Aspetti Tecnici e Requisiti IT

Slides:



Advertisements
Presentazioni simili
Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Ing. Andrea.
Advertisements

Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
Struttura del codice sulla privacy:
il Rappresentante dei Lavoratori per la Sicurezza
SERVIZIO DI PREVENZIONE E PROTEZIONE
Sistema Gestione Progetti
CORSO PRIVACY PARTE GENERALE
CAPO II – USO DEI DISPOSITIVI DI PROTEZIONE INDIVIDUALE ART
Decreto legislativo 196/2003 ed il MEDICO DEL LAVORO Adempimenti correlati al Decreto Legislativo 196/2003 nella nostra attività professionale quotidiana.
CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI
1 SANZIONI 1.Mancata informativa : Sanzione da a euro. Sanzione da a euro in caso di dati sensibili o giudiziari (oppure di trattamenti.
LA NORMATIVA DI RIFERIMENTO
1 La protezione dei dati D.lgs. 196/2003 Il Codice in materia di Protezione dei dati personali.
Chiocciola S.r.l. – Riproduzione vietata – Guarene, 24 maggio 2006 Dal 1996… un obbiettivo strategico: la sicurezza a 360° LUCIANO CORINO Chiocciola Consulting.
Università di Udine Facoltà di Scienze MM. FF. NN. COMPITI E MANSIONI DELL'AMMINISTRATORE DI SISTEMA NELLA NORMATIVA SULLA PRIVACY Paolo Fritz.
1 Pavia 27 marzo ° Incontro A. V. Berri LE MISURE DI TUTELA.
La tutela dei dati personali
Parma, 20 marzo 2003 Francesco Schinaia Firma Digitale e strumenti di accesso ai servizi
Impresa e Privacy. Il trattamento dei dati deve essere eseguito nel rispetto dei diritti e delle libertà fondamentali, della dignità della persona, con.
1 La Legge Italiana sulla Firma Digitale Nicola Rebagliati.
Autore TECNOCHORA SPA - AREA INFORMATION TECHNOLOGY La Privacy Formazione del personale interno Materiale riservato. Proprietà di Tecnochora spa. Vietata.
1 Regolamento ISVAP n. 5 del 16 ottobre 2006: principali implicazioni per la formazione degli operatori 18 Dicembre 2006.
Novità in materia di PRIVACY 23 febbraio 2012 Relatore: Gianni Festi.
PRIVACY SCUOLA a cura di DOTT. MANGANIELLO MARCO
ISTAT DCRS Novità organizzative e legislative per il PSN (Roma, 24 giugno 2009) Maria Rosaria Simeone (Dirigente Servizio DCRS/IST) Impatto della normativa.
Milano Introduzione alla sicurezza informatica per il Codice della Privacy Prof. Avv. Giovanni Ziccardi - Università degli Studi di Milano
SICUREZZA OBBLIGATORIA: COSA CAMBIA NELLA FORMAZIONE? Incontro con SPISAL sul nuovo Accordo Stato - Regioni 1 marzo 2012.
Riproduzione riservata
Decreto Interministeriale 16 agosto 2005 Misure di preventiva acquisizione di dati anagrafici dei soggetti che utilizzano postazioni pubbliche non vigilate.
Dlgs. 196/ Da onere burocratico a opportunità aziendale Testo unico che integra, sotituisce e abroga i precedenti D. lgs.: 675 del 31/12/1996:
RIFERIMENTI NORMATIVI : Il 15° Censimento Generale della Popolazione e delle Abitazioni è disciplinato da fonti normative comunitarie e nazionali: - Normative.
FORMAZIONE DEL PERSONALE DOCENTE E A.T.A. I.T.C. “C. DEGANUTTI” UDINE
Modulo 1 – la sicurezza dei dati e la privacy u.d. 7 (syllabus – 1.7.2)
“Misure minime di sicurezza: adempimenti tecnici e organizzativi”
Seminario informativo sulle problematiche della trasmissione telematica delle dichiarazioni Privacy e sicurezza: Gli obblighi in tema di riservatezza -
1 20 maggio 2005 MISURE DI SICUREZZA INFORMATICA DEL NUOVO CODICE DELLA PRIVACY (d.lgs. 30 giugno 2003, n. 196)
Dati delle Pubbliche Amministrazioni e Servizi in Rete Prefettura di Reggio Calabria novembre 2010.
LEZIONE 6 MISURE DI PREVENZIONE.
IN TEMA DI FASCICOLO SANITARIO ELETTRONICO E DI DOSSIER SANITARIO
D. Lgs 196/2003 Codice in materia di protezione dei dati personali.
22 MARZO ORE 15,00 Sei in regola con gli obblighi in materia di sicurezza e privacy? Consigli pratici per adeguarsi… Piermaria Saglietto.
PRIVACY: Adempimenti e Opportunità
La sicurezza delle reti informatiche : la legge sulla Privacy
20 maggio 2005 CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (d.lgs. 30 giugno 2003, n. 196)
IL CODICE DELLA PRIVACY
IL NUOVO TESTO UNICO IN MATERIA DI PRIVACY
Pubblicità legale (Albo on-line)
DLG.s 81/2008 Titolo VIII: AGENTI FISICI Capo I: Disposizioni generali
Le funzioni di Polizia Giudiziaria per il personale degli U.R.T.A.T Le funzioni di Polizia Giudiziaria per il personale degli U.R.T.A.T marzo 2006.
1 Procedure, registrazioni e comunicazioni Massimiliano Distaso
Relatore: ing. Francesco Italia
Azienda Ospedaliera San Giovanni Addolorata: Compiti dei responsabili e referenti privacy Avv. Giovanni Guerra.
Azienda Ospedaliera San Giovanni Addolorata Privacy: Misure Minime di Sicurezza Gianpiero Guerrieri Dirigente Analista I.C.T.
Obblighi rispetto alla tutela della Privacy Dlgs 196/2003.
CORSO DI AGGIORNAMENTO ADEMPIMENTI PER LA TUTELA DELLA PRIVACY ANNO 2008.
Principio di necessità nel trattamento dei dati (art.3 codice privacy)
Rintracciabilità di filiera
Misure di Sicurezza per gli Strumenti Elettronici Gianpiero Guerrieri Dirigente Analista Responsabile I.C.T.
Forum PA – Roma 12 maggio PEC – Un nuovo servizio per tutti - C. Petrucci Posta Elettronica Certificata Un nuovo servizio per tutti ing. Claudio.
DLG.s 81/2008 Titolo VIII: AGENTI FISICI Capo I: Disposizioni generali
© R. Larese Le Misure Minime di Sicurezza secondo il Testo Unico sulla Privacy Dr. Riccardo Larese Gortigo Consulente - Ass. Industriali di Vicenza.
INFN & sicurezza: aspetti legali Roberto Cecchini Paestum, 11 Giugno 2003.
Come applicare le disposizione del Garante per la Privacy utilizzando i prodotti Microsoft Fabrizio Grossi.
La conservazione dei documenti informatici delle pubbliche amministrazioni Enrica Massella Ducci Teri Roma, 27 maggio 2015.
D.Lgs 196/03: Tutela della privacy
Associazione Industriale Bresciana 24 giugno 2004 TRATTAMENTI SENZA L’AUSILIO DI STRUMENTI ELETTRONICI (ART. 35 DEL CODICE) Aggiornamento periodico dell’individuazion.
Le policy aziendali relative al trattamento di dati sensibili ed informazioni riservate novembre2015.
SiRVeSS Sistema di Riferimento Veneto per la Sicurezza nelle Scuole A7.1 MODULO A Unità didattica CORSO DI FORMAZIONE RESPONSABILI E ADDETTI SPP EX D.Lgs.
Associazione Industriale Bresciana 23 giugno 2004 PRIVACY ORGANIZZAZIONE E PRINCIPALI ADEMPIMENTI Decreto legislativo 30 giugno 2003, n. 196 Associazione.
Decreto legislativo 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali”
Transcript della presentazione:

Aspetti Tecnici e Requisiti IT Il trattamento dei dati personali nelle sperimentazioni cliniche: il nuovo provvedimento del Garante del 24.7.2008 Aspetti Tecnici e Requisiti IT Autore: Giulia M. Valsecchi Data: 16 Dicembre 2008 Riunione sottogruppo GCP- GIQAR

Valutazione conformità ai requisiti Aspetti tecnici e requisiti IT Contesto normativo Valutazione conformità ai requisiti Alcuni aspetti sull’implementazione Contesto normativo Valutazione conformità ai requisiti Alcuni aspetti sull’implementazione

Tracciabilità Sicurezza Integrità Dati Elettronici: Implicazioni Regolatorie Tracciabilità Sicurezza Integrità Controllo Accessi Prevenzione modifiche Change Control Ricostruibilità del dato CHI, COSA, QUANDO, PERCHE’ Visibilità del dato prima della modifica L’AFFIDABILITA’ DEI DATI ELETTRONICI VIENE ASSICURATA TRAMITE MISURE ADEGUATE DI SICUREZZA, INTEGRITÀ E TRACCIABILITA’

Contesto normativo Decreto Legislativo 30 giugno 2003, n.196- Codice in materia di protezione dei dati personali, vigenza 27 febbraio 2004 Deliberazione n.52 del 24 luglio 2008- Linee guida per i trattamenti di dati personali nell’ambito delle sperimentazioni cliniche di medicinali

Titolo V- SICUREZZA DEI DATI E DEI SISTEMI Decreto legislativo 30 giugno 2003-n.196 Titolo V- SICUREZZA DEI DATI E DEI SISTEMI CAPO I- MISURE DI SICUREZZA Articolo 31-Obblighi di sicurezza CAPO II- MISURE MINIME DI SICUREZZA Articolo 33-Misure minime Articolo 34-Trattamenti con strumenti elettronici ALLEGATO B- Disciplinare tecnico in materia di misure minime di sicurezza

Art. 31 – Obblighi di Sicurezza Decreto legislativo 30 giugno 2003-n.196 I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. INTEGRITA’ SICUREZZA

Art. 33 – Misure Minime Decreto legislativo 30 giugno 2003-n.196 Nel quadro dei più generali obblighi di sicurezza di cui all'articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell'articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali.

Misure minime di sicurezza da adottare Art.34 - Trattamenti con strumenti elettronici Decreto legislativo 30 giugno 2003-n.196 Misure minime di sicurezza da adottare autenticazione informatica; adozione di procedure di gestione delle credenziali di autenticazione; utilizzazione di un sistema di autorizzazione; aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;

[..] Art.34 - Trattamenti con strumenti elettronici Decreto legislativo 30 giugno 2003-n.196 [..] protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; tenuta di un aggiornato documento programmatico sulla sicurezza; adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

Trattamenti con strumenti elettronici Allegato B- Decreto legislativo 30 giugno 2003-n.196 Trattamenti con strumenti elettronici Modalità tecniche da adottare a cura del titolare, del responsabile ove designato e dell'incaricato, in caso di trattamento con strumenti elettronici: Sistema di autenticazione informatica Sistema di autorizzazione Altre misure di sicurezza Documento programmatico sulla sicurezza Ulteriori misure in caso di trattamento di dati sensibili o giudiziari Misure di tutela e garanzia

CAP.12 -Del.n.52 del 24 luglio 2008- Linee guida CUSTODIA E SICUREZZA DEI DATI La particolare delicatezza dei dati trattati nella sperimentazione impone l'adozione di specifici accorgimenti tecnici per incrementare il livello di sicurezza dei dati (art. 31 del Codice), senza pregiudizio di ogni altra misura minima che ciascun titolare del trattamento deve adottare ai sensi del Codice (art. 33 e ss.). Ciò, con particolare riferimento alle operazioni di registrazione con strumenti elettronici dei dati delle persone coinvolte nello studio presso i centri di sperimentazione,al loro trasferimento in via telematica verso un unico database presso il promotore o gli altri soggetti che svolgono,per conto di quest'ultimo, la validazione e l'elaborazione statistica dei dati, nonché alla gestione della medesima banca dati. Requisiti dettagliati su: SISTEMI DI MEMORIZZAZIONE E ARCHIVIAZIONE DATI PROTOCOLLI DI COMUNICAZIONE DATABASE

Sistemi di memorizzazione e archiviazione dati Laddove siano utilizzati sistemi di memorizzazione o archiviazione dei dati, idonei accorgimenti per garantire la protezione dei dati registrati dai rischi di accesso abusivo, furto o smarrimento parziali o integrali dei supporti di memorizzazione o dei sistemi di elaborazione portatili o fissi (ad esempio, attraverso l'applicazione parziale o integrale di tecnologie crittografiche a file system o database, oppure tramite l'adozione di altre misure informatiche di protezione che rendano inintelligibili i dati ai soggetti non legittimati); CAP.12 (a) - Del.n.52 del 24 luglio 2008- Linee guida

Protocolli di comunicazione Protocolli di comunicazione sicuri basati sull'utilizzo di standard crittografici per la trasmissione elettronica dei dati raccolti dai centri di sperimentazione al database centralizzato presso il promotore o gli altri soggetti che effettuano la successiva validazione ed elaborazione statistica dei dati; CAP.12 (b) -Del.n.52 del 24 luglio 2008- Linee guida

Database Con specifico riferimento al menzionato database: idonei sistemi di autenticazione e di autorizzazione per gli incaricati in funzione dei ruoli e delle esigenze di accesso e trattamento; procedure per la verifica periodica della qualità e coerenza delle credenziali di autenticazione e dei profili di autorizzazione assegnati agli incaricati del trattamento; sistemi di audit log per il controllo degli accessi al database e per il rilevamento di eventuali anomalie. CAP.12 (c) -Del.n.52 del 24 luglio 2008- Linee guida

Valutazione conformità ai requisiti Alcuni aspetti sull’iplementazione Aspetti tecnici e requisiti IT Contesto normativo Valutazione conformità ai requisiti Alcuni aspetti sull’iplementazione

Raccolta informazioni generali Analisi di copertura dei requisiti Valutazione della conformità Raccolta informazioni generali Analisi di copertura dei requisiti Identificazione delle lacune Definizione del piano di rimedio

Request for Information Questionario ad hoc orientato a verificare la copertura dei requisiti definiti nell’allegato B e nelle linee guida Può essere utilizzato internamente alla propria azienda Può essere inviato alle CRO per valutare lo stato di conformità delle CRO

Definire eventuali azioni correttive da implementare Obiettivo della Request for Information Valutare lo stato generale di conformità a fronte di tutti i requisiti normativi relativamente agli aspetti tecnici e IT Definire eventuali azioni correttive da implementare

Struttura della Request for Information Requisiti definiti in accordo alla struttura dell’ALLEGATO B

Informazioni generali sulla Request for Information Definizione di informazioni di carattere generale relative ai dispositivi informatici utilizzati dalla propria azienda o da un fornitore di servizi (i.e. CRO). Valutazione impatto ad alto livello sui componenti informatici esistenti

Informazioni generali sugli studi clinici Protocollo Studio: codice del protocollo di studio o ALL se il sistema è comune a tutti i protocolli Sistema di Archiviazione/Backup: dispositivi di backup o archiviazione permanente dati Database: nome e versione del database che mantiene i dati (e.g. Oracle, MS SQL) Applicazione SW: nome dell’applicazione SW e SW Supplier utilizzata per la gestione dello studio Infrastruttura: identificazione della infrastruttura dove risiede l’applicazione SW e il Database (e.g. interna, se all’interno della CRO; outsourced se mantenuta da terze parti) Trasmissione Elettronica: definizione della trasmissione elettronica dei dati dai centri al database (e.g. Si se i dati sono trasmessi elettronicamente dal centro di sperimentazione; No se i dati sono inseriti direttamente nel database all’interno della CRO) Processo Gestito: descrizione processo gestito attraverso l’applicazione SW (e.g. Clinical Trial, Farmacovigilanza, Randomizzazione)

Verifica di conformità Sono definiti in forma tabellare tutti i requisiti riportati nell’Allegato B e nelle linee guida. Per ogni requisito la si dovrà riportare lo stato di conformità compilando opportuni campi.

Verifica di conformità dei requisiti CAMPI DA COMPILARE PER OGNI REQUISITO: Stato Conformità (CONFORME/NON CONFORME/ NON APPLICABILE): valutazione di conformità a fronte del requisito Razionale: Descrizione del razionale della valutazione di conformità presa a fronte del requisito coinvolto (specificarlo sia in caso di conformità che di non conformità) Sistemi informatici: laddove applicabile, riferimento ai sistemi informatici che gestiscono uno o più elementi del requisito richiesto o parte di esso Procedure: laddove applicabile, riferimento alle procedure operative che gestiscono uno o più elementi del requisito richiesto o parte di esso

Esempio di form utilizzato per la verifica di conformità

I requisiti - Autenticazione All. B - 1 Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti. Limite Accessi All. B - 2 Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave. Modalità tecniche del controllo

I requisiti - Autenticazione All. B - 3 Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per l'autenticazione Univocità credenziali All. B - 4 Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato. Misure procedurali di protezione All. B - 5 La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed è modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi. Lunghezza, scadenza e primo utilizzo password

I requisiti - Autenticazione All. B - 6 Il codice per l'identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi. Univocità codice All. B - 7 Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica. Disattivazione utenze All. B - 8 Le credenziali sono disattivate anche in caso di perdita della qualità che consente all'incaricato l'accesso ai dati personali.. Disattivazione utenze All. B - 9 Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento. Misure procedurali di protezione, addestramento

I requisiti - Autenticazione All. B - 10 Quando l'accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente riservata della credenziale per l'autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l'incaricato dell'intervento effettuato.. Misure procedurali: gestione assenza LG 12(c3) Sistemi di audit log per il controllo degli accessi al database e per il rilevamento di eventuali anomalie Revisione periodica accessi

I requisiti - Autorizzazione All. B – 12 LG 12(c1) Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è utilizzato un sistema di autorizzazione. Profili utente All. B – 13 I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento. Gestione profili utente All. B – 14 LG 12(c2) Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione Revisione periodica profili e utenze

I requisiti – Altre misure di sicurezza All. B – 15 Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione. Elenco utenti autorizzati All. B – 16 I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale. Misure protezione da intrusioni esterne All. B – 17 Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l'aggiornamento è almeno semestrale. Misure protezione (aggiornamenti patch di sicurezza)

I requisiti – Altre misure di sicurezza All. B – 18 Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale. Back up LG 12 (a) Adozione di idonei accorgimenti per garantire la protezione dei dati registrati dai rischi di accesso abusivo, furto o smarrimento parziali o integrali dei supporti di memorizzazione o dei sistemi di elaborazione portatili o fissi. Misure protezione dei supporti di memorizzazione LG 12 (b) Protocolli di comunicazione sicuri basati sull'utilizzo di standard crittografici per la trasmissione elettronica dei dati raccolti dai centri di sperimentazione al database centralizzato presso il promotore o gli altri soggetti che effettuano la successiva validazione ed elaborazione statistica dei dati; Misure protezione nella trasmissione dati

I requisiti – Documento programmatico della sicurezza All. B – 19 Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni (vedi da Allegato 19.1 a Allegato 19.8) All. B - 19.1 L'elenco dei trattamenti di dati personali; Dati e trattamenti All. B - 19.2 La distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati; Ruoli e responsabilità All. B - 19.3 L'analisi dei rischi che incombono sui dati; Analisi rischi All. B - 19.4 Le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; Misure di protezione All. B - 19.5 La descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto Allegato B - 23; Ripristino dati

I requisiti – Documento programmatico della sicurezza All. B - 19.6 La previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonchè in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali; Training All. B - 19.7 La descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare; Outsourcing All. B - 19.8 Per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto Allegato B - 24, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato. Crittografia

I requisiti – Documento programmatico della sicurezza All. B - 20 I dati sensibili o giudiziari sono protetti contro l'accesso abusivo, di cui all'art. 615-ter del codice penale, mediante l'utilizzo di idonei strumenti elettronici. Convalida All. B - 21 Sono impartite istruzioni organizzative e tecniche per la custodia e l'uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti. Protezione fisica All. B - 22 I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili. Gestione della distruzione delle informazioni All. B - 23 Sono adottate idonee misure per garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni. Ripristino

I requisiti – Documento programmatico della sicurezza All. B - 24 Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale contenuti in elenchi, registri o banche di dati con le modalità di cui all'articolo 22, comma 6, del codice, anche al fine di consentire il trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di identificare direttamente gli interessati. I dati relativi all'identità genetica sono trattati esclusivamente all'interno di locali protetti accessibili ai soli incaricati dei trattamenti ed ai soggetti specificatamente autorizzati ad accedervi; il trasporto dei dati all'esterno dei locali riservati al loro trattamento deve avvenire in contenitori muniti di serratura o dispositivi equipollenti; il trasferimento dei dati in formato elettronico è cifrato. Protezione identità soggetti - anonimizzazione

I requisiti – Misure di tutela e garanzia All. B - 25 Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall'installatore una descrizione scritta dell'intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico. Gestione outsoursing All. B - 26 Il titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio, se dovuta, dell'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza. Aggiornamento DPS

Identificazione delle azioni di rimedio Definizione del piano di rimedio Identificazione delle azioni di rimedio Classificazione azioni (procedurale/tecnica) Identificazione delle responsabilità Pianificazione dei tempi MONITORAGGIO

Valutazione conformità ai requisiti Aspetti tecnici e requisiti IT Contesto normativo Valutazione conformità ai requisiti Alcuni aspetti sull’implementazione

Crittografia dei dati del DB relativa agli studi clinici Sistemi di memorizzazione dati Crittografia dei dati del DB relativa agli studi clinici Implementazione SW di terze parti compatibile con il DB esistente, disponibili anche SW Open source Valutare tutti i possibili rischi (verificare l’eventuale recupero dei dati)

Crittografia dei dati sul nastro di backup Sistemi di archiviazione dati Backup dei dati Crittografia dei dati sul nastro di backup Nei Sistemi convalidati sono già implementate misure di backup in accordo al 21 CFR Parte 11 e Annex 11 L’applicazione di backup esistente potrebbe già fornire funzionalità di crittografia dati

Protocolli di comunicazioni sicuri basati su standard crittografici Protocolli di comunicazione Protocolli di comunicazioni sicuri basati su standard crittografici Implementazione di PKI (Public Key Infrastructure) mediante acquisto di certificato tramite opportuna authority Installazione del certificato in modo da realizzare trasmissioni su HTTPS (HyperText Transport Protocol Secure)

Accesso al sistema con user ID e password Sistemi di autenticazione e autorizzazione Accesso al sistema con user ID e password Profili utenti configurati sul sistema in accordo ai ruoli di ogni utente Audit log per il controllo accessi Verifica periodica degli accessi e dei profili utenti Nei sistemi convalidati sono già implementate tali misure in accordo al 21 CFR Parte 11 e Annex 11

Grazie Giulia M. Valsecchi Pharma Quality Europe g.valsecchi @pqe.it +39 348 7152266