SIA Area Sistemi Informativi Aziendali

Transcript

1 SIA Area Sistemi Informativi Aziendali PROGETTAZIONE E SVILUPPO REGOLAMENTO DI DISCIPLINA DELL'ESERCIZIO DELLA FACOLTÀ DI ACCESSO TELEMATICO E DI UTILIZZO DEI DATI Ottobre 2014 (Ver.2.0) 1

2 Sommario 1. PREMESSA UTILIZZO DEL PC TRATTAMENTO DATI USO DELLA RETE USO DELLA POSTA ELETTRONICA PROTEZIONE SALVATAGGIO SMALTIMENTO CONTROLLI SANZIONI PREMESSA 1.1 Oggetto Il presente documento indica le modalità di utilizzo degli strumenti informatici aziendali in dotazione agli operatori, con particolare riferimento agli aspetti connessi alla tutela dei dati in essi presenti. 1.2 Destinatari Il documento è rivolto a tutti coloro che utilizzano strumenti informatici nello svolgimento di attività sanitarie e amministrative aziendali e, in particolare, a tutti coloro che trattano dati personali a titolo di Incaricati del trattamento. Esso si prefigge lo scopo di rendere consapevoli i collaboratori interni ed esterni dell Azienda e i suddetti Incaricati in merito al trattamento dei dati con strumenti elettronici e alle modalità di utilizzo degli strumenti informatici aziendali (pc, rete interna, posta elettronica, internet). 1.3 Aggiornamento Il presente documento sarà oggetto di monitoraggio e aggiornamento periodico da parte dei Sistemi informativi al fine di garantirne l efficacia applicativa e l attualità. 2

3 Si invitano sin d ora gli operatori a segnalare anomalie o situazioni a rischio privacy quale base per il successivo perfezionamento del documento. 1.4 Rinvio Il documento deve essere letto e applicato dagli Incaricati. 2. UTILIZZO DEL PC 2.1 Finalità Il computer che l utente ha ricevuto in dotazione è uno strumento di lavoro, fornito dall Azienda ospedaliera, il cui utilizzo deve avvenire nel rispetto dei principi di correttezza e diligenza per perseguire finalità di tipo aziendale e/o previste dalla legge. Ogni utilizzo non conforme può causare disservizi, costi di manutenzione, minacce alla sicurezza, danni a persone o al patrimonio aziendale. 2.2 Impostazioni Le caratteristiche hardware e software del computer sono impostate dal Sistema informativo in base alle direttive della Direzione aziendale e non possono essere modificate. Ciò comporta il divieto di installare programmi diversi da quelli autorizzati dal Sistema informativo (che può altresì procedere alla rimozione di files o applicazioni pericolosi per la sicurezza). E inoltre vietato riprodurre o duplicare programmi informatici (in ottemperanza alla normativa antipirateria) e ogni altro oggetto per cui vale la normativa del copyright. 2.3 Pausa / Fine sessione lavorativa Durante la sessione di trattamento e al termine della stessa gli operatori e gli Incaricati non devono lasciare incustodito e accessibile lo strumento elettronico. In particolare: al termine della sessione lavorativa (fine giornata lavorativa; assenza prolungate dall'ufficio) il computer deve essere spento; in pausa pranzo è opportuna l attivazione della modalità blocca computer ovvero dello screen saver con attivata l opzione riattivazione a mezzo password. 2.4 Portatile o altro device mobile 3

4 L'utente è responsabile del computer portatile o altro device mobile assegnatogli dall'azienda ospedaliera. Il portatile deve essere custodito con diligenza durante gli spostamenti e l'utilizzo. Al termine dell utilizzo il portatile deve essere riposto in un luogo sicuro. Il trasporto del PC portatile all esterno dell Azienda ospedaliera deve essere autorizzato dal proprio Dirigente Responsabile. 3. TRATTAMENTO DATI 3.1 Accesso ai dati Conformemente al generale obbligo di sicurezza previsto dal Codice Privacy, i dati personali oggetto di trattamento devono essere custoditi e controllati in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i seguenti rischi: distruzione o perdita, anche accidentale, dei dati stessi; accesso non autorizzato; trattamento non consentito o non conforme alle finalità della raccolta. Il trattamento di dati personali con strumenti elettronici è consentito dal Responsabile agli Incaricati dotati di credenziali di autenticazione (password, smart card eccetera) che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti. Gli Incaricati svolgono le operazioni di trattamento dati conformi al profilo al quale sono stati assegnati. Periodicamente, e comunque almeno annualmente, è verificata dal Responsabile la sussistenza delle condizioni per la conservazione dei profili di autorizzazione. 3.2 Gestione della password di accesso La password è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito. Essa non deve contenere riferimenti agevolmente riconducibili all'incaricato (ad esempio evitare di indicare il nome proprio, del coniuge, la data di nascita eccetera), è modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e giudiziari la password è modificata almeno ogni tre mesi. L utente autorizzato a trattare dati personali deve adottare le necessarie cautele per assicurare la segretezza e l esclusività della password. In particolare la password non deve essere scritta su promemoria in vista (ad esempio affissi dinanzi al pc) né devono essere adottate procedure automatiche di composizione della stessa. Nel caso in cui l utente reputi che la password non sia più segreta la stessa deve essere immediatamente sostituita 4

5 3.3 Dati genetici I dati genetici sono trattati esclusivamente all'interno di locali protetti accessibili ai soli Incaricati del trattamento ed ai soggetti specificatamente autorizzati ad accedervi. Il trasporto dei dati genetici all'esterno dei locali riservati al loro trattamento deve avvenire in contenitori muniti di serratura (o dispositivi simili). 4. USO DELLA RETE 4.1 Finalità L accesso alla rete è consentito nel rispetto dei principi di correttezza e diligenza per perseguire finalità di tipo aziendale e/o previste dalla legge e solo a seguito di una procedura di autenticazione personale. Solo per particolari esigenze organizzative, su richiesta del Responsabile del trattamento, può essere concessa una credenziale comune di gruppo (Centro di Costo, Equipe) per l accesso alla rete aziendale. La connessione in rete di postazioni di lavoro è possibile solo seguendo le previste procedure Aziendali, a cura degli Uffici Tecnici e del Sistema informativo. E vietata l installazione non autorizzata di modem collegati al sistema di comunicazione telefonico per l accesso a banche dati esterne o interne all Azienda ospedaliera. E' tassativamente vietata l'installazione di dispositivi di accesso alla rete via Radio (Access point) La condivisione di cartelle è assistita dal Sistema informativo Aziendale, su richiesta del proprietario, per evitare la diffusione impropria di dati o di potenziali minacce (malware) al sistema di sicurezza. La condivisione di cartelle è deprecata per la conservazione di dati personali o sanitari: in caso di necessità va richiesta al SIA la creazione di uno spazio di conservazione condiviso centrale di tipo NAS (Network Attached Storage) 4.2 Internet L utente non può accedere a internet per perseguire scopi privati e/o vietati dalla legge ma solo per ragioni di lavoro al fine di raggiungere obbiettivi di studio, ricerca e documentazione. L utente non deve utilizzare abbonamenti internet privati per effettuare collegamenti alla rete. L Azienda ospedaliera può adottare modalità finalizzata a bloccare l accesso a siti ritenuti non consoni allo svolgimento dell attività lavorativa e/o comunque non affidabili. E di norma vietato scaricare programmi da siti internet. In caso di necessità è opportuno rivolgersi al Sistema informativo per avere assistenza. Ogni download da Internet va considerato per principio pericoloso, ed eseguito solo in caso di reale necessità e con estrema precauzione. E' vietata la partecipazione a forum, chat line, giochi di ruolo, telefonia via internet (Skype), 5

6 bacheche elettroniche non autorizzate utilizzando la connessione Internet e le postazioni di lavoro Aziendali. 5. USO DELLA POSTA ELETTRONICA 5.1 Finalità La casella di posta, assegnata dall'azienda ospedaliera all'utente, è uno strumento di lavoro e come tale deve essere utilizzata per perseguire fini istituzionali. Le persone assegnatarie delle caselle di posta elettronica sono responsabili del corretto utilizzo delle stesse. E consentito l uso della posta elettronica come normale strumento di comunicazione aziendale La casella di posta, ancorché assegnata nominalmente, è patrimonio dell Azienda che si riserva il diritto di ispezionare, esaminare e monitorare in qualsiasi momento e senza avviso alcuno il proprio sistema di comunicazioni elettroniche, ivi compresi i messaggi creati, ricevuti o spediti dal sistema di posta aziendale 5.2 Posta in entrata Tutte le postazioni di lavoro aziendali sono dotate di Sistema Antivirus, e la posta in entrata viene sottoposta a scansione per evitare l'ingresso di programmi dannosi (malware), tuttavia è bene adottare comunque regole di massima prudenza. Gli allegati sospetti (ad esempio file con estensione exe, scr, pif, bat, cmd) non devono essere aperti anche se veicolati da mittenti conosciuti. 5.3 Posta in uscita Gli allegati cosiddetti pesanti devono essere trasmessi in formato compresso (zip, jpg). L utente deve controllare il contenuto dei file in allegato di posta elettronica in uscita, prima del loro invio, per evitare la diffusione involontaria di materiale riservato o l'invio a destinatari non previsti. Periodicamente è opportuno provvedere alla pulizia della casella di posta mediante la cancellazione di documenti superati, doppi, inutili. 6

7 6. PROTEZIONE L utente deve porre in essere comportamenti prudenti idonei a ridurre il rischio di attacco al sistema informatico aziendale. L utente è tenuto a controllare la presenza e il regolare funzionamento del programma antivirus aziendale. L utente deve consentire i periodici aggiornamenti del programma antivirus e quindi collegarsi periodicamente alla rete interna onde permettere l'aggiornamento dell'antivirus Nel caso che il programma antivirus rilevi la presenza di un virus l utente dovrà sospendere l elaborazione in corso; senza spegnere il computer; segnalare prontamente l'accaduto al Sistema informativo. Ogni dispositivo magnetico di provenienza esterna all'azienda ospedaliera dovrà essere verificato dal programma antivirus prima di poter essere utilizzato. 7. SALVATAGGIO L utente è responsabile del salvataggio dei dati custoditi sul proprio computer. Le cartelle su server (NAS) sono soggette a copie di back up giornaliere. I salvataggi dei documenti presenti sul computer sono di pertinenza del singolo utilizzatore. Si sconsiglia il salvataggio dei propri dati su supporto rimovibile (floppy, chiavi usb, eccetera) in quanto ritenuti non sicuri e/o soggetti a smarrimento. E vietata la memorizzazione di dati sensibili su supporti rimovibili (e in quanto tali asportabili dal proprio luogo di lavoro). In caso di necessità e previa autorizzazione del Responsabile del trattamento dei dati, è possibile effettuare una copia adottando però opportune tecniche di anonimizzazione dei dati, tali da renderli non intelligibili nel caso di smarrimento o furto. 8. SMALTIMENTO I supporti contenenti dati devono essere smaltiti in modo da evitare la divulgazione di informazioni riservate. 7

8 I supporti rimovibili contenenti dati sensibili o dati giudiziari, se non utilizzati, sono distrutti o resi comunque inutilizzabili. I supporti rimovibili possono essere riutilizzati da altri soggetti a condizione che le informazioni in essi contenute non siano intelligibili né tecnicamente in alcun modo ricostruibili. Ogni supporto magnetico deve essere riformattato. Periodicamente è opportuno provvedere alla pulizia del computer, mediante cancellazione dei file superati, doppi, inutili. 9. CONTROLLI La strumentazione informatica e quanto con essa creato è di proprietà aziendale in quanto mezzo di lavoro. È pertanto fatto divieto di utilizzo del mezzo informatico e delle trasmissioni interne ed esterne con esso effettuate per fini ed interessi non strettamente coincidenti con quelli dell Azienda e con i compiti ai singoli dipendenti affidati. Tutti i sistemi che procurano ed elaborano informazioni e le informazioni stesse sono patrimonio dell Azienda che si riserva il diritto di ispezionare, esaminare e monitorare in qualsiasi momento e senza avviso alcuno il proprio sistema di comunicazioni elettroniche, ivi compresi i messaggi creati, ricevuti o spediti dal sistema aziendale L Azienda ospedaliera si riserva la facoltà di verificare a livello informatico, per finalità di sicurezza e tutela del proprio patrimonio, l'esistenza di un comportamento illecito del dipendente nell uso degli strumenti elettronici, accesso a internet e uso della posta elettronica. Le verifiche si svolgeranno nel rispetto della libertà, della segretezza delle comunicazioni e delle garanzie previste dallo Statuto dei lavoratori e dal Codice Privacy. In particolare sarà possibile verificare gli accessi a internet e i tempi di connessione senza indagare sui siti oggetto di accesso, in ottemperanza a quanto previsto dal Garante Privacy. A seguito delle verifiche informatiche potranno essere raccolti dati personali che saranno trattati in modo lecito e secondo correttezza, nel rispetto dei principi di pertinenza e non eccedenza della finalità di tutela della sicurezza e del patrimonio. Eventuali informazioni di natura sensibile - compreso il contenuto di trasmesse o ricevute dalle caselle di posta aziendale o l'elenco di siti oggetto di accesso - potranno essere trattate dall Azienda ospedaliera, su richiesta dell'autorità Giudiziaria o se necessario per far valere o difendere un proprio diritto in sede giudiziaria 10. SANZIONI Il mancato rispetto o la violazione delle regole contenute nel presente regolamento è perseguibile con provvedimenti disciplinari, salve le azioni civili e penali consentite. L utente è considerato direttamente responsabile per il danneggiamento della rete aziendale a causa dei virus informatici introdottisi in seguito ad un uso non accorto degli strumenti informatici messi a disposizione, salvo il diritto dell Azienda ospedaliera di chiedere l ulteriore risarcimento del danno. 8