documento programmatico sulla sicurezza dell’azienda usl ... · relativamente alla analisi del...

1

Documento programmatico sulla sicurezza dell’Aziend a USL di Modena L’Azienda Usl di Modena adotta il Documento Programmatico sulla Sicurezza nonostante l’obbligo sia venuto meno con il d.l. 9 febbraio 2012, n. 5, convertito nella Legge n.35 del 4/04/2012; ritiene infatti opportuno sintetizzare in un unico documento le indicazioni e le strategie poste in essere dal titolare del trattamento in merito alle misure di sicurezza adottate e da adottare.

Sommario Documento programmatico sulla sicurezza dell’Azienda USL di Modena.........................................1 Sommario .............................................................................................................................................1

Riferimenti documentali ..................................................................................................................2 Principali riferimenti normativi e comunicazioni aziendali con riferimento alla sicurezza e al buon uso delle attrezzature informatiche e di comunicazione .........................................................2 Oggetto e scopo del documento .......................................................................................................4 La valutazione del rischio ................................................................................................................5

Analisi del rischio ........................................................................................................................5 Politiche di sicurezza e gestione del rischio.....................................................................................5 Nomina dei responsabili del trattamento e autorizzazione agli applicativi informatici...................6

Nomina dei responsabili...............................................................................................................6 Autorizzazione all’accesso agli applicativi aziendali ..................................................................6

Tutela fisica degli apparati ...............................................................................................................8 Sicurezza logica .............................................................................................................................11

Misure minime di sicurezza .......................................................................................................11 Misure ulteriori di sicurezza ......................................................................................................13 Misure di contenimento del rischio............................................................................................15

Procedure di continuità ed emergenza e recupero da disastro .......................................................16 Regole di buon uso del sistema informatico aziendale ..................................................................16 Crimine informatico e tutela del diritto d’autore ...........................................................................16 Tutela del diritto d’autore ..............................................................................................................16 I virus Informatici – malicious code -............................................................................................17 La gestione dei documenti informatizzati......................................................................................17 Caratteristiche della PKI utilizzata e relative procedure organizzative .........................................17 Caratteristiche di sicurezza delle stazioni di lavoro dalle quali operare la firma dei documenti informatici e/o la verifica e/o la marcatura temporale ...................................................................18 Amministratori di sistema..............................................................................................................18 Formazione e informazione sulla sicurezza informatica................................................................19 Percorso formativo aziendale in materia di protezione dei dati personali .....................................19 Sicurezza degli archivi cartacei - Analisi dei rischi che incombono sui dati trattati con mezzi non automatizzati e misure da adottare.................................................................................................21

Verifiche e Controlli .................................................................................................................22 Criteri da adottare in caso di trattamenti affidati all’esterno della struttura aziendale ..................23 Adempimenti relativi ai fornitori di servizi di manutenzione ad attrezzature ed applicativi informatici ......................................................................................................................................24

2

Il nuovo sistema informativo ospedaliero dell’Azienda ................................................................25 Appendice 1 – Adempimenti delle varie articolazioni aziendali ...................................................25

Riferimenti documentali Titolo del Documento Documento programmatico sulla sicurezza Numero di versione 7.0 Data ultimo aggiornamento Marzo 2013 Stato del documento Pubblicato Estensori del documento Servizio Informativo Aziendale e Ufficio Privacy Riferimento per comunicazioni in merito al documento

Per comunicazioni fare riferimento alle locali sedi del Servizio Informativo Aziendale

Modalità di distribuzione del presente documento e delle eventuali nuove versioni

ON LINE – intranet aziendale -

Principali riferimenti normativi e comunicazioni az iendali con riferimento alla sicurezza e al buon uso delle attr ezzature informatiche e di comunicazione Visto il d.l. 196/2003 (si riporta il testo aggiornato con le modifiche introdotte dalla Legge n. 35/2012; le parti oggetto di modificazione/soppressione sono riportate in corsivo) in particolare: “Titolo III – Regole generali per il trattamento dati -, capo II – regole ulteriori per i soggetti pubblici – Art. 22, comma 6 I dati sensibili e giudiziari contenuti in elenchi, registri o banche di dati, tenuti con l'ausilio di strumenti elettronici, sono trattati con tecniche di cifratura o mediante l'utilizzazione di codici identificativi o di altre soluzioni che, considerato il numero e la natura dei dati trattati, li rendono temporaneamente inintelligibili anche a chi è autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessità.” “Titolo V – Sicurezza dei dati e dei sistemi -, capo II – misure minime di sicurezza -, Art. 31 (Obblighi di sicurezza) 1. I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Art. 33 (Misure minime) “1. Nel quadro dei più generali obblighi di sicurezza di cui all’articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell’articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali.

3

Art. 34 (Trattamenti con strumenti elettronici) 1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:

a) autenticazione informatica;

b) adozione di procedure di gestione delle credenziali di autenticazione;

c) utilizzazione di un sistema di autorizzazione;

d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;

e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;

f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;

g) tenuta di un aggiornato documento programmatico sulla sicurezza; (soppresso)

h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

1-bis.(1) Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall'obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell' articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente codice e dal disciplinare tecnico contenuto nell'allegato B). In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrativo-contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentiti il Ministro per la semplificazione normativa e il Ministro per la pubblica amministrazione e l'innovazione, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico contenuto nel citato allegato B) in ordine all'adozione delle misure minime di cui al comma 1.(soppresso)

1-ter.(1) Ai fini dell'applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo-contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all'adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all'applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro.

Visti anche il punto 19 e i relativi sottopunti dell’allegato B del d.l. 196/2003

4

Documento programmatico sulla sicurezza 19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo: 19.1. l’elenco dei trattamenti di dati personali; 19.2. la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati; 19.3. l’analisi dei rischi che incombono sui dati; 19.4. le misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; 19.5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23; 19.6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali; 19.7. la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all’esterno della struttura del titolare; 19.8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l’individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell’interessato. (soppresso) Nella stesura del documento sono stati considerati i principali riferimenti normativi vigenti in materia relativamente a:

• Protezione dei dati personali • Codice della Amministrazione Digitale relativamente a documenti informatici, misure

di disaster recovery e business continuity • Crimine informatico • Tutela del diritto d’autore • Tenuta del protocollo informatizzato e gestione documentale • Uso dei supporti ottici

Oggetto e scopo del documento Come autorevolmente affermato dall’AIPA (Autorità per l’Informatica nella Pubblica Amministrazione, oggi Agenzia per l’Italia digitale) la sicurezza del Sistema Informativo Automatizzato non dipende solo da aspetti tecnici, ma anche se non principalmente, da quelli organizzativi, sociali e legali1. L’Azienda coglie l’occasione dell’adozione del documento programmatico sulla sicurezza per:

• formalizzare, razionalizzare e finalizzare le strategie aziendali in materia di sicurezza;

1 AIPA, “Linee guida per la definizione di un piano per la sicurezza dei sistemi informativi automatizzati nella pubblica amministra zione”, gruppo di lavoro AIPA-ANASIN-ASSINFORM-ASSINTEL

5

• definire opportune strategie per l’informazione e la formazione degli utenti aziendali sugli aspetti di sicurezza.

La valutazione del rischio

Analisi del rischio Relativamente alla analisi del rischio si rimanda ai documenti aziendali in materia di “LINEE GUIDA PER IL DISASTER RECOVERY DELLE PUBBLICHE AMMI NISTRAZIONI ai sensi del comma 3, lettera b) dell’art. 50-bis del DLgs. N. 82/2005 e s.m.i.”.

Politiche di sicurezza e gestione del rischio Obiettivi della politica di sicurezza della Azienda Gli obiettivi di sicurezza che l’Azienda si pone con la redazione del seguente documento e con l’attuazione delle misure di sicurezza previste sono:

1. per tutti i dati assoggettati al Decreto Legislativo 196 del 2003, dare attuazione a quanto previsto dall’art. 31 laddove dice che “I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.”

1. dare attuazione a quanto previsto dall’allegato B del D.L. 196/2003; 2. dare attuazione a misure di sicurezza ulteriori – rispetto a quelle previste dal D.L. 196/2003

– che l’azienda ritenga opportune e necessarie nell’ottica del perseguimento degli obiettivi istituzionalmente attribuiti;

3. ridurre a livelli ritenuti accettabili i principali rischi di sicurezza a cui il sistema informativo aziendale è sottoposto;

4. mantenere, compatibilmente con i vincoli di sicurezza sopra enunciati, il massimo livello di usabilità del sistema.

Misure per il perseguimento degli obiettivi di sicurezza individuati Gli obiettivi di sicurezza sono raggiungibili mediante la predisposizione delle seguenti misure:

• nomina dei responsabili del trattamento e degli incaricati del trattamento; • attuazione delle misure di tutela fisica degli apparati; • attuazione delle misure di sicurezza logica degli apparati; • definizione delle procedure di continuità ed emergenza; • definizione delle misure di recupero da disastro; • definizione di regole di buon uso del sistema informativo aziendale; • attuazione delle misure di contenimento dei virus informatici; • attuazione delle misure organizzative e tecniche per la gestione dei documenti informatici; • attuazione delle misure di informazione e formazione del personale aziendale sugli aspetti di

sicurezza informatica; • attuazione delle misure di informazione e formazione del personale aziendale sugli aspetti

generali della normativa in materia di protezione dei dati personali;

6

• misure di sicurezza relative alla salvaguardia delle informazioni detenute su supporto cartaceo;

che di seguito vengono dettagliate.

Nomina dei responsabili del trattamento e autorizza zione agli applicativi informatici

Nomina dei responsabili L’art. 4 del D.L. 196/2003 definisce f) " titolare", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza; g) "responsabile", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali; h) “incaricati”, le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile; i) " interessato", la persona fisica cui si riferiscono i dati personali; Al titolare e ai responsabili qualora nominati, compete la definizione del profilo di sicurezza del sistema informativo aziendale e la messa in atto delle idonee misure di attuazione - ai sensi di quanto previsto dagli artt. 28 e 29, comma 2, D. L.vo 196/2003 -. Si richiamano qui gli atti aziendali che il titolare ha adottato per la nomina formale dei responsabili del trattamento:

• deliberazione n. 19 del 11/02/2003 “Adozione del regolamento aziendale per l’applicazione della normativa di cui alla Legge 675/96 e successive modificazioni e integrazioni e nomina dei responsabili del trattamento dei dati personali”;

• deliberazione n. 242 del 13/12/2005 “Nomina dei responsabili del trattamento dei dati personali”;

• nota prot. n. 2/P10 del 13/01/2006 del Servizio Coordinamento Attività Amministrative avente ad oggetto “Comunicazione di nomina a Responsabile del trattamento di dati personali”;

• deliberazione n. 52 del 31/03/2009 “Nomina dei responsabili del trattamento dei dati – Nuova procedura”

• nota prot. 44734/PG del 13.06.2011 del Direttore Generale “Nomina dei responsabili del trattamento dei dati”

• nota prot. 63793/PG del 29.08.2011 del Direttore Generale “ Istruzioni ai Responsabili del trattamento dei dati”

• nota prot. 12765/ PG del 18.02.2013 del Direttore Generale “Nomina dei responsabili del trattamento dei dati”

• conferma nomine con atti individuali/collettivi

Autorizzazione all’accesso agli applicativi aziendali Secondo quanto prescritto dall’allegato B del D.L. 196/2003

7

12. Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è utilizzato un sistema di autorizzazione. 13. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all’inizio del trattamento, in modo da limitare l’accesso ai soli dati necessari per effettuare le operazioni di trattamento. 14. Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione. Allo scopo di dare attuazione a quanto sopra richiamato occorre che i responsabili del trattamento – per tutti quei trattamenti per i quali un responsabile sia stato individuato – o il titolare – per tutti quei trattamenti per i quali un responsabile non sia stato nominato – richiedano al Servizio Informativo Aziendale l’assegnazione di autorizzazioni di utilizzo delle procedure informatiche aziendali, affinché il SIA – Servizio Informativo Aziendale - possa attuare le dovute configurazioni tecniche sui sistemi, tali da dare attuazione e cogenza alle dette disposizioni. Allo scopo di rendere possibile ciò:

• il SIA – Servizio Informativo Aziendale - mette a disposizione l’opportuna modulistica per la CONCESSIONE/REVOCA/MODIFICA delle abilitazioni applicative sulla intranet aziendale;

• il Servizio Informativo Aziendale conserva con la dovuta cura tali richieste – nel caso le dichiarazioni siano cartacee; nel caso invece la dichiarazioni siano rese informaticamente i sistemi attraverso i quali avviene la detta dichiarazione sono tutelati da opportune misure di sicurezza -.

In ragione annuale viene consegnato al responsabile del trattamento un riepilogo delle abilitazioni facenti capo agli incaricati di propria pertinenza. Il responsabile del trattamento, nel caso verifichi incongruenze fra le abilitazioni assegnate e le condizioni che determinano la concessione delle abilitazioni applicative vigenti, dovrà prontamente segnalarlo al SIA, Servizio Informativo Aziendale – per le rettifiche del caso. Gli elenchi delle richieste di abilitazioni e le vigenti abilitazioni applicative potranno essere comunque sempre confrontati, dagli aventi diritto, nella seguente modalità:

• inoltro di una richiesta in tal senso ad uno qualsiasi degli uffici SIA competenti per ambito territoriale.

Al fine di gestire la concessione e revoca delle abilitazioni applicative è opportuno suddividere gli incaricati in tre diverse tipologie:

1. dipendenti a tempo indeterminato; 2. dipendenti a tempo determinato e/o frequentatori, collaboratori, dipendenti di altre

aziende che hanno accesso al sistema informativo dell’azienda USL per un tempo definito, ecc…

3. altri incaricati che hanno accesso al sistema informativo dell’azienda USL per fini manutentivi o di gestione tecnica.

Le differenze fra le tre categorie di incaricati sono:

• i dipendenti a tempo indeterminato sono gestiti dal servizio personale all’interno della procedura di gestione personale; il SIA mutua gli estremi identificativi della persona, la data di entrata in servizio e la data di fine servizio dai dati inseriti nella procedura di gestione del personale; nel caso di mancato utilizzo del sistema per periodi superiori ai 6 mesi verrà disabilitato l’accesso;

• i dipendenti a tempo determinato e le categorie di incaricati a questi assimilati, vengono inseriti nella procedura di gestione del personale ed è nota a priori la data di

8

scadenza del rapporto dell’incaricato con l’Azienda USL; saranno assimilabili a questa categoria anche quegli incaricati per il quali non sia possibile determinare a priori una data di scadenza del diritto a fruire del sistema informativo e ai quali il SIA abbia assegnato una data presunta di cessazione dell’abilitazione ad un anno; nel caso non venga data conferma del mantenimento del diritto a fruire del sistema informativo, alla scadenza dell’anno le abilitazioni saranno automaticamente sospese; nel caso di mancato utilizzo del sistema per periodi superiori ai 6 mesi verrà disabilitato l’accesso;

• la terza tipologia di utenti è assimilabile alla seconda – dipendenti a tempo determinato – eccezione fatta per il fatto che NON saranno disattivati gli utenti anche se essi non faranno accesso al sistema per un tempo superiore ai sei mesi; tale misura è giustificata dal fatto che tipicamente gli incaricati appartenenti a questa categoria accedono al sistema per fini manutentivi o di gestione tecnica dei sistemi, per cui possono non accedere anche per lunghi periodi nel caso non sia richiesto il loro intervento.

Per quanto attiene alla tipologia (1) e (2) di incaricati la concessione delle prime credenziali di accesso sarà a cura del servizio personale. Per quanto attiene alla tipologia (3) di incaricati la concessione delle prime credenziali di accesso sarà a cura del SIA - Servizio Informativo Aziendale.

Tutela fisica degli apparati Relativamente alla tutela fisica degli apparati e alle politiche di backup valgono le considerazioni di seguito riportate in attesa che queste tematiche vengano sostituite da quanto previsto dalle “LINEE GUIDA PER IL DISASTER RECOVERY DELLE PUBBLICHE AMMI NISTRAZIONI ai sensi del comma 3, lettera b) dell’art. 50-bis del DLgs. N. 82/2005 e s.m.i.”.

Collocazione dei server e degli apparati di rete Tutti gli apparati di categoria server – apparati di elaborazione multiutente - sono collocati in locali che presentano le seguenti caratteristiche di tutela:

• locali chiusi ad accesso controllato: l’accesso ai locali nei quali siano ospitati i sistemi di elaborazione o i sistemi di comunicazione è interdetto a chiunque, fatta eccezione per il personale autorizzato. Se eventualmente si rendesse necessario l’accesso a detti locali da parte di personale non autorizzato - per es. da parte di tecnici della manutenzione di ditte fornitrici, ecc… -, i visitatori saranno opportunamente identificati e accompagnati durante tutta la loro permanenza in detti locali da personale autorizzato. Deroghe a tale regola potranno essere concesse solo dietro precisa motivazione e andranno comunque segnalate ai responsabili della gestione dei server. Una deroga che qualche volta è indispensabile adottare consiste nel fatto che il locale può essere ad accesso non esclusivo da parte del personale SIA, ma può essere condiviso con altri servizi tecnici, ad esempio Ingegneria Clinica, Servizio Attività Tecniche, o altri.

• locali dotati di alimentazione elettrica tutelata: viene garantita la presenza di gruppo di continuità in grado di fungere da backup per brevi interruzioni di energia elettrica. Nel caso non sia possibile porre sotto gruppo di continuità l’alimentazione dell’intero locale, potranno essere utilizzati gruppi di continuità singoli per singole macchine; NOTA BENE: il gruppo di continuità – o UPS – dovrà essere predisposto anche nel caso il locale o l’intero

9

fabbricato sia servito da un gruppo elettrogeno – è infatti noto che il gruppo elettrogeno ha dei tempi di attivazione dell’ordine dei 10/15 secondi che non sono compatibili con le esigenze dei sistemi di elaborazione dati e di comunicazione -; la presenza del gruppo elettrogeno potrà comunque essere tenuta presenta nel dimensionamento del gruppo di continuità che potrà essere pensato per tamponare solo il breve intervallo di tempo intercorrente fra la caduta della alimentazione di rete e l’entrata in funzione del gruppo elettrogeno;

• locali dotati di opportuno condizionamento: i locali devono possedere condizioni idonee di microclima - in termini di temperatura, polverosità, umidità - e nel caso questo non sia garantibile attraverso misure passive, andranno predisposte le adeguate misure attive di condizionamento;

Tutti gli apparati attivi di rete andranno collocat i in armadi chiusi e, ove ciò sia possibile, che siano garantiti valori corretti di temperatura, di polverosità e di umidità. È responsabile di una adeguata collocazione degli apparati il Servizio Informativo Aziendale. In quei casi in cui non siano rispettati i suddetti requisiti, il SIA dovrà notificare la cosa alla direzione aziendale per attivare gli opportuni percorsi di adeguamento compatibilmente con i vincoli e le priorità aziendali.

Caratteristiche hardware dei server Tutti i sistemi di elaborazione di categoria server in uso in azienda – non importa se di proprietà, o a qualsiasi altro titolo detenuti e di cui si abbia la responsabilità – devono avere almeno le seguenti caratteristiche:

• per quanto possibile vengono privilegiate configurazioni hardware dei server ridondanti che garantiscano la continuità di servizio - per es. doppio alimentatore in configurazione ridondante, configurazione di server in cluster con funzionalità di “Mutual Take Over” o similari, doppia scheda di rete al fine di creare macchine “Multi Homed” in grado di poter resistere a guasti singoli sulla scheda di rete, ecc…-.

• tutte le aree di memoria su disco magnetico destinate a contenere i dati devono essere tutelate da misure di ridondanza - con tecniche almeno di mirroring, preferibilmente RAID -; ogni server dovrà possedere un dispositivo di backup di adeguate dimensioni e velocità - unità di backup -, nel caso l’azienda disponga di sistemi di backup centralizzato, tale informazione andrà dettagliata nella scheda che accompagna i server aziendali

• di ogni server viene conservata USERID e PASSWORD del super utente per manovre di emergenza sull’elaboratore nella cassaforte del servizio Provveditorato.

Le indicazioni sopra riportate rappresentano una situazione ottimale da perseguire nel minor lasso di tempo possibile – rispetto alla situazione attuale che prevede ancora alcune situazioni in condizioni di minore tutela -, compatibilmente con le risorse a disposizione e compatibilmente con gli obiettivi prioritari dell’azienda. È responsabile della messa in atto e della gestione delle opportune tutele hardware dei server il Servizio Informativo Aziendale.

Politiche di gestione dei Backup

10

Al fine di tutelare adeguatamente i dati gestiti nei vari sistemi di elaborazione viene tenuto aggiornato un piano di backup dei dati gestiti e delle configurazioni delle apparecchiature al fine di rendere attuale una efficace politica di disaster recovery. A tal fine si dispone quanto segue:

• la politica di backup viene conservata per iscritto presso l’ufficio reti del SIA di Modena, su tale documento dovrà anche essere precisato dove vengono conservati i supporti magnetici contenenti i salvataggi;

• nel documento illustrante la politica di backup vengono indicate le modalità con cui viene tenuta traccia – informatica o cartacea - dei risultati delle procedure di salvataggio;

• nel documento illustrante la politica di backup vengono indicati i luoghi dove sono conservati i supporti fisici contenenti i backup.

È responsabile della formulazione di adeguate politiche di backup il Servizio Informativo Aziendale. Sono responsabili della attuazione dei passi previsti dalle politiche di backup i vari incaricati di tali mansioni.

Politiche di gestione dei guasti Per tutti i trattamenti che occorre tutelare da minacce alla disponibilità – si veda a questo proposito l’elenco di cui all’Allegato “Elenco delle funzionalità applicative suddivise per ambito” – si adottano le seguenti misure. Trattamenti per i quali il guasto bloccante è altamente probabile:

• server: predisposizione di contratti di manutenzione che garantiscano tempi di intervento compatibili con la velocità di ripristino necessaria, o server muletto;

• client: predisposizione a priori di stazioni di lavoro alternative e di stazioni muletto da usare al bisogno;

• rete di comunicazione – locale e geografica: tutte le linee che sono funzionali all’utilizzo di trattamenti che occorre tutelare da guasti bloccanti devono avere un adeguato backup, gli apparati di rete locale devono essere coperti da contratti di manutenzione che garantiscano un tempo di ripristino adeguato;

Trattamenti per i quali il guasto bloccante è mediamente probabile o poco probabile:

• server: predisposizione di contratti di manutenzione che garantiscano tempi di intervento compatibili con la velocità di ripristino necessaria;

• client: ripristino nei due giorni lavorativi successivi; • rete di comunicazione – locale e geografica: gli apparati di rete locale devono essere

coperti da contratti di manutenzione che garantiscano un tempo di ripristino adeguato, in ogni caso saranno garantiti tempi di ripristino maggiori rispetto al caso precedente;

È responsabile della formulazione di adeguate politiche di gestione dei guasti il Servizio Informativo Aziendale. Sono responsabili della attuazione dei passi previsti dalle politiche di gestione dei guasti i vari incaricati di tali mansioni.

11

Sicurezza logica

Misure minime di sicurezza Il trattamento di dati personali è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti. Le credenziali di autenticazione consistono in un codice per l’identificazione dell’incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo. Con l’introduzione del nuovo Sistema Informativo Ospedaliero – SIO – si è inaugurata una modalità aggiuntiva di autenticazione dell’utente basata su SMARTCARD: secondo questa modalità un utente inserisce la propria SMARTCARD nella stazione di lavoro e si autentica digitando il PIN di autenticazione. Tale modalità di connessione al dominio windows non è sostitutiva, ma aggiuntiva rispetto alla modalità tradizionale basata su nome di utente e password. Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per l’autenticazione. Agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell’incaricato. (D.L. 196/2003 Allegato B, punti 1, 2,3 ,4) Il codice per l’identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi. Pertanto si dispone che ogni utente definito non venga più cancellato, ma disabilitato nel caso cessi di essere in uso, in maniera tale da evitarne il riutilizzo (D.L. 196/2003 Allegato B, punti 6) La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all’incaricato ed è modificata da quest’ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi. Qualora il sistema operativo dell’elaboratore su cui risiede l’applicativo lo consenta, è abilitato il cambio password, che l’incaricato potrà autonomamente effettuare in un qualsiasi momento successivo al primo accesso, e in ogni altro momento successivo; per quei sistemi operativi per i quali non sia disponibile tale modalità di cambio password, o non sia comunque abilitabile per ragioni tecniche l’incaricato potrà avvalersi della consulenza del personale del Servizio Informativo Aziendale per individuare la modalità tecnico/organizzativa più idonea allo scopo (D.L. 196/2003 Allegato B, punti 5). Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica. Le credenziali sono disattivate anche in caso di perdita della qualità che consente all’incaricato l’accesso ai dati personali. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento. Quando l’accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente riservata della credenziale per l’autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell’incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti

12

incaricati della loro custodia, i quali devono informare tempestivamente l’incaricato dell’intervento effettuato. (D.L. 196/2003 Allegato B, punti 7,8,9,10) Sistema di autorizzazione Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è utilizzato un sistema di autorizzazione. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all’inizio del trattamento, in modo da limitare l’accesso ai soli dati necessari per effettuare le operazioni di trattamento. NOTA BENE: per dettagli al riguardo si veda la Sezione dedicata alla individuazione degli incaricati del trattamento. Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione. (D.L. 196/2003 Allegato B, punti 12, 13, 14) Altre misure di sicurezza. Nell’ambito dell’aggiornamento periodico con cadenza almeno annuale dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione. I dati personali sono protetti contro il rischio di intrusione da programmi di cui all’art. 615-quinquies del codice penale, mediante l’attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale. I dati sensibili o giudiziari sono protetti contro l’accesso abusivo, di cui all’art. 615-ter del codice penale, mediante l’utilizzo di idonei strumenti elettronici. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l’aggiornamento è almeno semestrale. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale. (D.L. 196/2003 Allegato B, punti 15, 16, 20, 17, 18) Il reimpiego dei supporti di memorizzazione è vietato qualora siano serviti per la memorizzazione di dati personali o sensibili; si veda a questo proposito la Sezione relativa al buon uso del sistema informativo e di comunicazione. È inoltre genericamente vietato l’utilizzo di supporti di memorizzazione rimovibili per lo scambio di dati sensibili (D.L.

196/2003 Allegato B, punti 21 e 22)

Fanno eccezione a questa politica i supporti di memorizzazione impiegati per i backup dei

server, che vengono ciclicamente reimpiegati, fino al momenti in cui diventano inservibili e

vengono fisicamente distrutti.

Per quanto attiene agli adempimenti relativi a quanto prescritto nell’art. 22 comma 6: • tutti i nuovi applicativi che vengono acquisiti dall’Azienda destinati a trattare dati sensibili

devono essere conformi almeno ai requisiti minimi; così come tutte le installazioni che vengono effettuate devono essere condotte nel rispetto della vigente normativa;

• il meccanismo di sicurezza che di norma viene utilizzato dai fornitori di soluzioni applicative è la separazione fra dati anagrafici e dati sensibili, in tutti quei casi in cui ciò sia materialmente e tecnicamente possibile; si rimanda comunque alle dichiarazioni dei fornitori al riguardo;

• l’architettura del sistema informativo aziendale viene progettata e realizzata per far sì che un utente del sistema informativo aziendale non possa, con le proprie credenziali applicative, accedere direttamente ai dati contenuti nelle banche dati aggirando i vincoli applicativi;

• esistono eccezioni a questa regola generale, ad esempio gli amministratori delle banche dati – comunemente chiamati Data Base Administrator o DBA – possono accedere, al bisogno, alle banche dati in chiaro essendo propria della loro mansione la ricerca dei guasti e il controllo a basso livello delle funzionalità applicative;

13

• comunque sui database server sono attivate le funzionalità di tracciatura degli accessi, pertanto chiunque acceda alla banca dati deve poter giustificare il prorio operato in base a logiche di necessità ed essenzialità;

• per quanto tecnicamente possibile i percorsi dei dati in rete sono mantenuti localizzati su tratti di rete ad accesso controllato, in maniera tale da minimizzare i pericoli di intercettazione delle informazioni;

• per poter gestire l’erogazione delle prestazioni sanitarie ai vari pazienti si è realizzato un sistema di gestione dei precedenti sanitari chiamato repository; essendo di fatto impossibile limitare a priori l’accesso alle informazioni del repository da parte dei professionisti, potendo essere molto vari i tipi di contatti del paziente con le strutture sanitarie e quindi molto vario il bisogno informativo dei professionisti rispetto allo stato di salute dei pazienti in cura, si ritiene che l’unica modalità per garantire il buon uso delle informazioni in esso contenute sia sensibilizzare tutti gli utenti aziendali ad un utilizzo corretto e in linea con la vigente normativa di tali informazioni.

È responsabile della formulazione di opportune politiche di gestione dei sistemi di elaborazione che garantiscano il rispetto delle misure minime di sicurezza – e della attuazione delle misure attuative, per la parte di competenza – il Servizio Informativo Aziendale.

Misure ulteriori di sicurezza

Architettura di sicurezza In questa Sezione vengono illustrate le misure di sicurezza che esulano da quelle minime – richieste cioè dal D.L. 196/2003 Allegato B -. In particolare dall’analisi delle funzionalità maggiormente a rischio si evince che:

• la maggior parte delle utenze è collocata entro il confine aziendale e fruisce di servizi applicativi localizzati entro il confine aziendale;

• esistono alcune utenze collocate fuori dal confine aziendale che accedono a funzionalità applicative gestite all’interno del confine – o comunque fornite da server che rientrano fra quelli di competenza dell’azienda - :

o alcuni di questi utenti utilizzano internet per accedere ai servizi aziendali; o altri utenti non hanno possibilità di utilizzare internet e devono pertanto utilizzare la

rete telefonica pubblica commutata per accedere ai servizi aziendali; L’architettura che offre il miglior rapporto fra minimizzazione dei i rischi complessivi del sistema e costi di realizzazione e gestione è del tipo seguente:

14

aggiungendo anche una breve descrizione dei più importanti blocchi funzionali:

• Firewall; • RAS Server e VPN gateway: sono dispositivi che permettono l’accesso controllato alla rete

interna dall’esterno; • Rete esterna o Internet – con la doppia veste di mezzo di comunicazione per gli utenti

aziendali che accedono in VPN e insieme di risorse accedute dai client posti nella intranet aziendale -;

• Rete interna o Intranet – sede della maggior parte dei client aziendale e dei server che erogano la maggior parte delle funzionalità applicative -;

• DMZ – sede di alcuni sistemi che devono essere visibili in internet, ma svolgono anche servizi applicativi aziendali-;

L’architettura individuata si basa sui seguenti criteri:

• avere un confine aziendale ben definito con pochi, e molto ben individuati, punti di attraversamento presidiati da dispositivi facilmente controllabili, gestibili e monitorabili;

• avere una zona – la DMZ – con caratteristiche di sicurezza intermedia fra l’esterno e l’interno in cui porre tutti quegli elaboratori che pur facendo parte dei server che svolgono servizi applicativi per i client della intranet debbano in qualche modo essere visibili dalla rete internet;

• avere un piano di numerazione di rete interno non pubblico, ma convertito con tecniche NAT – Network Address Translation – per aumentare il livello complessivo di sicurezza;

L’attuazione delle misure tecniche che conducono alla realizzazione di una tale infrastruttura è di competenza del Servizio Informativo Aziendale. Così come la successiva gestione di tale infrastruttura. Dato che all’interno della rete aziendale vengono gestite anche diverse

15

attrezzature che appartengono alla categoria dei dispositivi medici è stata creata una cosiddetta “unità organizzativa” – Organizational Unit – all’interno del Dominio i cui pieni diritti amministrativi sono stati concessi al Servizio Ingegneria Clinica. Il servizio Ingegneria Clinica ha la piena responsabilità della gestione di tale Organizational Unit e delle attrezzature in essa contenute. Le politiche di sicurezza descritte per le attrezzature informatiche possono essere anche diverse dalle politiche di sicurezza a cui soggiacciono i dispositivi medici che sono assoggettati ad una specifica normativa. La sicurezza dei servizi dell’azienda affacciati in internet è verificata con periodici test da parte di terze parti – servizi di penetration test e vulnerability assessment -, le cui relazioni conclusive vengono tenute agli atti.

Misure di contenimento del rischio Salvaguardia delle funzionalità di sicurezza Si sceglie innanzitutto di mettere in atto tutte quelle misure che tendono a salvaguardare l’impianto di sicurezza del sistema quindi si adottano le seguenti misure:

• vengono adottate le migliori tecniche di tutela del Firewall, del RAS server e del VPNgateway che devono essere configurati e gestiti da personale professionalmente competente;

• si configurano nella maniera più sicura possibile tutti i server che hanno un ruolo nel processo di autenticazione dell’utente;

• vengono adottate analoghe tutele anche per i sistemi di elaborazione dedicati al backup dei dati;

• tutte le sessioni di amministrazione di sistema e di concessione/revoca/modifica di abilitazioni applicative che non si svolgano in locale sul server devono essere rese immuni da azioni di intercettazione sulla rete e di fraudolenta impersonificazione.

• le password di amministrazione, devono avere almeno una lunghezza di 8 caratteri, con possibilità di inserire sia maiuscole che minuscole e segni di punteggiatura.

L’insieme di misure sopra descritte tende a minimizzare le minacce di:

• disponibilità di servizio – relativamente alle funzionalità di sicurezza -; • intercettazione sulla rete e modifica – relativamente alle funzionalità di sicurezza -; • fraudolenta impersonificazione – relativamente alle funzionalità di sicurezza -;

Salvaguardia delle funzionalità applicative Si adottano le seguenti misure di salvaguardia:

• le autenticazioni sono effettuate in maniera sicura senza che la password viaggi in chiaro sulla rete – o che in rete viaggino informazioni che possano essere utilizzate per una fraudolenta impersonificazione -;

• si configurano nella maniera più sicura possibile tutti i server che forniscono funzionalità applicative, minimizzando il numero di funzionalità in uso su di essi e adottando tutte le opportune tecniche di irrobustimento;

• vengono adottate le necessarie misure di irrobustimento applicativo; • le password applicative, devono avere almeno una lunghezza di otto caratteri, con possibilità

di inserire sia maiuscole che minuscole e segni di punteggiatura, hanno una scadenza imposta massima di 3 mesi e non possono essere ripetute uguali alle ultime tre precedenti.

16

L’insieme di misure sopra descritte tende a minimizzare le minacce di: • disponibilità di servizio – relativamente alle funzionalità applicative -; • fraudolenta impersonificazione – relativamente alle funzionalità applicative -.

Non vengono sistematicamente gestite – almeno all’interno del confine aziendale – misure tese a prevenire l’intercettazione e la modifica delle comunicazioni applicative considerando tali minacce poco rilevanti. Invece nel caso di comunicazioni che attraversano il confine aziendale sono adeguatamente tutelate anche questi aspetti adottando opportune tecniche di crittografia di canale. L’attuazione delle misure tecniche sopra descritte sono di competenza del Servizio Informativo Aziendale.

Procedure di continuità ed emergenza e recupero da disastro Relativamente alle procedure di continuità ed emergenza e recupero da disastro si rimanda ai documenti aziendali in materia di “LINEE GUIDA PER IL DISASTER RECOVERY DELLE PUBBLICHE AMMINISTRAZIONI ai sensi del comma 3, let tera b) dell’art. 50-bis del DLgs. N. 82/2005 e s.m.i.”.

Regole di buon uso del sistema informatico aziendal e Nei paragrafi seguenti vengono richiamate alcune indicazioni di buona gestione del sistema informativo aziendale e delle attrezzature aziendali. Le indicazioni riportate devono essere integrate da quanto riportato nell’allegato denominato “Disciplinare sull’utilizzo degli strumenti informatici e di comunicazione aziendali”. Quanto riportato in appendice informa gli incaricati e fornisce indicazioni cogenti in ottemperanza a quanto prescritto dal Garante per la Protezione dei Dati Personali con deliberazione n.13 del 01/03/2007 “Lavoro: le linee guida del Garante per posta elettronica ed Internet”. Il suddetto disciplinare viene emanato ai sensi di quanto previsto al punto 3.2 del detto provvedimento.

Crimine informatico e tutela del diritto d’autore È compito del SIA informare il personale aziendale al buon uso del sistema informatico e telematico aziendale, al fine di prevenire il crimine informatico ad ogni corso di formazione sull’utilizzo di applicativi in uso in azienda il discente viene sistematicamente informato sulla normativa relativa al crimine informatico. Gli appartenenti al SIA sono informati su quanto prevede la vigente normativa in materia di crimine informatico – legge n. 547 del 23/12/1993 -.

Tutela del diritto d’autore Il Servizio Informativo Aziendale , qualora tecnicamente possibile predispone copie di riserva dei programmi dotati di regolare licenza allo scopo di prevenire accidentali perdite dell'originale e quindi danni patrimoniali all'azienda. Tale copia di riserva potrà essere usata soltanto per ripristinare le funzionalità del programma, quando non sia possibile utilizzare il programma originale.

17

I virus Informatici – malicious code - Al fine di prevenire le infezioni virali si adottano le seguenti misure:

1. si dotano tutte le attrezzature di confine di un adeguato software antivirale e si stabilisce l’aggiornamento delle firme almeno in ragione giornaliera.

2. si dota di software antivirale ogni nuovo client acquistato - e si predispongono adeguati meccanismi per mantenere tale software aggiornato.

3. ogni stazione di lavoro personale dotata di memorie di massa removibili – lettore di floppy disk e similari – che abbia strumenti di produttività personale e che mantenga documenti in locale, o che abbia configurato un client di posta elettronica deve essere dotata di software antivirale;

4. per quanto possibile si dovranno configurare i profili abilitativi di tutti gli utenti aziendali con privilegi che non consentano l’installazione o l’esecuzione di programmi non autorizzati sia sulle macchine client che sui server

5. per quanto organizzativamente possibile ed appropriato, dovranno essere disabilitate sui server le funzionalità di editor e di file transfer.

Almeno in ragione mensile si effettua una ricognizione sul livello di aggiornamento del software presente sulle attrezzature di confine e sui server al fine di verificare se sia necessaria l’installazione di eventuali FIX e/o effettuare modifiche di configurazione al fine di aumentare il grado di sicurezza delle stesse: la valutazione se operare o meno delle modifiche alle configurazioni o degli aggiornamenti software andrà fatta ogni volta valutando costi e benefici di dette operazioni.

La gestione dei documenti informatizzati Si intende per documento informatico la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti (DLgs. N. 82/2005 e s.m.i.). Ai sensi dell’art. 8 del DPR 28 dicembre 2000, n.445, “Testo unico delle disposizioni legislative e regolamenti in materia di documentazione amministrativa” i documenti informatici sono validi e rilevanti a tutti gli effetti di legge se conformi alle disposizioni del DPR stesso. Tutti i documenti informatici gestiti in azienda, in particolare le tipologie di documenti di seguito elencate:

o documenti firmati con firma elettronica a valore legale con certificato emesso da InfoCamere

sono conformi alle disposizioni del DPR 445 del 28 dicembre 2000. Di seguito vengono fornite alcune informazioni sulla architettura di sicurezza a supporto delle gestioni dei documenti informatici.

Caratteristiche della PKI utilizzata e relative pro cedure organizzative Le CA utilizzate in Azienda sono

• InfoCamere; • Actalis per quanto riguarda le smartcard fornite dal CUP2000 in relazione a progetti

regionali.

18

Per quanto attiene alle procedure organizzative per il rilascio/la rettifica/il ritiro di un dispositivo di firma si fa riferimento alle procedure delle CA. Effettuazione della firma dei documenti informatici L’effettuazione della firma dei documenti informatici avviene avvalendosi delle funzionalità di firma messe a disposizione dalle CA, oppure di funzionalità applicative messe a disposizione dai fornitori degli applicativi in uso nell’azienda sanitaria. Modalità di effettuazione della verifica delle firme L’effettuazione della verifica dei documenti informatici firmati con dispositivo di firma e certificato emesso da InfoCamere può avvenire con il software distribuito da Infocamere – presente su tutte le stazioni di lavoro dei nuovi ospedali della provincia – o attraverso il software applicativo in uso in Azienda.

Caratteristiche di sicurezza delle stazioni di lavo ro dalle quali operare la firma dei documenti informatici e/o la verifica e/o la marcatura temporale Caratteristiche di sicurezza delle stazioni di lavoro utilizzate per la firma dei documenti informatici Le stazioni di lavoro su cui viene effettuata la firma sono collegate al dominio di sicurezza aziendale e rispondenti a criteri di sicurezza ritenuti adeguati. Caratteristiche di sicurezza delle stazioni di lavoro utilizzate per la verifica della firma dei documenti informatici:

1. la verifica dei documenti firmati nell’ambito del SIO – Sistema Informativo Ospedaliero – avviene su stazioni dell’azienda che soggiacciano a precise politiche di sicurezza;

Caratteristiche del servizio di marcatura temporale Non si utilizza la marcatura temporale.

Amministratori di sistema In ottemperanza a quanto previsto dal provvedimento del Garante per la Protezione dei Dati Personali denominato “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema - 27 novembre 2008” (G.U. n. 300 del 24 dicembre 2008) nell’allegato denominato “Amministratori di sistema” si elencano tutti coloro che vengono incaricati di questo ruolo dal titolare. Nell’anno 2011 il Titolare ha delegato il controllo dell’operato degli amministratori di sistema al responsabile del Servizio Informativo Aziendale. Il Responsabile del Servizio Informativo Aziendale attesta, mediante la presente dichiarazione, che l’operato degli amministratori di sistema nell’anno appena trascorso, si è svolto secondo buone prassi tecniche, secondo criteri di diligenza e attenendosi ai mandati impartiti dalla direzione aziendale.

19

Formazione e informazione sulla sicurezza informati ca L’informazione e la formazione in materia di sicurezza informatica sono, accanto alla predisposizione di opportune misure tecniche, i pilastri su cui si fonda la gestione in sicurezza del sistema. La strategia che l’azienda adotta a fini informativi e formativi in materia di sicurezza si articola in:

• azioni generali di informazione e formazione sugli aspetti di sicurezza; • azioni specifiche di informazione e formazione su specifici aspetti di sicurezza propri di

specifici ambiti professionali; • informazione e formazione sul piano di continuità ed emergenza per le procedure

informatiche. In particolare, per quanto attiene alle azioni informative, si dispone che il presente piano sia pubblicato nella intranet aziendale e via posta elettronica sia data notizia della sua disponibilità a tutti gli utenti aziendali. La predisposizione di opportune azioni informative e formative è di competenza dei responsabili dei trattamenti – che si possono avvalere per gli aspetti strettamente tecnici della collaborazione del Servizio Informativo Aziendale.

Percorso formativo aziendale in materia di protezio ne dei dati personali L’Azienda ha attivato dal 2003 un percorso formativo rivolto ai responsabili ed agli incaricati del trattamento che ha lo scopo di conferire agli operatori di tutte le strutture aziendali una “cultura privacy” per una reale e fattiva applicazione in ambito aziendale dei principi contenuti nella normativa. Il programma formativo, che ha coinvolto ad oggi un cospicuo numero di dipendenti, ha avuto risultati estremamente soddisfacenti in quanto a partecipazione e collaborazione. Gli interventi formativi, condotti dai componenti dell’ Ufficio Privacy, coadiuvati dai rappresentanti del Gruppo Privacy Aziendale (*), sono stati modulati in relazione alla tipologia di incarico/mansione, all’ambito di appartenenza alle diverse strutture aziendali e, soprattutto, al grado di connessione tra problematiche in materia di protezione dei dati personali e attività lavorativa quotidiana. In tale ottica, dopo una prima formazione rivolta ai responsabili del trattamento, il progetto ha visto impegnato il personale del front office, per poi estendersi al personale sanitario ed amministrativo degli otto stabilimenti ospedalieri presenti in ambito provinciale. In un secondo momento sono stati interessati gli incaricati del trattamento afferenti ai Distretti ed al Dipartimento di Sanità Pubblica; particolare attenzione è stata poi riservata al Dipartimento di Salute Mentale, considerato il livello di sensibilità dei dati trattati. Sono stati altresì coinvolti gli incaricati del trattamento afferenti ai diversi uffici prettamente amministrativi, cui sono state dedicate specifiche giornate formative nel corso del 2006 e del 2007. La formazione del personale amministrativo è terminata nel 2008. La formazione si è poi rivolta agli incaricati del trattamento del Sistema Emergenza-Urgenza, agli specialisti ambulatoriali e ai nuovi responsabili del trattamento provenienti da altre aziende sanitarie del territorio provinciale. E’ stato altresì fatto un intervento formativo nei confronti di personale ausiliario a diretto contatto con gli utenti (es. portantini e barellieri). Nel 2008, come già avvenuto in anni precedenti, si è tenuto un seminario di aggiornamento specificamente dedicato ai responsabili del trattamento, in cui si è trattato in particolare degli illeciti in materia di privacy, delle responsabilità nel trattamento dei dati e di indagini ispettive.

20

In occasione di tali seminari sono stati invitati, in qualità di docenti, professionisti esperti della materia (magistrati, avvocati). Agli eventi formativi hanno partecipato, su invito, anche incaricati del trattamento afferenti ad organizzazioni/ditte esterne fornitrici di beni e/o servizi, nominate responsabili esterni del trattamento dei dati. Nel corso del 2009 il programma formativo è stato rivolto agli operatori sanitari, sia medici che infermieri, afferenti all’Ospedale di Carpi. Tutti gli interventi formativi di cui sopra hanno mirato e mirano a fornire gli elementi conoscitivi della normativa, i profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività e le responsabilità che ne derivano in caso di mancata adozione delle misure di sicurezza. Nel corso del 2010 il programma formativo ha coinvolto gli operatori sanitari dello stabilimento ospedaliero afferente al Nuovo Ospedale Civile S. Agostino-Estense. Parallela all’attività di formazione in senso stretto e ad essa estremamente connessa, è la continua emanazione di linee guida, circolari e disposizioni aziendali volte a richiamare costantemente l’attenzione all’osservanza degli obblighi in materia (nell’anno 2010, particolare attenzione è stata rivolta alla predisposizione delle necessarie linee guida in materia di sanità elettronica: Progetto Sole e Referti on-line) E’ altresì continua l’attività di consulenza interna dell’Ufficio Privacy nei confronti delle strutture aziendali che ne facciano richiesta. Anche nel corso del 2010 l’Ufficio Privacy ha svolto un’intensa attività di analisi di questioni puntuali in materia di privacy sia su sollecitazione (quesiti) dei vari soggetti aziendali, sia di propria iniziativa a seguito dell’emanazione di provvedimenti o direttive del Garante per la protezione dei dati personali, sia in occasione dell’avvio di attività aziendali che hanno richiesto specifica valutazione. Ha inoltre svolto un’intensa attività di consulenza, fornendo sia pareri legali, sia consulenze, anche telefoniche, a utenti, a MMG/PLS e alle strutture aziendali richiedenti. E’ stata inoltre curata la formazione personale dei componenti dell’Ufficio Privacy, mediante la partecipazione a giornate di studio, convegni e corsi in materia di protezione dei dati personali. L’attività di formazione svolta nell’anno 2011 è stata differente rispetto a quella effettuata negli anni precedenti. Pur rivolta al personale sanitario degli stabilimenti ospedalieri, come da programmazione, è stata condotta secondo una logica dipartimentale: sono stati cioè coinvolti gli specialisti afferenti ai diversi dipartimenti ospedalieri (chirurgia, ortopedia, emergenza-urgenza, medicina interna, area critica, ostetricia-ginecologia, medicina riabilitativa, neuroscienze, patologia clinica, diagnostica per immagini) che hanno problematiche e trattamenti di dati in comune. La formazione è avvenuta in occasione delle nuove nomine a responsabile del trattamento dei dati. La formazione del 2012 ha subìto un arresto a causa dei noti eventi sismici che hanno interessato il territorio della provincia di Modena. Nel corso del 2013, in attesa del completamento della riorganizzazione dell’assetto aziendale avvenuto nel mese di marzo 2014, con l’approvazione del Nuovo Manuale Organizzativo (del. N. 42 del 04.03.2014), si è proseguito nella valutazione in ordine alla opportunità e alla convenienza anche economica di percorsi formativi a distanza (FAD) all’interno dell’Area Vasta, da avviare nel corso del 2014; tali percorsi dovranno dare conto anche della nuova normativa europea di prossima emanazione e la modalità della formazione a distanza dovrebbe consentire di coinvolgere un elevato numero di dipendenti delle Aziende interessate. Alla FAD, si prevede di affiancare successivamente corsi frontali. Sempre nel 2013, l’arrivo all’Ufficio Privacy di un nuovo collaboratore ha reso indispensabile prevederne una formazione in materia, mediante la partecipazione a giornate di studio (Privacy Day) e ad un Master di specializzazione “Privacy Officer & consulente della privacy”.

21

(*) Istituito con Deliberazione del Direttore Generale n. 191 del 10/09/2002 e successivamente integrato, è rappresentativo delle macrostrutture e funzioni aziendali e fornisce un supporto costante per una corretta applicazione della normativa in materia di protezione dei dati personali in ambito aziendale e interviene nella risoluzione di specifiche problematiche.

Sicurezza degli archivi cartacei - Analisi dei risc hi che incombono sui dati trattati con mezzi non automatizzati e misure da adottare La normativa in materia di protezione dei dati personali e, più in particolare le disposizioni concernenti le misure di sicurezza, hanno impattato sulla realtà aziendale in modo molto forte; l’aderenza al dettato normativo ha dovuto necessariamente tener conto da un lato della vetustà di alcune strutture aziendali e dall’altro delle risorse finanziarie a disposizione. Gli oneri da sostenersi non sono sempre compatibili con le risorse, considerate anche le dimensioni aziendali (8 ospedali e 7 distretti). Tuttavia in questi anni è stato fatto, e continua ad essere portato avanti, ogni sforzo teso a superare i rischi dovuti alle carenze strutturali e logistiche mediante due tipologie di intervento: - l’adeguamento dei locali deputati a raccogliere la documentazione esistente, in particolar modo quella sanitaria: più specificamente si è provveduto a risanare molti dei locali obsoleti che ora consentono una adeguata e sicura collocazione della documentazione medesima. Queste modifiche riguardano per lo più i locali destinati ad archivio di deposito. Sono state inoltre introdotte dalle direzioni sanitarie di stabilimento forme di protezione più rigide e raccomandate procedure atte a consentire l’accesso esclusivamente alle persone autorizzate (accesso selezionato). Già nel 2008, sono state tradotte in forma scritta tali procedure, soprattutto per quanto riguarda i protocolli di gestione delle chiavi, che risultavano in molti casi ancora affidati ad istruzioni verbali. A tal fine si sono attivate le direzioni delle varie strutture. - l’esternalizzazione: non essendo fattibile una completa riorganizzazione degli spazi e degli ambienti esistenti, nell’aprile del 2006 è stato esternalizzato il servizio settennale di archiviazione e gestione di documenti (contratto di outsourcing archivistico), in particolare le cartelle cliniche. Tale soluzione ha consentito, fra l’altro, il recupero di spazi ed una collocazione più adeguata della documentazione sanitaria più recente che rimane negli archivi aziendali. Il personale della ditta appaltatrice è stato adeguatamente formato dall’Ufficio Privacy dell’Azienda Usl ed istruito in ordine alle misure di sicurezza. L’outsourcer, nominato responsabile esterno del trattamento, ha provveduto alla nomina dei propri incaricati. L’esternalizzazione ha consentito l’utilizzo di locali di archivio adeguati per dimensione, per numero e per dislocazione territoriale e dotati dei sistemi e degli impianti necessari per assicurare un alto livello di sicurezza fisica e logica dei documenti conservati. L’analisi dei rischi che incombono sui dati, che deve essere effettuata in prima istanza dai responsabili del trattamento, viene “verificata” durante i sopralluoghi di controllo da parte dell’Ufficio Privacy, che recandosi in loco, ha la possibilità di impattare visivamente con le situazioni di maggior rischio. Anche nel corso della formazione rivolta al personale dell’Azienda vengono fornite istruzioni sulle modalità di conservazione dei dati e raccomandata la massima prudenza; si focalizza altresì l’attenzione sulla necessità di non lasciare mai documenti incustoditi all’interno del proprio ufficio, durante le pause e le assenze dal luogo di lavoro, e sull’obbligo di restituire la documentazione prelevata dagli archivi al termine delle operazioni legate al trattamento.

22

Vengono altresì fornite indicazioni utili alla conservazione dei documenti che, pur non contenendo dati sensibili, devono essere trattati con l’adeguata riservatezza (es. agende di prenotazione degli appuntamenti). Tali indicazioni, contenute in linee-guida/circolari/note sono rese reperibili a tutto il personale dell’Azienda mediante la loro pubblicazione sulla intranet aziendale, nella sezione specificamente dedicata alla privacy. È bene segnalare che particolare attenzione va rivolta alle scadenze dei termini di conservazione dei documenti, al fine di procedere alla loro distruzione al termine della validità prevista, in ossequio anche al principio di cui all’art. 11, com. 1 let . e) del D.Lgs. 196/2003, il quale stabilisce che “i dati personali oggetto del trattamento sono conservati in una forma che consentano l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati”. A tal proposito, si evidenzia che nel corso del 2012, in attuazione di uno specifico progetto regionale, è stata avviata la verifica delle voci del vigente massimario di scarto, al fine di pervenire ad una elencazione esaustiva ed aggiornata di tutta la documentazione esistente e prodotta in Azienda e, di conseguenza, di procedere alla individuazione dei tempi di conservazione dei documenti, in linea con la normativa in materia e secondo criteri omogenei a livello regionale. L’analisi dei rischi che incombono sui dati è proseguita nel 2013; inoltre, a seguito del rinnovo delle nomine dei responsabili del trattamento, comunicate con nota del Direttore Generale prot. 12765/PG del 18.02.2013, l’Ufficio Privacy sta richiamando i Responsabili medesimi all’obbligo, di adottare le misure di sicurezza (misure di prevenzione e misure di protezione) e disporre i necessari interventi al fine di ridurre al minimo i rischi di distruzione, perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle disposizioni di legge. Tali raccomandazioni vengono costantemente sottolineate e ribadite in occasione dell’adozione dei nuovi atti di nomina e della rispettiva comunicazione ai dirigenti interessati.

Verifiche e Controlli Tra la fine del 2006 e l’inizio del 2007 è stato attivato un percorso di ricognizione, da parte dell’Ufficio Privacy, per verificare l’adeguamento alla normativa da parte delle diverse strutture aziendali e l’effettiva applicazione delle istruzioni impartite, con particolare attenzione agli aspetti concernenti la sicurezza. Il monitoraggio si è incentrato, inizialmente, sulle strutture ospedaliere. La situazione riscontrata nei locali/servizi/unità operative ad oggi visitati ha dimostrato una buona soglia di adeguamento, anche per il miglioramento dei locali adibiti ad archivio di cui al paragrafo precedente e per l’introduzione di nuovi presidi di sicurezza (classificatori, armadi dotati di serratura, ecc.) per la corretta conservazione dei dati. In alcuni casi è stata raccomandata un’ulteriore dotazione di tali presidi o comunque di accorgimenti utili a contrastare ogni possibile rischio, dovuto sostanzialmente, nelle vecchie strutture, ad una logistica degli spazi e dei percorsi obbligati che non teneva conto delle nuove esigenze. Nel corso dell’anno 2008 è stata verificata una buona soglia di adeguamento alle raccomandazioni fornite durante i sopralluoghi. L’attività di controllo ha poi interessato le realtà di tre Distretti territoriali: a fronte di una accresciuta sensibilità nei confronti della normativa, riscontrata in tutti gli operatori, e di un sicuro miglioramento nell’applicazione della medesima, sono state rilevate alcune inadempienze dovute,

23

per lo più, all’inadeguatezza di alcuni locali aziendali non atti a garantire una effettiva tutela della privacy degli utenti. In tal senso è stata richiesta dall’Ufficio privacy una soluzione che, pur nelle attuali ristrettezze economiche, permetta una maggior riservatezza. E’ stato inoltre raccomandato il rispetto della procedura relativa alla nomina degli incaricati del trattamento dei dati. Si è riscontrata, per lo più, la presenza di protocolli scritti riguardanti la gestione delle chiavi in relazione alla sicurezza di archivi, armadi, contenitori, ecc. Nel corso del 2009 sono stati verificati anche alcuni servizi amministrativi, considerati “delicati” al fine di sensibilizzarli al rispetto delle disposizioni in materia di protezione dei dati personali. In particolare il Servizio Interaziendale e delle Assicurazioni e il Servizio Acquisti Economato e Logistica. Alla fine del 2009 è stata affiancata al Responsabile dell’Ufficio Privacy la figura di un collaboratore sanitario addetto ai controlli, attualmente passato ad altra occupazione. Nel corso del 2010 l’attività di controllo ha interessato 2 strutture private accreditate (Villa Igea e Casa di Cura Fogliani). Considerate le dimensioni dell’Azienda, e il numero degli operatori, il problema della sicurezza non è avvertito da tutti in egual misura e risulta ancora difficile avere per così dire “il polso completo della situazione”; nonostante ciò dalle verifiche fino ad ora effettuate si è riscontrato, come sopra detto, un netto miglioramento e una forte sensibilizzazione degli operatori nei confronti delle tematica privacy. Nel 2011 sono state segnalate, da parte di alcuni professionisti, condizioni strutturali che non consentirebbero un’adeguata tutela della riservatezza degli utenti; a seguito dei controlli effettuati sono effettivamente emerse problematiche di difficile gestione di taluni spazi e ambienti. A fronte della oggettiva impossibilità di ristrutturazione di detti spazi, è stata raccomandata ai professionisti l’adozione di tutti gli accorgimenti possibili atti a consentire il rispetto della normativa in oggetto pur con gli ostacoli e i vincoli tipici di ogni struttura ospedaliera. L’attività di controllo da parte dell’Ufficio Privacy, già prevista per il 2012, pur con i limiti dovuti alla scarsità di risorse, è stata tuttavia sospesa a causa dei noti eventi sismici che hanno interessato il territorio modenese e che hanno inevitabilmente convogliato tutte le risorse, sia umane che economiche, verso aspetti più contingenti e urgenti. Anche nel 2013, pur essendo terminata la fase di emergenza e di ricostruzione, l’attività di controllo da parte dell’Ufficio Privacy non è stata riattivata sistematicamente, stante la scarsità di risorse e la necessità di dare risposta a nuovi input aziendali, più urgenti, avanzati nel corso dell’anno (avvio del progetto dematerializzazione, adeguamento aziendale alla normativa in tema di trasparenza e connessione tra tali tematiche e il tema della privacy). Nel corso del 2014 è intenzione dell’Ufficio Privacy riavviare l’attività di controllo, ponendo particolare attenzione alle modalità di somministrazione delle informative e di acquisizione del consenso presso le strutture aziendali. Nell’ambito dell’attività di controllo, durante il 2013 è stata fatta una ricognizione aziendale sull’utilizzo degli impianti di videosorveglianza ed è stato deliberato il nuovo regolamento aziendale in materia.

Criteri da adottare in caso di trattamenti affidati all’esterno della struttura aziendale Il Regolamento Aziendale per l’applicazione della normativa privacy, approvato con deliberazione n. 250 del 23/11/2004 all’art. 10 “Trattamento di dati affidati all’esterno” così recita “agli enti, agli organismi, agli altri soggetti pubblici e privati esterni all’Azienda, ai quali siano affidati attività o servizi, con esclusivo riferimento alle connesse operazioni di trattamento dei dati, viene attribuita la qualità di Responsabile ai sensi dell’art. 29 del D.Lgs. 196/03”.

24

Tale fattispecie si può configurare sia nel caso in cui il servizio esternalizzato abbia come oggetto diretto il trattamento di dati personali, sia nel caso in cui il trattamento dei dati si presenti come attività accessoria rispetto all’oggetto contrattuale. In entrambe le ipotesi occorre garantire che il soggetto incaricato della gestione del servizio esternalizzato, nell’effettuare le operazioni ed i compiti affidatigli, si impegni ad osservare le norme di legge sulla protezione dei dati personali. A tal fine, si è provveduto alla nomina a Responsabili esterni del trattamento, specificando ambito di attività e istruzioni in materia di protezione dei dati personali, degli Ospedali Privati accreditati, dei Laboratori Analisi e Poliambulatori Privati nell’ambito della Provincia di Modena. Sono stati altresì definiti i rapporti in ordine alla privacy con le Farmacie, pubbliche e private, in merito alla prenotazione di prestazioni specialistiche presso i locali delle stesse (utilizzo del sistema CUP), nonché inserito un protocollo nelle convenzioni stipulate con le strutture residenziali per anziani pubbliche e private che definisce ruoli e responsabilità in materia di protezione dei dati personali. Particolare attenzione continua ad essere dedicata alla società, debitamente nominata responsabile esterno del trattamento unitamente a dettagliate istruzioni, cui è stata affidata la gestione di strutture di servizio e di supporto alle attività assistenziali dello stabilimento ospedaliero inaugurato nel 2005. E’ stata effettuata la nomina a responsabile esterno del trattamento dei soggetti che effettuano operazioni di data-entry (inserimento dei dati relativi alle prescrizioni farmaceutiche ecc.). Nel biennio 2009-2010 è proseguita la ricognizione di tutti i contratti aziendali che vengono via via stipulati con i soggetti esterni (per lo più cooperative di servizi), cui sono stati affidati i c.d. “servizi alla persona” al fine di verificare la nomina a responsabile del trattamento dei dati e procedere poi al controllo dell’attività svolta in ordine alla protezione dei dati personali. Analogo comportamento continuerà nei confronti delle ditte che forniscono all’Azienda sistemi hardware e software e servizi di assistenza tecnica. Considerate le dimensioni aziendali e la molteplicità dei servizi affidati all’esterno, l’Azienda si è proposta per il 2012 il proseguimento della ricognizione delle ulteriori fattispecie in cui il trattamento dei dati costituisca attività accessoria rispetto all’oggetto del contratto/convenzione. Tale ricognizione, sospesa a causa dei noti eventi sismici che hanno colpito il territorio della provincia di Modena, è ripresa nel corso del 2013 ed ha portato a nuove nomine di responsabili esterni. Nelle ipotesi in cui non si sia ritenuto necessario procedere alla nomina a responsabile del trattamento, in relazione alla tipologia/quantità dei dati trattati, si è iniziato ad introdurre nei capitolati speciali d’appalto e nei contratti/convenzioni una formula di garanzia con la quale il soggetto esterno si impegni: ad osservare compiutamente quanto disposto dalla normativa privacy e dal regolamento aziendale in materia e ad informare l’Azienda USL sulla puntuale adozione delle misure di sicurezza, in modo da evitare rischi di distruzione o perdita, anche accidentale dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Nell’ambito della attività di verifica e controllo di cui al paragrafo precedente, una volta effettuati i sopralluoghi presso le diverse strutture aziendali, ci si propone anche di verificare in modo più strutturato l’adeguamento alla normativa da parte dei soggetti pubblici e privati di cui sopra.

Adempimenti relativi ai fornitori di servizi di man utenzione ad attrezzature ed applicativi informatici Si adottano idonee misure atte a garantire che:

1. il personale di ditte fornitrici che si trovi ad intervenire presso l’azienda USL di Modena, o che operi nell’ambito di forniture che trattino dati personali – sensibili o meno che siano -, dovrà operare nel rispetto delle vigenti disposizioni in materia di protezione dei dati personali;

25

2. in base a quanto disposto dal D.L. 196/2003 – Allegato B, punto 25 – “Punto 25. Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall’installatore una descrizione scritta dell’intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico.” Deve quindi essere fatta esplicita e formale richiesta di redazione di opportuno rapporto di intervento ogni volta che questo sia dovuto, da redigere in modalità conforme alla vigente normativa, che dovrà essere controfirmato da un rappresentante del Servizio Sistema Informativo Aziendale – SIA – all’atto della consegna;

3. In base a quanto previsto ai punti 1, 2, 3, 4, 6 dell’Allegato B, del D.L. 196/2003 è indispensabile procedere alla nomina di incaricati di tutti quei soggetti che hanno accesso al sistema informativo dell’Azienda USL di Modena – a fini manutentivi o più in generale per erogare il servizio oggetto di fornitura- o che in ogni caso trattino dati personali che cadono sotto le competenze del Titolare Azienda USL di Modena. A tal fine il fornitore dovrà comunicare alle locali sedi del SIA gli estremi identificativi del personale coinvolto nel trattamento al fine di procedere a formale incarico. Al fine di procedere alla nomina dell’incaricato dovranno essere raccolte le seguenti informazioni: nome e cognome, data e luogo di nascita, ditta di appartenenza, compiti specifici che il soggetto dovrà svolgere presso le nostre sedi. Nel caso la persona cessi di svolgere le funzioni per le quali ha ricevuto l’incarico, anche solo per un periodo superiore a 6 mesi, dovrà esserne data tempestiva comunicazione al SIA dell’Azienda USL di Modena che provvederà a revocare i diritti di accesso ai locali e ai sistemi, e se del caso l’incarico al trattamento. Nel caso tali informazioni non vengano comunicate – o confermate, nel caso si fosse già provveduto ad opportuna comunicazione – ci si vedrà costretti a revocare, con effetto immediato, ogni abilitazione esistente e ogni diritto di accesso esistente.

Il nuovo sistema informativo ospedaliero dell’Azien da Nell’anno 2005 sono stati attivati due nuovi stabilimenti ospedalieri nella provincia di Modena:

• Nuovo Ospedale Civile Estense di Modena; • Nuovo Ospedale Civile di Sassuolo.

In questi due nuovi stabilimenti si adottano sistemi informativi aderenti alla vigente normativa in termini di misure minime di sicurezza e di misure ulteriori di sicurezza. Nel nuovo Sistema Informativo Ospedaliero la Certification Authority per la firma Digitale è effettuata dalla ditta InfoCamere. L’estensione del detto sistema informativo ai restanti stabilimenti della provincia, oggi, di fatto completato, rappresenta il modo che questa azienda adotta per la messa in sicurezza di tutta la rete ospedaliera aziendale.

Appendice 1 – Adempimenti delle varie articolazioni aziendali La messa in sicurezza di un sistema informativo automatizzato richiede lo svolgimento di una serie di attività a diversi livelli. Le procedure organizzative relative ad uno specifico aspetto di sicurezza si articolano almeno nelle seguenti fasi: 1. definizione delle politiche relative all’aspetto specifico 2. progettazione, implementazione e gestione delle misure di sicurezza in attuazione delle

Politiche di cui al punto precedente

26

3. verifica e controllo della corretta attuazione e dell’efficienza delle misure di sicurezza adottate (Audit di sicurezza).

Al fine di facilitare l’individuazione delle diverse responsabilità rispetto a tematiche specifiche si riassumono di seguito i principali ruoli dei principali attori aziendali. Privacy e misure minime di sicurezza: Definizioni Titolare del trattamento dei dati personali

la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza

Responsabili del trattamento la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali

Incaricato del trattamento le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile

Nota bene: per trattamento, ai sensi del D.L. 196/2003, si intende “qualunque operazione o complesso di operazioni, svolti con o senza l'ausilio di mezzi elettronici o comunque automatizzati, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati”. Compiti Titolare del trattamento dei dati personali

Decide in ordine alle finalità ed alle modalità di trattamento dei dati personali e sul profilo di sicurezza. Il titolare nomina i responsabili del trattamento dei dati e i preposti alla custodia delle chiavi.

Responsabili del trattamento

Sono responsabili con il titolare del profilo di sicurezza del sistema. Individuano gli incaricati del trattamento dei dati e ne definiscono il profilo abilitativo in maniera formale mediante firma degli appositi moduli di autorizzazione (qualora tale individuazione dovesse essere rettificata o revocata andrà fatto ugualmente per iscritto mediante il medesimo modulo). Nel caso informazioni di tipo personale siano gestite su elaboratori non connessi in rete è necessario che il responsabile del trattamento dia opportune indicazioni organizzative affinché venga garantito il rispetto degli adempimenti di cui al D.Lgs 196/2003 sulla gestione delle parole chiave. Redazione ed attuazione di progetti informativi e formativi sugli aspetti di sicurezza. Verifica con cadenza almeno annuale della sussistenza delle condizioni per la concessione delle abilitazioni applicative agli incaricati.

27

Incaricati del trattamento Svolgono le mansioni loro assegnate relativamente ai trattamenti di loro competenza.

Servizi tecnici a cui è demandata la gestione tecnica della infrastruttura informatica

Sovrintendono alle risorse dei sistemi e ne gestiscono gli aspetti tecnici in maniera tale da consentirne l’uso ai responsabili del trattamento – e agli incaricati di trattamento Individuano i meccanismi di sicurezza che meglio implementano, in una logica costo beneficio, le politiche di sicurezza individuate dal titolare del trattamento - e dai responsabili del trattamento qualora nominati -. Sono responsabili della predisposizione dell’elenco completo di funzionalità applicative da concedere in abilitazione agli incaricati del trattamento – a cura del titolare o, qualora nominati, dai responsabili del trattamento -. (si veda a questo proposito l’elenco riportato in appendice e dominato “Elenco delle funzionalità applicative suddivise per ambito”) Secondo la periodicità definita elaborano i riepiloghi di abilitazioni applicative da sottoporre a verifica periodica da parte del titolare – o qualora nominati dai responsabili del trattamento -. Predispongono e mantengono aggiornati i seguenti elenchi:

• Elenco Server; • Elenco Apparati Attivi di Rete;

Sono responsabili della corretta collocazione degli apparati di elaborazione dati e degli apparati attivi di rete. Sono responsabili della corretta configurazione e gestione delle caratteristiche fisiche dei server – ai fini della sicurezza -. Sono responsabili della formulazione delle politiche di backup dei server. Sono responsabili della formulazione di opportune politiche di gestione dei sistemi di elaborazione che garantiscano il rispetto delle misure minime di sicurezza – e della attuazione delle misure attuative, per la parte di competenza -. Se l’accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente riservata della credenziale per l’autenticazione, impartisce idonee e preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali è possibile assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell’incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali deve essere organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l’incaricato dell’intervento effettuato. Sono responsabili della messa in atto delle misure tecniche per il raggiungimento di livelli di sicurezza superiori a quello minimo. Sono responsabili delle misure sistemistiche per il contrasto dei virus informatici. Predispongono l’elenco degli aspetti di sicurezza da monitorare e delle caratteristiche dell’azione di monitoraggio.

28

Conservano le evidenze e dei risultati degli auditing periodici a cui viene sottoposto il sistema.

Crimine informatico : Definizioni Direzione Aziendale La Direzione Generale, Sanitaria e Amministrativa dell’Azienda

Responsabili delle macro articolazioni aziendali

Dirigenti a cui è demandata la direzione delle principali articolazioni organizzative aziendali – direzioni di servizi centrali, direzioni di distretto, direzione di presidio, direzioni di dipartimento, ecc… -


Come sopra

Compiti Direzione aziendale Definisce, con l’ausilio tecnico del Servizio Informativo Aziendale ,

una serie di linee di indirizzo in tema di prevenzione e repressione del crimine informatico.


Informano gli utilizzatori sulla normativa vigente. Segnalano i comportamenti criminali.


Sovrintendono alla gestione tecnica dei programmi per il controllo delle intrusioni ai sensi dell’articolo 615-quinquies del Codice Penale

Buon uso delle attrezzature informatiche: Definizioni Vedi il punto precedente Compiti Direzione Aziendale Definisce, con l’ausilio del Servizio Informativo Aziendale , una

serie di linee di indirizzo in tema di buon uso delle attrezzature informatiche.


Vigilano sul buon uso delle attrezzature informatiche. Informano e formano gli utilizzatori sulle linee guida aziendali in materia. Censurano e sanzionano i comportamenti non corretti.


Individuano le misure di natura tecnica in grado di minimizzare l’onere di gestione degli apparati informatici. Definiscono una serie di misure tecniche e di modalità organizzative volte alla ottimizzazione dell’uso dei sistemi di elaborazione - sia di tipo personale che multiutente - Individuano inoltre misure tecniche che minimizzino il cattivo uso - o facilitino il controllo da parte delle

29

strutture preposte - dei sistemi di elaborazione.

Gestione sicura degli interventi di manutenzione: Definizioni Vedi il punto precedente Compiti Direzione aziendale Definisce, con l’ausilio tecnico del Servizio Sistema Informativo

Aziendale, una serie di linee di indirizzo in tema di gestione sicura degli interventi di manutenzione.


Presidiano gli interventi di manutenzione sui sistemi di elaborazione e sugli apparati di rete in maniera tale da prevenire diffusione di informazioni e azioni che diminuiscano il livello di sicurezza del sistema, nella sua globalità.

Documento Informatico: Definizioni Servizi tecnici a cui è demandata la gestione tecnica della infrastruttura informatica

Come sopra

Compiti Servizi tecnici a cui è demandata la gestione tecnica della infrastruttura informatica

Definizione delle procedure organizzative relative alla gestione della PKI. Definizione degli aspetti tecnici relativi alla PKI. Definizione dei requisiti minimi di sicurezza delle stazioni di lavoro destinate ad ospitare una determinata funzionalità e della infrastruttura complessiva a supporto di una determinata funzionalità connessa alla gestione dei documenti informatici.

Gestione dei supporti ottici: Definizioni Servizi tecnici a cui è demandata la gestione tecnica della infrastruttura informatica

Come sopra

Compiti

30


Responsabile della definizione delle procedure organizzative per la identificazione dei supporti ottici. Responsabile della definizione delle procedure organizzative per la conversione in digitale di documenti presenti in originale in forma cartacea.

Allegato – Elenco delle funzionalità applicative suddivise per ambito Codice Ambito Trattamento

D19 Gestioni distrettuali

Prenotazione CUP effettuata dalle farmacie


Gestione CUP (Centro unificato di prenotazione);

T6 Gestione tecnica del sistema Informativo Aziendale

Gestione dell'accesso ad INTERNET ed INTRANET per servizi di connettività: mail, browsing, FTP, Telnet, ecc…


Help Desk Applicativo (integrato con il sistema di inventario delle infrastrutture informatiche e di telecomunicazione);

O1 Gestioni ospedaliere

Gestione anagrafica dei contatti con la struttura ospedaliera;


Gestione cartella Ambulatoriale (con annesse funzionalità di gestione amministrativa delle prestazioni e di gestione referti);


Gestione Pronto Soccorso


Gestione ricoveri (intesa come gestione amministrativa del ricovero e parte sanitaria di ricovero, esclusa gestione cartella clinica);


Gestione cartella clinica e scheda nosologica;


Gestione sale operatorie (registro di sala operatoria e programmazione delle sale);


Gestione amministrativa delle grandi diagnostiche (Radiologia, laboratorio analisi, anatomia patologica, medicina nucleare, cardiologia, ecc…): comprendente almeno la schedulazione delle prestazioni in collegamento con il CUP e con il CIP, la gestione dei referti, la registrazione delle prestazioni erogate;


Sistema di gestione della documentazione iconografica e magazzino dei dati – PACS - : sottosistema di immagazzinamento della documentazione iconografica prodotta dalle diagnostiche digitali o digitalizzate; lavora in stretta connessione con i sottosistemi di gestione amministrativa delle grandi diagnostiche;


Gestione Centro Interno di Prenotazione – CIP - :sistema di programmazione interno delle attività, come ad esempio le consulenze interne, indagini diagnostiche per ricoverati, ecc…;


Gestione della libera professione medica

31


Gestione medicina di base - Anagrafe degli assistibili - comprensiva degli aggiornamenti da anagrafi comunali, della gestione assistenza all'estero e richiesta di rimborsi


Gestione dell’assistenza integrativa e della protesica convenzionata;


Gestione consultori (cartella consultoriale e gestione di tutte le prestazioni che non sono riconducibili al livello ambulatoriale)


Gestione screening (comprensivo anche della fase di creazione delle liste di chiamata, di gestione della chiamata e gestione cartella per le pazienti positive qualora le pazienti siano gestite in ambiti diversi da quelli consultoriali o ospedalieri);


Gestione dei ricoveri domiciliari (cartella del paziente domiciliare e gestione dei calendari degli interventi di assistenza domiciliare) e della Unità di Valutazione Geriatrica;


Gestione vaccinazioni


Gestione SERT


Gestione dipartimento di Salute Mentale

P1 Dipartimento di Salute Pubblica

Gestione delle attività inerenti l'igiene pubblica


Gestione delle attività inerenti la prevenzione e la sicurezza degli ambienti di lavoro


Gestione delle attività inerenti il servizio veterinario


Gestione delle attività inerenti l'impiantistica e l'antiinfortunistica


Gestione delle anagrafi animali e dei relativi flussi verso altri enti


Gestione degli invalidi civili


Gestione patenti speciali


Gestione medicina sportiva

S3 Gestione dei servizi di supporto

Gestione del Servizio di Fisica sanitaria (comprensivo della gestione della cartella del dipendente);

A1 Gestione amministrativa delle aziende sanitarie

Gestione del personale (comprensivo di trattamento economico, rilevazione della presenza assenza, gestione concorsi, gestione stato giuridico matricolare, pianta organica, aspetti contributivi e previdenziali, gestione della formazione del personale comprensiva degli aspetti di accreditamento dei corsi);


Gestione Ufficio Affari Legali (comprensivo della gestione di ingiunzioni, pignoramenti, transazioni, citazioni, diffide, ricorsi, ordinanze, gestione aspetti assicurativi, tenuta repertorio contratti, consulenza interna agli altri servizi)

32


Network Management e monitoraggio della rete;


Security Management (comprendente almeno la gestione degli utenti e dei profili abilitativi e delle apparecchiature di presidio del confine aziendale tipo Firewall e Access Server);


Gestione Call Center e URP – ufficio rapporti con il pubblico – Ospedaliero;


Gestione Call Center e URP – ufficio rapporti con il pubblico – Distrettuale;


Gestione del Servizio Ingegneria Clinica (eventualmente integrato con la gestione cespiti e la gestione contabile per quanto attiene al ciclo passivo);


Gestione logistica (comprensivo di gestione richieste dal reparto, gestione ordini, gestione magazzini, gestione fatturazione passiva);


Gestione contabile (comprensiva di contabilità generale, gestione cespiti, fatturazione attiva, recupero crediti e flussi per la messa a ruolo dei mandati di pagamento);


Gestione casse


Gestione farmacia ospedaliera (comprensivo di gestione richieste da parte dei reparti, gestione ordini ai fornitori, gestione magazzini farmaceutici e gestione della reportistica per il controllo direzionale e di consumo in reparto)


Attività di office automation ospedaliera: produzione di documenti non ascrivibili in maniera diretta ai trattamenti ospedalieri sopra elencati;


Gestione dei flussi informativi ospedalieri obblligatori con la regione e i ministeri: gestione della mobilità, registri sanitari, CEDAP, ecc…


Rilevazione della attività ospedaliera


Trattamenti operati dalla Direzione di stabilimento e/o di Presidio nell'ambito dei compiti istituizionali delle direzioni sanitarie (comprensive almeno degli aspetti di gestione degli espianti, riscontri autoptici, comunicazioni alla autorità giudiziaria, ecc...)


Gestione della farmaceutica convenzionata (comprensiva delle funzionalità di supporto ai controlli di merito sulle prescrizioni e delle funzionalità di supporto ai controlli dei budget dei prescrittori);


Attività di office automation distrettuale: produzione di documenti non ascrivibili in maniera diretta ai trattamenti distrettuali sopra elencati;


Rilevazione della attività distrettuale


Gestione della mobilità sanitaria (sia intra che extra regionale);


Attività di office automation di tipo amministrativo: produzione di documenti non ascrivibili in maniera diretta ai trattamenti amministrativi sopra elencati;

33


Gestione del Servizio Attività Tecniche (eventualmente integrato con la gestione cespiti e la gestione contabile per quanto attiene al ciclo passivo);


Gestione inventario aziendale (eventualmente integrato con la gestione tecnica dei servizi di supporto);


Gestione protocollo (protocollazione dei documenti amministrativi – se del caso integrato con il sistema di gestione del workflow delle pratiche amministrative -);


Gestione delibere e gestione documentale in genere (comprensiva se del caso di sistema di gestione dell’iter delle pratiche in grado di coadiuvare la gestione in trasparenza delle pratiche amministrative);


Gestione inventario delle infrastrutture informatiche e di telecomunicazione (eventualmente integrato con il sottosistema di gestione inventario e gestione cespiti);


Gestione dell'autorizzazione e dell'accreditamento delle strutture sanitarie (comprendente almeno la gestione documentale in modalità informatizzata);

M1 Committenza e Marketing

Contratti e convenzioni con case di cura e strutture convenzionate


Controllo di gestione e supporto decisionale alla direzione aziendale (comprensivo di sistema di generazione dinamica della reportistica e del data warehouse dei costi e dei ricavi);


Gestione degli elenchi telefonici aziendali


Data Warehouse sanitario e sistema di supporto per il governo clinico

documento programmatico sulla sicurezza dell’azienda usl ... · relativamente alla analisi del...

Documents