Privacy in sanità Relatore: dott. Sergio Ferri, Beamat srl

Slides:



Advertisements
Presentazioni simili
Associazione Industriale Bresciana 24 giugno 2004 PRIVACY ADEMPIMENTI IN MATERIA DI SICUREZZA E DPS Criteri per la redazione Associazione Industriale Bresciana.
Advertisements

Claudio G. Distefano Coordinamento Fatturazione Elettronica PA Agenzia per l’Italia Digitale Fatturazione Elettronica verso la PA.
Nuovo Regolamento Privacy UE, quasi due anni di tempo per adeguarsi Angelo Ventimiglia – Settore Fisco e Diritto d’Impresa 20 luglio 2016.
Informativa sull’adempimento degli obblighi di e-cohesion di cui all’art. 122, comma 3 del reg. (UE) 1303/2013 Programma Competitività regionale 2007/13.
La Business Continuity dall’esperienza Unicredit alla P.A.
Il contratto di lavoro part-time
Internal Market Information
La Direttiva Bolkestein
COMITATO VALUTAZIONE SINISTRI ASL NAPOLI 1 CENTRO
Smart HMS: Smart Health Management System
Il contratto di lavoro intermittente
Sergio Ferri (Beamat - Roma)
Modulo 4 La pianificazione delle attività trasversali
(servizi di interesse economico generale)
SICUREZZA E SALUTE SUL LAVORO D. LGS 81/2008 E LAVORO ATIPICO D
Internazionalizzazione – Ricerca – Innovazione - Sviluppo
Assemblea dei Presidenti
Navigare nella Trasparenza
Convegno Triveneto ICT Privacy e tutela dei dati in sanità
LA CERTIFICAZIONE MEDICA: norme nuove vecchi problemi
Il Responsabile della protezione dei dati:
Dematerializzazione, Sicurezza ed Amministrazione Trasparente
Audit civico Analisi critica e sistematica dell'azione delle aziende sanitarie promossa dalle organizzazioni civiche Strumento a disposizione dei cittadini.
SIRU-FSE 2014/20 ACCESSI WEB AdA AdC ALTRI SS. II. REGOLAMENTI UE
PROGETTO “TELEDIDATTICA”
La segnalazione : Incident Reporting
CORSO DI FORMAZIONE PER PREPOSTI [ex D.Lgs ]
Sportello autismo CTS Parma
Tutela della privacy: la trasmissione dei Dati personali nella gestione dei sistemi complessi in medicina Convegno ITC- Privacy e Tutela dei dati in sanità.
Tutela della privacy e atti scolastici
Le strutture sanitarie devono fornire ai propri pazienti, prima della raccolta dei loro dati personali, un’informativa in cui siano indicate in modo analitico.
Cos’è il dossier sanitario elettronico?
SEZIONE: diritto amministrativo. Seminari
Aspetti Deontologici Art. 76 R. Chersevani.
GIORNATA DELLA TRASPARENZA 2016
Modulo 3 Costituzione del consorzio dei partner
COLLEGIO DI DIREZIONE 24 ottobre 2017
L’analisi del profilo di rischio antiriciclaggio
Aggiornato al D. Lgs. n. 185 del 2016
G.D.P.R. – Sintesi e proposizione
Il Regolamento Generale sulla Protezione dei Dati personali
Comitato Paritetico Strategia Nazionale Biodiversità
Il nuovo Regolamento Generale UE 2016/679
Monitorare la salute : alcuni strumenti di lavoro
IL NUOVO REGOLAMENTO PRIVACY: ADEMPIMENTI PER GLI AVVOCATI
Il protocollo elettronico (e altri servizi informatici)
Legge 29 maggio 2017 n. 71 "Disposizioni a tutela dei minori per la prevenzione ed il contrasto del fenomeno del cyberbullismo"
NUOVO RUOLO DEL R.S.P.P PER LA GESTIONE DELLA SICUREZZA SUL LAVORO
GDPR – IL COME R.EU 2016/679 Andrea Chiozzi, Warrant Group
RIVOLUZIONE PRIVACY 2018.
Il Codice etico nei modelli ex D.Lgs. n. 231/2001
IL DIRITTO ALLA PRIVACY
I NUOVI SERVIZI-PRIVACY DI CONFINDUSTRIA VERONA
PROGRAMMAZIONE ATTIVITA’ DICEMBRE 2013 – LUGLIO 2015 INVITI 2 – 3/2013
Bullismo e cyberbullismo Obblighi ed iniziative previsti dalla legge per la prevenzione ed il contrasto del fenomeno da parte delle Scuole.
La conservazione dei documenti nell’attuale scenario normativo
IL DIRITTO ALLA PRIVACY
DELIBERAZIONE DELLA GIUNTA REGIONALE 26 febbraio 2007, n. 178
Piano di formazione e aggiornamento docenti
Organizzazione Internazionale per le Migrazioni
Progetti Quadro Legge 236/93 – Anno 2008 Bando 277
Aspetti normativi del D.Lvo n. 196 del 2003
IL CONFLITTO DI INTERESSI
La semplificazione nella gestione delle misure di sicurezza
Le strutture organizzative del
Il protocollo informatico e il Manuale di Gestione
SCOPO DEL PIANO Individuare le misure necessarie a garantire tempi di attesa congrui con la classe di priorità indicata dal medico prescrittore, attraverso.
DIRETTIVA 2016/ LUGLIO 2016.
La tutela della Privacy al triage Dott.ssa Assunta De Luca
Workshop della Commissione Calcolo e Reti dell'I.N.F.N.
Transcript della presentazione:

Privacy in sanità Relatore: dott. Sergio Ferri, Beamat srl Regolamento europeo protezione dei dati personali e sicurezza dei dati Roma, 6 Aprile 2016 Privacy in sanità Relatore: dott. Sergio Ferri, Beamat srl

dott. Sergio Ferri - Federprivacy Contenuti Innovazione e Processi in ambito sanitario Privacy nella Sanità Impatti del Regolamento Europeo dott. Sergio Ferri - Federprivacy

Innovazioni digitali in Sanità [1] Ambiti Cartella Clinica elettronica Dossier sanitario e FSE Sistemi di gestione documentale e conservazione a norma Disaster Recovery e Business Continuity [1] Innovazioni digitali in sanità (05/2015) - Politecnico di Milano dott. Sergio Ferri - Federprivacy

Innovazioni digitali in Sanità [1] Drivers Consapevolezza della Direzione aziendale sull’importanza dell’ICT Necessità di revisione dei processi aziendali Accesso ai finanziamenti regionali e/o europei Definizione di standard Formazione in materia di innovazione digitale Comunicazione e informazione interna all’azienda Confronto e collaborazione fra i diversi decisori aziendali Creazione di tavoli di lavoro tra i diversi attori aziendali Assunzione di nuove risorse umane dott. Sergio Ferri - Federprivacy

Innovazioni digitali in Sanità [1] Barriere Limitate risorse economiche disponibili Elevati impatti organizzativi e/o resistenza al cambiamento Scarsa cultura digitale degli operatori sanitari Difficoltà nel valutare i benefici e giustificare l’investimento Limitate risorse umane disponibili Mancanza di linee guida di sviluppo omogenee Scarsa conoscenza delle potenzialità degli strumenti ICT Assenza di ruoli dedicati all’innovazione Mancanza di competenze interne Timore del personale sanitario di essere controllato dott. Sergio Ferri - Federprivacy

dott. Sergio Ferri - Federprivacy

Sanità digitale Strategia crescita digitale 2016 Completamento della sostituzione delle ricette cartacee con quelle digitali Dematerializzazione dei referti e delle cartelle cliniche Interconnessione Sistemi Informativi 2017 Diffusione dei servizi d prenotazione on line Conclusione della realizzazione del FSE dott. Sergio Ferri - Federprivacy

Digitalizzazione dei documenti Strumenti vs Requisiti Paternità: Firma digitale o altri sistemi di identificazione Integrità: Firma Digitale/Firma elettronica Qualificata e Firma Elettronica Avanzata Trasmissione informatica: PEC, SPC, SdI, EDI Corretta gestione: Archiviazione elettronica Memorizzazione digitale, validità temporale: Firma digitale, Marca temporale e procedure di sicurezza. dott. Sergio Ferri - Federprivacy

Alcuni numeri del settore sanitario Dimissioni annue (2013): Lazio: 1,0 milioni Lombardia: 1,5 milioni Italia: 9,3 milioni dott. Sergio Ferri - Federprivacy

Linee guida in tema di Fascicolo sanitario elettronico e di dossier sanitario Garante della Privacy

Ambito di applicazione Dossier sanitario: strumento costituito presso un organismo sanitario in qualità di unico titolare del trattamento (es., ospedale o clinica privata) al cui interno operino più professionisti. Fse formato con riferimento a dati sanitari originati da diversi titolari del trattamento operanti più frequentemente, ma non esclusivamente, in un medesimo ambito territoriale. I dossier sanitari possono anche costituire, ad esempio, l'insieme di informazioni sanitarie detenute dai singoli titolari coinvolti in una iniziativa di Fse regionale. dott. Sergio Ferri - Federprivacy

Sanità digitale FSE- Fascicolo Sanitario Elettronico dott. Sergio Ferri - Federprivacy

Diritto alla costituzione di un FSE o di un dossier sanitario In base alle disposizioni contenute nel Codice dell‘Amministrazione Digitale (CAD), deve essere assicurata la disponibilità, la gestione, l'accesso, la trasmissione, la conservazione e la fruibilità dell'informazione in modalità digitale utilizzando le tecnologie dell'informazione e della comunicazione nel rispetto della disciplina rilevante in materia di trattamento dei dati personali e, in particolare, delle disposizioni del Codice dell'amministrazione digitale (d.lg. 82/05). dott. Sergio Ferri - Federprivacy

Consenso dell’interessato Oscuramento L'"oscuramento" dell'evento clinico (revocabile nel tempo) deve peraltro avvenire con modalità tali da garantire che tutti (o alcuni) soggetti abilitati all'accesso non possano venire automaticamente (anche temporaneamente) a conoscenza del fatto che l'interessato ha effettuato tale scelta, cioè l’oscuramento dell'oscuramento). Alcuni progetti di Fse garantiscono l'esercizio della "facoltà di oscuramento“ mediante una "busta elettronica sigillata" non visibile, apribile di volta in volta solo con la collaborazione dell'interessato, ovvero utilizzando codici casuali relativi a singoli eventi che non consentono di collegare tra loro alcune informazioni contrassegnate. dott. Sergio Ferri - Federprivacy

Comunicazione al Garante Il Fse, costituendo un insieme logico di informazioni e documenti sanitari volto a documentare la storia clinica di un individuo condiviso da più titolari del trattamento, deve essere improntato a criteri di massima trasparenza nella sua strutturazione e nel suo funzionamento. A garanzia di tale evidenza i trattamenti di dati personali effettuati attraverso il Fse devono essere resi noti al Garante mediante una apposta comunicazione da effettuarsi secondo uno specifico modello. dott. Sergio Ferri - Federprivacy

dott. Sergio Ferri - Federprivacy Misure di sicurezza Nell'utilizzo di sistemi di memorizzazione o archiviazione dei dati devono essere utilizzati idonei accorgimenti per la protezione dei dati registrati rispetto ai rischi di accesso abusivo, furto o smarrimento parziali o integrali dei supporti di memorizzazione o dei sistemi di elaborazione portatili o fissi: es. applicazione anche parziale di tecnologie crittografiche a file system o database, oppure tramite l'adozione di altre misure di protezione che rendano i dati inintelligibili ai soggetti non legittimati). dott. Sergio Ferri - Federprivacy

dott. Sergio Ferri - Federprivacy Misure di sicurezza Devono essere, inoltre, assicurati: idonei sistemi di autenticazione e di autorizzazione per gli incaricati in funzione dei ruoli e delle esigenze di accesso e trattamento: procedure per la verifica periodica della qualità e coerenza delle credenziali di autenticazione e dei profili di autorizzazione assegnati agli incaricati; individuazione di criteri per la cifratura o per la separazione dei dati idonei a rivelare lo stato di salute e la vita sessuale dagli altri dati personali; tracciabilità degli accessi e delle operazioni effettuate; sistemi di audit log per il controllo degli accessi al database e per il rilevamento di eventuali anomalie. dott. Sergio Ferri - Federprivacy

Dossier Sanitario Elettronico Garante della Privacy

IL DOSSIER SANITARIO ELETTRONICO E’ lo strumento costituito presso un'unica struttura sanitaria (ospedale, azienda sanitaria, casa di cura) che raccoglie informazioni sulla salute di un paziente al fine di documentarne la storia clinica presso quella singola struttura e offrirgli un migliore processo di cura. Si differenzia dal fascicolo sanitario elettronico in cui invece confluisce l'intera storia clinica di una persona generata da più strutture sanitarie. dott. Sergio Ferri - Federprivacy

IL DOSSIER SANITARIO ELETTRONICO TUTELA DEI PAZIENTI ai pazienti deve essere consentito di scegliere, in piena libertà, se far costituire o meno il dossier sanitario in assenza del consenso il medico avrà a disposizione solo le informazioni rese in quel momento dal paziente o in precedenti prestazioni fornite dallo stesso professionista la mancanza del consenso non deve incidere minimamente sulla possibilità di accedere alle cure richieste dott. Sergio Ferri - Federprivacy

IL DOSSIER SANITARIO ELETTRONICO TUTELA DEI PAZIENTI per poter inserire nel dossier informazioni particolarmente delicate (infezioni Hiv, interventi di interruzione volontaria della gravidanza, dati relativi ad atti di violenza sessuale o pedofilia) sarà necessario un consenso specifico per consentire al paziente di scegliere in maniera libera e consapevole, la struttura sanitaria dovrà informarlo in modo chiaro, indicando in particolare, chi avrà accesso ai suoi dati e che tipo di operazioni potrà compiere. dott. Sergio Ferri - Federprivacy

IL DOSSIER SANITARIO ELETTRONICO I TITOLARI DEL TRATTAMENTO (1/2) La struttura sanitaria deve: garantire al paziente l'esercizio dei diritti riconosciuti dal Codice privacy (accesso ai dati, integrazione, rettifica, etc.) e la possibilità di conoscere il reparto, la data e l'orario in cui è avvenuta la consultazione del suo dossier; garantire al paziente la possibilità di "oscurare" alcuni dati o documenti sanitari che non intende far confluire nel dossier; dott. Sergio Ferri - Federprivacy

IL DOSSIER SANITARIO ELETTRONICO I TITOLARI DEL TRATTAMENTO (2/2) adottare elevate misure di sicurezza. I dati sulla salute dovranno essere separati dagli altri dati personali, e dovranno essere individuati criteri per la cifratura dei dati sensibili. L'accesso al dossier sarà consentito solo al personale sanitario coinvolto nella cura. Ogni accesso e ogni operazione effettuata, anche la semplice consultazione, saranno tracciati e registrati automaticamente in appositi file di log che la struttura dovrà conservare per almeno 24 mesi. comunicare al Garante eventuali violazioni di dati o incidenti informatici (data breach) entro 48 ore dalla conoscenza del fatto. dott. Sergio Ferri - Federprivacy

dott. Sergio Ferri - Federprivacy Data Breach (Violazione dati personali) MODELLO DI COMUNICAZIONE AL GARANTE Secondo quanto prescritto dal Provvedimento del 2 luglio 2015, le amministrazioni pubbliche sono tenute a comunicare al Garante all'indirizzo: databreach.pa@pec.gpdp.it le violazioni dei dati personali (data breach) che si verificano nell’ambito delle banche dati (qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti, art. 4, comma 1, lett. p del Codice) di cui sono titolari. dott. Sergio Ferri - Federprivacy

Scambio dei dati personali tra PA Adempimenti Privacy (1/2) Le pubbliche amministrazioni che intendono rendere fruibili diverse tipologie di dati da altre pubbliche amministrazioni devono effettuare le seguenti attività: effettuare verifiche preliminari a cura dell'erogatore; selezionare i dati; tenere aggiornato l’elenco delle banche dati accessibili; controllare annualmente il numero di utenze attive, inibendo gli accessi (autorizzazioni o singole utenze) non conformi a quanto stabilito nelle convenzioni designare responsabili e incaricati; . dott. Sergio Ferri - Federprivacy

Scambio dei dati personali tra PA Adempimenti Privacy (2/2) predisporre procedure di autenticazione e autorizzazione degli utenti; predisporre idonee misure di sicurezza; l'erogatore e il fruitore devono predisporre idonee procedure di audit sugli accessi alle banche dati, i cui esiti devono essere documentati secondo le modalità definite nelle convenzioni, inoltre devono essere introdotte attività di audit basate sul monitoraggio statistico delle transazioni e su meccanismi di alert che individuino comportamenti anomali o a rischio. dott. Sergio Ferri - Federprivacy

Scambio dei dati personali tra PA Il fruitore deve utilizzare le informazioni acquisite esclusivamente per le finalità dichiarate in convenzione, nel rispetto dei principi di pertinenza e non eccedenza, nonché di indispensabilità, per i dati sensibili e giudiziari; garantire che l'accesso ai dati verrà consentito esclusivamente al personale dipendente o a soggetti ad esso assimilati ovvero ad altri soggetti che siano stati parimenti designati dal fruitore quali incaricati o responsabili del trattamento dei dati. dott. Sergio Ferri - Federprivacy

Attività ispettiva – Piano I/2016 accertamenti in riferimento a profili di interesse generale per categorie di interessati nell'ambito: dei trattamenti effettuati da organismi sanitari in relazione all'istituzione del dossier sanitario; alla verifica della corretta adozione delle misure minime di sicurezza da parte di soggetti, pubblici e privati, che effettuano trattamenti di dati sensibili; a controlli sulla liceità e correttezza dei trattamenti di dati personali con particolare riferimento al rispetto dell'obbligo di informativa, alla pertinenza e non eccedenza nel trattamento, alla libertà e validità del consenso, nei casi in cui questo è necessario, nonché alla durata della conservazione dei dati nei confronti di soggetti, pubblici o privati, appartenenti a categorie omogenee. dott. Sergio Ferri - Federprivacy

Regolamento Europeo Tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (Regolamento generale sulla protezione dei dati)

dott. Sergio Ferri - Federprivacy Principali novità Principi (Art.5) Dati genetici e dati relativi alla salute (Art.4) Stabilimento principale (Art.4) Diritto all’oblio (Art.17) Diritto alla portabilità dei dati (art.18) Registri delle attività di trattamento (Art.28) Sicurezza dei dati (Artt.30-32) PIA – Privacy Impact Analysis (Artt. 33-34) Responsabile della protezione dei dati (Artt.35-37), DPO Codici di condotta e Certificazione (Artt.38-39bis) Trasferimento dati personali (Art.40-45) Ricorsi, Responsabilità e Sanzioni (Artt. 73-79 ter) dott. Sergio Ferri - Federprivacy

Dati genetici e dati relativi alla salute (art.4) Dati genetici: …. informazioni uniche sulla fisiologia o sulla salute di una persona fisica; Dati relativi alla salute: ….compresa la prestazione di servizi di assistenza sanitaria, che rilevano informazioni relative allo stato di salute; dott. Sergio Ferri - Federprivacy

Diritto alla portabilità dei dati (art.18) L’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile a macchina i dati personali che lo riguardano …. Portabilità dei dati tra responsabili del trattamento, se tecnicamente fattibile; dott. Sergio Ferri - Federprivacy

Responsabile e Incaricato del trattamento (Artt.22-29) Mette in atto misure ed è in grado di dimostrare che il trattamento è effettuato in modo conforme al Regolamento; Privacy by Design o by Default; Corresponsabilità dei Responsabili; Trattamenti su commissione (esterni); Registri attività di trattamento (DPS ampliato) di ogni Responsabile e ogni Incaricato. dott. Sergio Ferri - Federprivacy

Sicurezza dei dati (Artt.30-32) Misure di sicurezza,capacità di: Resilienza, Disaster recovery Risk analysis; Procedura di V&V per l’efficacia misure adottate Notifica violazione (data breach): Autorità di controllo entro 72 ore Interessato/i dott. Sergio Ferri - Federprivacy

Private Impact analysis (Artt.33-34) Applicabilità e non-applicabilità per tipologie di trattamenti; PIA contenuti minimi; Consultazione preventiva dell’autorità di controllo. dott. Sergio Ferri - Federprivacy

dott. Sergio Ferri - Federprivacy DPO (Artt.35.37) Requisiti possedere un'adeguata conoscenza della normativa e delle prassi di gestione dei dati personali; adempiere alle sue funzioni in piena indipendenza ed in assenza di conflitti di interesse; operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio. Il titolare o il responsabile del trattamento dovranno mettere a disposizione del Responsabile della protezione dei dati personali le risorse umane e finanziarie necessarie all’adempimento dei suoi compiti. dott. Sergio Ferri - Federprivacy

DPO: quando è obbligatorio amministrazioni ed enti pubblici, fatta eccezione per le autorità giudiziarie; tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il controllo regolare e sistematico degli interessati; tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici. Un titolare del trattamento o un responsabile del trattamento possono comunque designare un Responsabile della protezione dei dati personali anche in casi diversi da quelli sopra indicati. Un gruppo di imprese o soggetti pubblici possono nominare un unico Responsabile della protezione dei dati. dott. Sergio Ferri - Federprivacy

dott. Sergio Ferri - Federprivacy DPO: compiti (1/2) Informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento europeo e da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati; verificare l’attuazione e l’applicazione del Regolamento, delle altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare o del responsabile del trattamento in materia di protezione dei dati personali, inclusi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale coinvolto nelle operazioni di trattamento, e gli audit relativi. dott. Sergio Ferri - Federprivacy

dott. Sergio Ferri - Federprivacy DPO: compiti (2/2) Fornire, se richiesto, pareri in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliare i relativi adempimenti; fungere da punto di contatto per gli interessati in merito a qualunque problematica connessa al trattamento dei loro dati o all’esercizio dei loro diritti; fungere da punto di contatto per il Garante per la protezione dei dati personali oppure, eventualmente consultare il Garante di propria iniziativa. dott. Sergio Ferri - Federprivacy

Codici di condotta e Certificazione (Artt.38-39bis) Codici di condotta: elaborabili da associazioni e rappresentanti di categorie, controllabili da organismi competenti; Certificazione volontaria mediante: meccanismi, sigilli o marchi approvati; Organismi di certificazione accreditato; dott. Sergio Ferri - Federprivacy