1303/2013 Programma Competitività regionale 2007/13.
Il contratto di lavoro part-time
Il contratto di lavoro intermittente
COMUNICAZIONE PREVENTIVA ALLA CLIENTELA (ART. 3)
Sciopero nei servizi pubblici essenziali
Privacy in sanità Relatore: dott. Sergio Ferri, Beamat srl
SICUREZZA E SALUTE SUL LAVORO D. LGS 81/2008 E LAVORO ATIPICO D
Piccoli chef centri invernali con BarchettaBlu
Assemblea dei Presidenti
Convegno Triveneto ICT Privacy e tutela dei dati in sanità
Il procedimento amministrativo è
LA CERTIFICAZIONE MEDICA: norme nuove vecchi problemi
CORSO DI DIRITTO INTERNAZIONALE PRIVATO E PROCESSUALE a.a (7)
Riconoscimento delle qualifiche professionali PROFESSIONE DOCENTE
Appunti per ostetriche e non solo
Riordino della legislazione sulla trasparenza
SIRU-FSE 2014/20 ACCESSI WEB AdA AdC ALTRI SS. II. REGOLAMENTI UE
Sanità Elettronica nella Regione del Veneto.
Formazione Professionale Permanente
CORSO DI FORMAZIONE PER PREPOSTI [ex D.Lgs ]
TRACCIABILITA’ E SANZIONI
Tutela della privacy: la trasmissione dei Dati personali nella gestione dei sistemi complessi in medicina Convegno ITC- Privacy e Tutela dei dati in sanità.
Tutela della privacy e atti scolastici
Le strutture sanitarie devono fornire ai propri pazienti, prima della raccolta dei loro dati personali, un’informativa in cui siano indicate in modo analitico.
Cos’è il dossier sanitario elettronico?
SEZIONE: diritto amministrativo. Seminari
Aspetti Deontologici Art. 76 R. Chersevani.
PRESENTAZIONE CORSO IN ESTETICA SOCIALE
Normativa sulla privacy
Aggiornato al D. Lgs. n. 185 del 2016
G.D.P.R. – Sintesi e proposizione
Il nuovo Regolamento Generale UE 2016/679
Principio di non discriminazione
DIREZIONE REGIONALE VENETO Ufficio Attività Istituzionali
Privacy e Sanità digitale
A cura del Dr. Roberto FALCO Ha collaborato Giorgio PAOLUCCI
IL NUOVO REGOLAMENTO PRIVACY: ADEMPIMENTI PER GLI AVVOCATI
Il test di lingua italiana: il procedimento e i soggetti coinvolti
Legge 29 maggio 2017 n. 71 "Disposizioni a tutela dei minori per la prevenzione ed il contrasto del fenomeno del cyberbullismo"
PREVENZIONE E SICUREZZA DEGLI AMBIENTI DI LAVORO
LE COLLABORAZIONI COORDINATE E CONTINUATIVE
BRIVIDI E MISTERI io sottoscritto ……………………………….………………………………………………………
NUOVO RUOLO DEL R.S.P.P PER LA GESTIONE DELLA SICUREZZA SUL LAVORO
Primo Dirigente Medico della Polizia di Stato Dott. Angelo COLETTI
GDPR – IL COME R.EU 2016/679 Andrea Chiozzi, Warrant Group
Il test di lingua italiana: il procedimento e i soggetti coinvolti
colore 2018 carnevale di barchettablu
RIVOLUZIONE PRIVACY 2018.
Presentazione del corso
“NUOVO LIBRO UNICO DEL LAVORO”
Il Codice etico nei modelli ex D.Lgs. n. 231/2001
CITTADINANZA DIGITALE
IL DIRITTO ALLA PRIVACY
I NUOVI SERVIZI-PRIVACY DI CONFINDUSTRIA VERONA
ISCRIZIONE ABC … Leggere insieme n.3 per una buona lettura
Prevenzione e contrasto del fenomeno del cyberbullismo
I principali compiti del datore di lavoro
Il test di lingua italiana: il procedimento e i soggetti coinvolti
BROCHURE COMPLIANCE.
IL DIRITTO ALLA PRIVACY
DELIBERAZIONE DELLA GIUNTA REGIONALE 26 febbraio 2007, n. 178
Aspetti normativi del D.Lvo n. 196 del 2003
IL CONFLITTO DI INTERESSI
La semplificazione nella gestione delle misure di sicurezza
L’immagine ed il contratto
IL NUOVO REGOLAMENTO EUROPEO SULLA PRIVACY (GDPR):
La tutela della Privacy al triage Dott.ssa Assunta De Luca
Workshop della Commissione Calcolo e Reti dell'I.N.F.N.
Transcript della presentazione:

Sergio Ferri (Beamat - Roma) La Privacy in sanità Sergio Ferri (Beamat - Roma) Certified Privacy Officer European Privacy Auditor, ISDP©1003:2015 sergio.ferri@beamat.it  

dott. Sergio Ferri - Beamat (Roma) Contenuti Sanità digitale Dossier sanitario Fascicolo Sanitario Elettronico Privacy oggi & domani dott. Sergio Ferri - Beamat (Roma)

dott. Sergio Ferri - Beamat (Roma) Sanità digitale dott. Sergio Ferri - Beamat (Roma)

Dossier Sanitario Elettronico Sanità digitale & Privacy

IL DOSSIER SANITARIO ELETTRONICO E’ lo strumento costituito presso un'unica struttura sanitaria (ospedale, azienda sanitaria, casa di cura) che raccoglie informazioni sulla salute di un paziente al fine di documentarne la storia clinica presso quella singola struttura e offrirgli un migliore processo di cura. Si differenzia dal fascicolo sanitario elettronico in cui invece confluisce l'intera storia clinica di una persona generata da più operatori sanitari. dott. Sergio Ferri - Beamat (Roma)

IL DOSSIER SANITARIO ELETTRONICO TUTELA DEI PAZIENTI ai pazienti deve essere consentito di scegliere, in piena libertà, se far costituire o meno il dossier sanitario; in assenza del consenso il medico avrà a disposizione solo le informazioni rese in quel momento dal paziente o in precedenti prestazioni fornite dallo stesso professionista; la mancanza del consenso non deve incidere minimamente sulla possibilità di accedere alle cure richieste. dott. Sergio Ferri - Beamat (Roma)

IL DOSSIER SANITARIO ELETTRONICO TUTELA DEI PAZIENTI per poter inserire nel dossier informazioni particolarmente delicate (infezioni Hiv, interventi di interruzione volontaria della gravidanza, dati relativi ad atti di violenza sessuale o pedofilia) è necessario un consenso specifico. per consentire al paziente di scegliere in maniera libera e consapevole, la struttura sanitaria dovrà informarlo in modo chiaro, indicando in particolare, chi avrà accesso ai suoi dati e che tipo di operazioni potrà compiere. dott. Sergio Ferri - Beamat (Roma)

IL DOSSIER SANITARIO ELETTRONICO I TITOLARI DEL TRATTAMENTO (1/2) La struttura sanitaria deve: garantire al paziente l'esercizio dei diritti riconosciuti dal Codice privacy (accesso ai dati, integrazione, rettifica, etc.) e la possibilità di conoscere il reparto, la data e l'orario in cui è avvenuta la consultazione del suo dossier; garantire al paziente la possibilità di "oscurare" alcuni dati o documenti sanitari che non intende far confluire nel dossier e garantire «l’oscuramento dell’oscuramento». dott. Sergio Ferri - Beamat (Roma)

IL DOSSIER SANITARIO ELETTRONICO I TITOLARI DEL TRATTAMENTO (2/2) adottare elevate misure di sicurezza. I dati sulla salute dovranno essere separati dagli altri dati personali, e dovranno essere individuati criteri per la cifratura dei dati sensibili. L'accesso al dossier sarà consentito solo al personale sanitario coinvolto nella cura. Ogni accesso e ogni operazione effettuata, anche la semplice consultazione, saranno tracciati e registrati automaticamente in appositi file di log che la struttura dovrà conservare per almeno 24 mesi. comunicare al Garante eventuali violazioni di dati o incidenti informatici (data breach) entro 48 ore dalla conoscenza del fatto (oggi). dott. Sergio Ferri - Beamat (Roma)

Privacy in sanità - Dossier Informativa al dossier: le informazioni che devono essere previamente fornite all'interessato o alla persona presso la quale sono raccolti i dati personali con riferimento al trattamento dei dati personali effettuato mediante il dossier sanitario (artt. 13 e 79 del Codice); Consenso al dossier: la manifestazione di volontà dell'interessato o del suo rappresentante legale espressa liberamente, specificamente ed in modo informato con riferimento al trattamento dei dati personali effettuato mediante il dossier sanitario; tale consenso può essere manifestato in forma scritta o oralmente, in tal caso il consenso è documentato, anziché con atto scritto dell'interessato, con annotazione dell'esercente la professione sanitaria o dell'organismo sanitario pubblico (artt. 18, comma 4, 23, 26, 76, 81 e 82 del Codice); dott. Sergio Ferri - Beamat (Roma)

Sanità digitale & Privacy Linee guida in tema di Fascicolo sanitario elettronico e di dossier sanitario Sanità digitale & Privacy

Sanità digitale FSE- Fascicolo Sanitario Elettronico dott. Sergio Ferri - Beamat (Roma)

dott. Sergio Ferri - Beamat (Roma) Privacy in sanità - FSE Dati soggetti a maggiore tutela dell'anonimato: i dati personali disciplinati dalle disposizioni normative a tutela delle persone sieropositive, delle donne che si sottopongono a un'interruzione volontaria di gravidanza, delle vittime di atti di violenza sessuale o di pedofilia, delle persone che fanno uso di sostanze stupefacenti, di sostanze psicotrope e di alcool, delle donne che decidono di partorire in anonimato, nonché i dati e i documenti riferiti ai servizi offerti dai consultori familiari (cfr. art. 6 dello schema di decreto del Presidente del Consiglio dei ministri in materia di Fascicolo sanitario elettronico su cui il Garante ha espresso il proprio parere in data 22 maggio 2014 - doc. web n. 3230826); Dati di emergenza: le informazioni personali che permettono un rapido inquadramento delle condizioni di salute dell'interessato; dott. Sergio Ferri - Beamat (Roma)

Diritto alla costituzione di un FSE o di un dossier sanitario In base alle disposizioni contenute nel Codice dell‘Amministrazione Digitale (CAD), deve essere assicurata la disponibilità, la gestione, l'accesso, la trasmissione, la conservazione e la fruibilità dell'informazione in modalità digitale utilizzando le tecnologie dell'informazione e della comunicazione nel rispetto della disciplina rilevante in materia di trattamento dei dati personali e, in particolare, delle disposizioni del Codice dell'amministrazione digitale (d.lg. 82/05). dott. Sergio Ferri - Beamat (Roma)

Consenso dell’interessato Affinché tale scelta sia effettivamente libera, l'interessato che non desideri che sia costituito un Fse/dossier deve poter accedere comunque alle prestazioni del Servizio sanitario nazionale e non avere conseguenze negative sulla possibilità di usufruire di prestazioni mediche. Devono essere previsti momenti distinti in cui l'interessato possa esprimere la propria volontà, attraverso un consenso di carattere generale per la costituzione del Fse e di consensi specifici ai fini della sua consultazione o meno da parte dei singoli titolari del trattamento (es. medico di medicina generale, pediatra di libera scelta, farmacista, medico ospedaliero). dott. Sergio Ferri - Beamat (Roma)

Consenso dell’interessato Oscuramento L'"oscuramento" dell'evento clinico (revocabile nel tempo) deve peraltro avvenire con modalità tali da garantire che tutti (o alcuni) soggetti abilitati all'accesso non possano venire automaticamente (anche temporaneamente) a conoscenza del fatto che l'interessato ha effettuato tale scelta, cioè l’oscuramento dell'oscuramento). Alcuni progetti di Fse garantiscono l'esercizio della "facoltà di oscuramento“ mediante una "busta elettronica sigillata" non visibile, apribile di volta in volta solo con la collaborazione dell'interessato, ovvero utilizzando codici casuali relativi a singoli eventi che non consentono di collegare tra loro alcune informazioni contrassegnate. dott. Sergio Ferri - Beamat (Roma)

Soggetti che possono (e non) trattare i dati Soggetti operanti in ambito sanitario, con esclusione di periti, compagnie di assicurazione, datori di lavoro, associazioni o organizzazioni scientifiche e organismi amministrativi anche operanti in ambito sanitario. Analogamente, l'accesso è precluso anche al personale medico nell'esercizio di attività medicolegale (es. visite per l'accertamento dell'idoneità lavorativa o alla guida), in quanto, sebbene figure professionali di tipo sanitario, tali professionisti svolgono la loro attività professionale nell'ambito dell'accertamento di idoneità o status, e non anche all'interno di un processo di cura dell'interessato. dott. Sergio Ferri - Beamat (Roma)

Titolari del trattamento Struttura o organismo sanitario inteso nel suo complesso e presso cui sono state redatte le informazioni sanitarie (es. azienda sanitaria o ospedale) (artt. 4 e 28 del Codice). I titolari hanno la facoltà di designare gli eventuali soggetti responsabili del trattamento, mentre devono preporre in ogni caso le persone fisiche incaricate, le quali possono venire lecitamente a conoscenza dei dati personali trattati attraverso tali strumenti nell'ambito delle funzioni svolte e attenendosi alle istruzioni scritte impartite dal titolare o dal responsabile (artt. 4, 29 e 30 del Codice). Le persone fisiche legittimate a consultare il Fse/dossier devono essere adeguatamente edotte. dott. Sergio Ferri - Beamat (Roma)

Accesso ai dati personali Il titolare deve valutare attentamente quali dati pertinenti, non eccedenti e indispensabili inserire nel Fse/dossier in relazione alle necessità di prevenzione, diagnosi, cura e riabilitazione (artt. 11 e 22 del Codice). Devono essere, pertanto, preferite soluzioni che consentano un'organizzazione modulare di tali strumenti in modo da limitare l'accesso dei diversi soggetti abilitati alle sole informazioni (e, quindi, al modulo di dati) indispensabili (es. per settore di specializzazione dott. Sergio Ferri - Beamat (Roma)

Diritti dell'interessato (art.7 del Codice) Rispetto ai dati personali trattati mediante il Fse/dossier deve essere garantita la possibilità di esercitare in ogni momento i diritti dell'art. 7. Devono essere garantite facili modalità di consultazione del proprio Fse/dossier), nonché, ove previsto, di ottenerne copia, anche ai fini della messa disposizione a terzi (es. medico operante in un'altra regione o in un altro Stato). Tali diritti, tra i quali quello di accedere ai dati contenuti nel Fse/dossier e di ottenerne la comunicazione in forma intelligibile, ovvero l'integrazione, l'aggiornamento o la rettifica, vanno esercitati direttamente nei confronti di ciascun organismo o professionista sanitario. dott. Sergio Ferri - Beamat (Roma)

Informativa e consenso Per consentire all'interessato di esprimere scelte consapevoli, il titolare del trattamento deve fornire previamente un'idonea informativa (artt. 13, 79 e 80) L'informativa, da formulare con linguaggio chiaro, deve indicare tutti gli elementi richiesti dall'art. 13. A garanzia del diritto alla costituzione o meno del Fse/dossier, l'interessato deve essere, come detto, informato che il mancato consenso totale o parziale non incide sulla possibilità di accedere alle cure mediche richieste. dott. Sergio Ferri - Beamat (Roma)

dott. Sergio Ferri - Beamat (Roma) Misure di sicurezza Nell'utilizzo di sistemi di memorizzazione o archiviazione dei dati devono essere utilizzati idonei accorgimenti per la protezione dei dati registrati rispetto ai rischi di accesso abusivo, furto o smarrimento parziali o integrali dei supporti di memorizzazione o dei sistemi di elaborazione portatili o fissi: es. applicazione anche parziale di tecnologie crittografiche a file system o database, oppure tramite l'adozione di altre misure di protezione che rendano i dati inintelligibili ai soggetti non legittimati). dott. Sergio Ferri - Beamat (Roma)

dott. Sergio Ferri - Beamat (Roma) Misure di sicurezza Devono essere, inoltre, assicurati: idonei sistemi di autenticazione e di autorizzazione per gli incaricati in funzione dei ruoli e delle esigenze di accesso e trattamento: procedure per la verifica periodica della qualità e coerenza delle credenziali di autenticazione e dei profili di autorizzazione assegnati agli incaricati; individuazione di criteri per la cifratura o per la separazione dei dati idonei a rivelare lo stato di salute e la vita sessuale dagli altri dati personali; tracciabilità degli accessi e delle operazioni effettuate; sistemi di audit log per il controllo degli accessi al database e per il rilevamento di eventuali anomalie. dott. Sergio Ferri - Beamat (Roma)

Privacy oggi e domani (25/05/2018) General Data Protection Regulation (GDPR)

D.Lgs.196/03 vs. GDPR (esempi) (dati personali sensibili) Attività Oggi Domani: 28/05/2018 Privacy Impact Analysis (PIA) indotto obbligo Privacy by design & by default Misure di sicurezza minime + idonee idonee Registri Certificazione sistema no plus Data breach (violazioni) si Data Privacy Officer (DPO) Raccomandato (1) Formazione Raccomandata (1) FSE e Dossier Co-titolari Contitolari Altro …………. ……………….. (1) Dossier sanitario dott. Sergio Ferri - Beamat (Roma)

dott. Sergio Ferri - Beamat (Roma) Data Breach (Violazione dati personali) MODELLO DI COMUNICAZIONE AL GARANTE Secondo quanto prescritto dal Provvedimento del 2 luglio 2015, le amministrazioni pubbliche sono tenute a comunicare al Garante all'indirizzo: databreach.pa@pec.gpdp.it le violazioni dei dati personali (data breach) che si verificano nell’ambito delle banche dati (qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti, art. 4, comma 1, lett. p del Codice) di cui sono titolari. dott. Sergio Ferri - Beamat (Roma)

Data Privacy Officer (estratto) (Autorità garante: in aggiornamento) informare e consigliare il titolare o ilresponsabile del trattamento, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento europeo; verificare l’attuazione e l’applicazionedel Regolamento; fornire, se richiesto, pareri in merito allavalutazione d'impatto sulla protezione dei dati e sorvegliare i relativi adempimenti; fungere da punto di contatto per gli interessati; fungere da punto di contatto per ilGarante per la protezione dei dati personali. dott. Sergio Ferri - Beamat (Roma)

Data Privacy Officer (Linee guida al dossier) In sintonia con quanto espresso nel parere sul citato schema di decreto del Presidente del Consiglio dei ministri in materia di Fascicolo sanitario elettronico, in ragione della particolare delicatezza delle informazioni trattate mediante il dossier sanitario, il Garante auspica che i titolari del trattamento individuino al loro interno una figura di responsabile della protezione dei dati che svolga il ruolo di referente con il Garante (c.d. DPO - data protection officer), anche in relazione ai casi di data breach precedentemente illustrati. dott. Sergio Ferri - Beamat (Roma)

Privacy in sanità Corso & Libro Contenuti La Normativa privacy, il D.Lgs.196/03 Introduzione alla sicurezza informatica Le norme per il settore sanitario Le relazioni amministrative con i pazienti Impatti privacy della cartella clinica Impatti privacy nel Fascicolo Sanitario Elettronico Scambio dati fra Pubbliche amministrazioni. Ruoli e responsabilità. Il sistema sanzionatorio Impatti privacy del dossier sanitario. Data breach, gestione delle intrusioni, norma e sanzioni. Dematerializzazione e conservazione sostitutiva. Durata: 24 ore distribuite su 3 o 6 giornate dott. Sergio Ferri - Beamat (Roma)

dott. Sergio Ferri - Beamat (Roma) Bibliografia Osservatorio Competenze digitali in sanità, AICA 2016 (1) Sanità digitale e privacy, G.Mastronardi – S. Ferri, Edizioni Manna 2017 La privacy nella sanità digitale, S.Ferri, Rivista «Mondo digitale», Febbraio 2017 (1) (1) Link per il download: http://www.beamat.it/Download_Privacy.php dott. Sergio Ferri - Beamat (Roma)