Misure di Sicurezza per gli Strumenti Elettronici Gianpiero Guerrieri Dirigente Analista Responsabile I.C.T.

Slides:



Advertisements
Presentazioni simili
Pratiche edilizie on-line
Advertisements

Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Ing. Andrea.
Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
Struttura del codice sulla privacy:
PREVENIRE: FARE O DIRE QUALCOSA IN ANTICIPO AL PREVEDIBILE ORDINE DI SUCCESSIONE PREVENZIONE: AZIONE DIRETTA A IMPEDIRE IL VERIFICARSI O IL DIFFONDERSI.
il Rappresentante dei Lavoratori per la Sicurezza
Aspetti Tecnici e Requisiti IT
SERVIZIO DI PREVENZIONE E PROTEZIONE
Centro Nazionale Trapianti Corso rivolto agli operatori ASL: Registrazione dichiarazioni di volontà. 1 Procedure per la gestione delle dichiarazione di.
1 I SOGGETTI TITOLARE AZ. SAN. RESPONSABILI INCARICATI DIPENDENTI DIRIGENTI SANITARI.
CORSO PRIVACY PARTE GENERALE
CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI
Ordine dei Dottori Commercialisti e degli Esperti Contabili di Ivrea, Pinerolo, Torino1 effettuate le operazioni di generazione dell'Ambiente di sicurezza.
LA NORMATIVA DI RIFERIMENTO
I PROTAGONISTI DELLA SICUREZZA E LE SANZIONI
1 La protezione dei dati D.lgs. 196/2003 Il Codice in materia di Protezione dei dati personali.
Nuovi servizi per il personale
Università di Udine Facoltà di Scienze MM. FF. NN. COMPITI E MANSIONI DELL'AMMINISTRATORE DI SISTEMA NELLA NORMATIVA SULLA PRIVACY Paolo Fritz.
Impresa e Privacy. Il trattamento dei dati deve essere eseguito nel rispetto dei diritti e delle libertà fondamentali, della dignità della persona, con.
Igiene e Sicurezza dei Luoghi di Lavoro Rachele Rinaldi.
Portale Sistema delle autonomie locali Procedura da seguire per registrarsi e richiedere labilitazione alle applicazioni dellArea riservata per gli Enti.
Autore TECNOCHORA SPA - AREA INFORMATION TECHNOLOGY La Privacy Formazione del personale interno Materiale riservato. Proprietà di Tecnochora spa. Vietata.
Novità in materia di PRIVACY 23 febbraio 2012 Relatore: Gianni Festi.
PRIVACY SCUOLA a cura di DOTT. MANGANIELLO MARCO
ISTAT DCRS Novità organizzative e legislative per il PSN (Roma, 24 giugno 2009) Maria Rosaria Simeone (Dirigente Servizio DCRS/IST) Impatto della normativa.
Milano Introduzione alla sicurezza informatica per il Codice della Privacy Prof. Avv. Giovanni Ziccardi - Università degli Studi di Milano
SICUREZZA OBBLIGATORIA: COSA CAMBIA NELLA FORMAZIONE? Incontro con SPISAL sul nuovo Accordo Stato - Regioni 1 marzo 2012.
Riproduzione riservata
Decreto Interministeriale 16 agosto 2005 Misure di preventiva acquisizione di dati anagrafici dei soggetti che utilizzano postazioni pubbliche non vigilate.
VADEMECUM PER L’ATTIVAZIONE DI UNO STAGE CURRICULARE SU ST&P
Primo accesso Dimenticato la password? Navigare in piattaforma Come accedere a un corso.
Dlgs. 196/ Da onere burocratico a opportunità aziendale Testo unico che integra, sotituisce e abroga i precedenti D. lgs.: 675 del 31/12/1996:
PresenzeWeb: breve guida
Centro di Assistenza Multicanale (C.A.M.) di Cagliari
Modulo 1 – la sicurezza dei dati e la privacy u.d. 7 (syllabus – 1.7.2)
“Misure minime di sicurezza: adempimenti tecnici e organizzativi”
Certificazioni del personale e certificazioni dei sistemi di gestione della sicurezza delle informazioni Limportanza di una corretta impostazione delle.
Seminario informativo sulle problematiche della trasmissione telematica delle dichiarazioni Privacy e sicurezza: Gli obblighi in tema di riservatezza -
1 20 maggio 2005 MISURE DI SICUREZZA INFORMATICA DEL NUOVO CODICE DELLA PRIVACY (d.lgs. 30 giugno 2003, n. 196)
IN TEMA DI FASCICOLO SANITARIO ELETTRONICO E DI DOSSIER SANITARIO
L’Abilitazione come Punto Ordinante
D. Lgs 196/2003 Codice in materia di protezione dei dati personali.
Primo accesso Dimenticato la password? Navigare in piattaforma Come accedere a un corso.
PRIVACY: Adempimenti e Opportunità
La sicurezza delle reti informatiche : la legge sulla Privacy
20 maggio 2005 CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (d.lgs. 30 giugno 2003, n. 196)
Il processo di registrazione Aprile Il processo di registrazione In questa scheda è illustrato il nuovo processo di registrazione al Programma di.
IL CODICE DELLA PRIVACY
LA FORMAZIONE,L’INFORMAZIONE E L’ADDESTRAMENTO PER LA SICUREZZA
IL NUOVO TESTO UNICO IN MATERIA DI PRIVACY
Incentivi Inail alla prevenzione Direzione Regionale Inail Campania.
Interessato: Informativa e diritti L’Art. 7 definisce i diritti dell’interessato: Ottenere Informativa Preventiva sulle finalità e le modalità del trattamento.
Registrazione alle istanze on-line
Azienda Ospedaliera San Giovanni Addolorata: Compiti dei responsabili e referenti privacy Avv. Giovanni Guerra.
Azienda Ospedaliera San Giovanni Addolorata Privacy: Misure Minime di Sicurezza Gianpiero Guerrieri Dirigente Analista I.C.T.
CORSO DI AGGIORNAMENTO ADEMPIMENTI PER LA TUTELA DELLA PRIVACY ANNO 2008.
Sistema di Riferimento Veneto per la Sicurezza nelle Scuole
TENUTA DEI DOCUMENTI E DEGLI ARCHIVI CARTACEI
Patient file Anagrafe persone fisicheAnagrafe sanitaria Anagrafe dei professionisti sanitari La utilizzazione di dati clinici (patient file) Modelli di.
© R. Larese Le Misure Minime di Sicurezza secondo il Testo Unico sulla Privacy Dr. Riccardo Larese Gortigo Consulente - Ass. Industriali di Vicenza.
Come applicare le disposizione del Garante per la Privacy utilizzando i prodotti Microsoft Fabrizio Grossi.
D.Lgs 196/03: Tutela della privacy
Prevenzione e Sicurezza Legislazione vigente D.P.R. 547 del 27/04/1955 Norme per la prevenzione degli infortuni sul lavoro D.L. 277 del 15/08/1991 Attuazione.
Associazione Industriale Bresciana 24 giugno 2004 TRATTAMENTI SENZA L’AUSILIO DI STRUMENTI ELETTRONICI (ART. 35 DEL CODICE) Aggiornamento periodico dell’individuazion.
PRIVACY ED AVIS Una relazione pericolosa ?. La gestione dei dati: un adempimento importante!! La nostra associazione deve prestare particolare attenzione.
M ANUALE R IVIERE 2015 CARMELO GARREFFA Il piano della sicurezza Centroservizi S.r.l. – Società di Servizi dell’Unione Industriali di Savona.
Protezione dei dati personali: Soggetti, compiti e responsabilità 15° Censimento generale della popolazione e delle abitazioni Formazione UCC Prefettura.
Associazione Industriale Bresciana 23 giugno 2004 PRIVACY ORGANIZZAZIONE E PRINCIPALI ADEMPIMENTI Decreto legislativo 30 giugno 2003, n. 196 Associazione.
POLITECNICO DI BARI Sicurezza informatica Prof. Giuseppe Mastronardi.
Decreto legislativo 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali”
Transcript della presentazione:

Misure di Sicurezza per gli Strumenti Elettronici Gianpiero Guerrieri Dirigente Analista Responsabile I.C.T. Azienda Ospedaliera San Giovanni Addolorata Roma, 27 Ottobre 2008

Trattamenti con strumenti elettronici Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti. (D.Lgs 196/03 All. B reg. 1) Assicurare la segretezza Modalità tecniche da adottare a cura del titolare, del responsabile ove designato e dell’incaricato, in caso di trattamento con strumenti elettronici:

Credenziali di autenticazione Le credenziali di autenticazione consistono in un codice per l’identificazione dell’incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell’incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell’incaricato, eventualmente associata a un codice identificativo o a una parola chiave. (D.Lgs 196/03 All. B reg. 2)

Assegnazione delle credenziali agli Incaricati  Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per l’autenticazione.  Il codice per l’identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi.  Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica.  Le credenziali sono disattivate anche in caso di perdita della qualità che consente all’incaricato l’accesso ai dati personali. (D.Lgs 196/03 All. B reg.le 3, 6,7,8)

Sistema di autorizzazione  Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è utilizzato un sistema di autorizzazione.  I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all’inizio del trattamento, in modo da limitare l’accesso ai soli dati necessari per effettuare le operazioni di trattamento.  Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione. (D.Lgs 196/03 All. B reg.le 12, 13, 14)

Sistema di autorizzazione Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite. La designazione è effettuata per iscritto e individua puntualmente l’ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l’ambito del trattamento consentito agli addetti all’unità medesima. (D.Lgs 196/03 Art. 30)

Sistema di autorizzazione I Responsabili del Trattamento Dati, con il supporto dei Referenti Privacy, devono provvedere all’assegnazione degli incarichi per tutto il personale (interno ed esterno) che appartiene al proprio ambito organizzativo (Dipartimento, Area, U.O.C., …) controllando con particolare attenzione gli spostamenti ed i trasferimenti del personale che di fatto porta con se le abilitazioni informatiche Resp. Trattamento Dati Referenti Privacy Incaricati

Sistema di autorizzazione: richiesta credenziali/abilitazioni Il Responsabile del Trattamento dei Dati individua e nomina i suoi incaricati per il trattamento dei dati ed effettua una richiesta all’I.C.T. di creazione delle credenziali o delle abilitazioni necessarie per accedere al sistema informatico di interesse. Scenario Attuale: le richieste vengono effettuate compilando la modulistica presente sul portale aziendale nella sezione “modulistica” e nella cartella “moduli di richiesta-software” ed inviando il tutto via fax all’ICT Scenario Futuro: le richieste verranno effettuate utilizzando delle funzionalità informatiche presenti nel portale aziendale ed accessibili dopo l’autenticazione (login). Tali funzionalità danno modo di visualizzare l’elenco di tutto il personale dipendente e consentono di inoltrare una richiesta informatica. A queste funzionalità saranno abilitati esclusivamente i RTD ed i RP. Per il personale esterno non censito nel sistema informatico si continueranno ad effettuare richieste cartacee.

Sistema di autorizzazione: evasione delle richieste L’I.C.T. riceve le richieste di creazione delle credenziali o delle abilitazioni ed, una volta provveduto, invia tramite le informazioni necessarie per l’abilitazione direttamente all’incaricato (non al RTD o RP) Scenario Futuro: il RTD ed il RP riceveranno una notifica via dell’avvenuta abilitazione

Sistema di autorizzazione: verifica delle abilitazioni Gli Incaricati al Trattamento Dati possono verificare lo stato delle proprie abilitazioni richiamando nella propria area riservata del portale le funzionalità denominate “Abilitazioni ai Sistemi Informatici”. Scenario Futuro: il RTD ed il RP potranno da qualunque postazione informatica ed in qualunque momento effettuare dei controlli sulle abilitazioni dei propri incaricati al fine di verificare l’assegnazione delle credenziali, modificare o chiedere l’eliminazione di credenziali già assegnate o per richiederne di nuove. Tali funzionalità saranno raggiungibili dalla propria area riservata nel portale aziendale. Al momento gli elenchi possono essere richiesti all’ICT.

Formazione degli Incaricati  Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell’incaricato.  Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento.  Sono impartite istruzioni organizzative e tecniche per la custodia e l’uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti.  Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l’intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. (D.Lgs 196/03 All. B reg.le 4, 9, 21, 27)

Formazione degli Incaricati: attuazione L’Azienda Ospedaliera S.Giovanni – Addolorata si è da tempo dotata di una piattaforma di e-Learning per la formazione a distanza che facilita il compito della formazione affidato al Titolare ed ai Responsabili del Trattamento dei Dati. Il sistema permette di impartire agli Incaricati le istruzioni operative definite dal Titolare e dai Responsabili. I corsi possono essere seguiti semplicemente collegandosi con una postazione informatica al portale aziendale. Al momento sono presenti tre corsi sulla privacy ai quali possono accedere tutti i dipendenti aziendali in possesso di password di posta elettronica aziendale

Documenti Pubblicati sul Portale Aziendale SELS Piattaforma di E-Learning per la Formazione a Distanza D.Lgs. del 30 giugno 2003, n.196 (Testo Unico Privacy) Codice in materia di protezione dei dati personali 09/06/2006 Linee Guida Dignità degli Utenti Linee guida per la tutela della dignità degli utenti dei servizi sanitari dell’Azienda Ospedaliera 10/10/2006 Modulo Consenso Privacy Modulo di autorizzazione al trattamento dei dati personali. Questo modulo deve essere adottato da tutti gli uffici che effettuano operazioni di accettazione con l'utenza (pazienti, assistiti, etc.) 20/11/2007 Norme ad Uso degli Incaricati per il Trattamento dei Dati con Strumenti Elettronici Lo scopo del documento è di fornire un insieme di istruzioni operative agli incaricati del trattamento dei dati che fanno uso di strumenti elettronici al fine di ottemperare a quanto previsto nell’articolo 34 del Decreto Legislativo 196/03 in tema di Misure Minime di Sicurezza da adottare per la protezione dei dati.

Misure di Sicurezza per gli Strumenti Elettronici Roma, 27 Ottobre 2008 Azienda Ospedaliera San Giovanni Addolorata GRAZIE PER L‘ATTENZIONE Gianpiero Guerrieri Dirigente Analista Responsabile I.C.T.