Adeguamento GDPR Laboratori Analisi Poliambulatori: cosa fare


Adeguamento GDPR Laboratori Analisi Poliambulatori: tutto quello che c’è da fare

adeguamento-gdpr-laboratori-analisi-poliambulatori

 

Medusa Software, come altre aziende IT del settore sanitario, ha cercato di fare un pò di ordine al complesso quadro giuridico relativo al nuovo GDPR e alla Privacy europea, cercando di supportare, con l’aiuto di Partner specializzati, i Titolari di Laboratori Analisi e Poliambulatori.

Abbiamo identificato 4 aree principali per l’adeguamento GDPR Laboratori Analisi Poliambulatori:

  1. SICUREZZA DEI SISTEMI INFORMATIVI
  2. PRIVACY GDPR (PARTE DOCUMENTALE +DPIA)
  3. DPO
  4. AGGIORNAMENTI TAVOLA ROTONDA SULLA SANITA’

 

Misure di Sicurezza dei Sistemi Informativi da adottare per essere compliance

Il software gestionale URANIA è conforme al Regolamento comunitario sulla privacy.

Vediamo alcune verifiche da fare per essere compliance, con adozioni di misure di sicurezza di tipo tecnico.

Verifica su:

– Gestione singolo impianto
– Gestione impianti in rete
– Software e hardware utilizzati
– Antivirus
– Licenze
– Aggiornamenti
– Password
– User-id
– Modalità linguaggio (es. criptazione comunicazioni all’esterno e attribuzione password al paziente per il referto on line, spedizione del referto intranet ed extranet, ecc)
– Archiviazione dati
– Tenuta e distruzione dati
– Pianificazione della continuità delle informazioni
– Profilazione dei dati

 

Quesiti Laboratori e Poliambulatori per adozione misure di Sicurezza di tipo tecnico

Nel vostro Laboratorio Analisi o Poliambulatorio sussistono già le seguenti misure di sicurezza oppure è necessario adottarle?

  1. Prevedere un sistema di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti;
  2. Le credenziali di autenticazione devono consistere in un codice per l’identificazione dell’incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell’incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell’incaricato.
  3. Assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo;
  4. La parola chiave per l’autenticazione deve essere composta da almeno 8 caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito;
  5. La parola chiave non deve contenere riferimenti agevolmente riconducibili all’incaricato;
  6. La parola chiave deve essere modificata da quest’ultimo al primo utilizzo e, successivamente, almeno ogni tre mesi;
  7. Le successive 32 parole chiavi devono essere tutte diverse;
  8. Il codice per l’identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi;
  9. Le credenziali di autenticazione non utilizzate da almeno 6 mesi devono essere disattivate;
  10. Le credenziali sono disattivate anche in caso di perdita della qualità che consente all’incaricato l’accesso ai dati personali;
  11. Non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento;
  12. Impartire disposizioni scritte volte ad individuare chiaramente le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell’incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema;
  13. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all’inizio del trattamento, in modo da limitare l’accesso ai soli dati necessari per effettuare le operazioni di trattamento.
  14. Almeno annualmente, è verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione.
  15. Devono essere attivati idonei strumenti elettronici contro il rischio da intrusione da aggiornare con cadenza almeno semestrale.
  16. Gli strumenti elettronici volti a prevenire la vulnerabilità dei sistemi e a correggerne i difetti devono essere aggiornati almeno ogni 6 mesi;
  17. Prevedere il salvataggio dei dati con frequenza almeno giornaliera;
  18. Impartire istruzioni organizzative e tecniche per la custodia e l’uso dei supporti rimovibili su cui sono memorizzati i dati;
  19. I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili;
  20. Adottare idonee misure per garantire il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a 7 giorni;
  21. Laddove il titolare del trattamento adotti misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, deve ricevere dall’installatore una descrizione scritta dell’intervento effettuato che ne attesti la conformità al disciplinare tecnico allegato al codice privacy;
  22. Separazione fisica o logica dei dati idonei a rivelare lo stato di salute e la vita sessuale dagli altri dati personali trattati per scopi amministrativo-contabili;
  23. In ogni caso devono essere adottate tutte le misure di sicurezza necessarie per rispettare il divieto di diffusione dei dati sanitari prescritto dal Codice (artt. 22, comma 8 e 26, comma 5).

 

Adempimenti Privacy : parte documentale con PRIVACY LAB

La seconda area di interesse per l’adeguamento GDPR Laboratori Analisi Poliambulatori riguarda la produzione documentale e la privacy.

I laboratori analisi o poliambulatori, in quanto trattano dati particolari, devono effettuare per legge i seguenti adempimenti:

Parte documentale

  •          Informative + eventuali consensi
  •          Nomina incaricati + istruzioni
  •          Nomina titolare
  •          Nomina responsabili interni / esterni
  •          Registro dei trattamenti

Inoltre è necessario il DPIA per la gestione massiva di dati sanitari.

Privacy Lab è il nostro Partner di fiducia che permette ad aziende, enti e professionisti di gestire in modo facile e completo tutti gli adempimenti previsti nel nuovo regolamento europeo ed evitare sanzioni dal Garante. In che modo?

  • verificarndo la sicurezza dei dati personali trattati;
  • producendo la documentazione necessaria;
  • monitorando l’intero processo del trattamento dei dati;

 

DPO Strutture Sanitarie:  compiti e costi

Il Responsabile per la Protezione dei Dati (RPD), o Data Protection Officer (DPO), è un soggetto con una conoscenza approfondita della legislazione in materia di protezione dei dati, il cui ruolo comprende l’assistenza al titolare del trattamento o al responsabile del trattamento per il controllo della conformità interna al GDPR, e per la supervisione e l’attuazione della strategia di protezione dei dati.

Il DPO dovrebbe inoltre essere competente nella gestione dei processi informatici, nella sicurezza dei dati e in altre questioni critiche relative al trattamento di dati personali e sensibili.

La nomina del DPO è obbligatoria nei seguenti casi:

– quando il trattamento è effettuato da autorità o organismo pubblico;
– quando le attività principali del titolare o del responsabile consistono in trattamenti che richiedono “il monitoraggio regolare e sistematico degli interessati su larga scala”;
– quando le attività principali del titolare o del responsabile consistono nel trattamento di dati sensibili o giudiziari.

La nomina di un DPO non si basa pertanto solo sul numero effettivo di dipendenti, ma anche sulla natura dell’attività di trattamento dei dati e rientra nella terza area di intervento per adeguamento GDPR Laboratori Analisi Poliambulatori.

La proposta prevede un percorso di affiancamento personalizzato e finalizzato a  supportare  il  Titolare  del  trattamento  nell’assessment  propedeutico  alla predisposizione del “dossier privacy”, ed affiancarlo nell’adempimento di diversi obblighi:

– Stesura Organigramma Privacy;
– Nomina del Data Protection Officer;
– Mappatura Trattamenti;
– DPIA – Data Protection Impact Assessment
– Supporto nell’implementazione Misure di Sicurezza minime e necessarie;
– Predisposizione Informativa e Consenso Privacy;
– Formazione degli Staff e dei Collaboratori;
– Redazione del documento “dossier privacy”;
– Notificazioni al Garante Privacy;

L’onorario per la consulenza DPO per Laboratori Analisi e Poliambulatori può andare dai 200 ai 500 euro mese.

 

Aggiornamenti Tavola Rotonda sulla Sanità: Sito Web Codice di condotta sulla Sanità

 

Il 4 Aprile, presso l’Università Cattolica del Sacro Cuore a Roma, Medusa Software ha preso parte ad un convegno con la partecipazione dell’Autorità Garante, per presentare l’iniziativa e discutere le tematiche di maggiore priorità da affrontare nelle prime fasi della definizione del Codice di condotta per la Sanità.

Durante l’evento ci hanno informato che è stato attivato il sito https://www.gdpr-sanita.it, registrandosi al quale, le Strutture Sanitarie potranno scaricare materiale utile ed ottenere aggiornamenti sull’evoluzione dell’iniziativa.

  • E’ stato costituito un gruppo di lavoro promosso dal Garante di cui fanno parte: ASL (ASL di Foggia, la ASL Roma-1, la ATS Val Padana, la Azienda USL della Romagna e la Azienda USL Toscana sud est), Ministero della Salute, le principali associazioni sanitarie di rilevanza nazionale (quali AIOP, ARIS, FederANISAP, FederSanità, FIASO) nonché l’ Ordine dei Medici della Provincia di Roma, allo scopo di identificare le essenziali motivazioni cliniche necessarie per garantire la liceità e le finalità dei trattamenti dei dati personali.
  • Il Decreto Legislativo per l’adeguamento al nostro Ordinamento deve essere ancora approvato in quanto alle Commissioni Parlamentari. Elementi più chiari si avranno successivamente anche se le novità sono molte.
  • ll codice verrà elaborato secondo un approccio modulare ed incrementale, affrontando le singole tematiche in fasi e secondo criteri di priorità, in modo da poter ottenere risultati singolarmente utilizzabili in tempi più brevi, garantendo comunque la coerenza finale del codice in tutte le sue parti.Vi ricordiamo dunque l’utilità di registrare la vostra Struttura Sanitaria sul sito web: https://www.gdpr-sanita.it.

 

Hai dubbi sulla conformità al nuovo Regolamento europeo del tuo gestionale sanitario e dei sistemi informativi?

Richiedici un preventivo sul software sanitario oppure una consulenza GDPR

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *