Politica della sicurezza delle informazioni. della EGK-Cassa della salute

Dimensione: px

Iniziare la visualizzazioe della pagina:

Download "Politica della sicurezza delle informazioni. della EGK-Cassa della salute"

Rosina Barbato
8 anni fa
Visualizzazioni

1 Pagina 1 di 5 Politica della sicurezza delle informazioni della La comprende le fondazioni associate EGK Assicurazioni di secondo la LAMal) e con le loro società affiliate EGK

2 Pagina 2 di 5 Informazioni importanti relative al documento Classe di documento: Documentazione generale IT Titolo del documento: Politica della sicurezza delle informazioni della Autore responsabile: Kilian Schmidlin Nome del file: Informationssicherheitspolitik.docx Prima redazione: 25/09/2014 Ultima modifica: 16/10/2014 Numero di pagine: 5 Grado di confidenzialità: V1 pubblico Numero di versione: 1.0 Stato del documento: Autorizzato Autorizzato da: Dr. Reto Flury Direttore Amanda Brotschi Direttrice del reparto prestazioni/gestione contratti Patrick Tanner Direttore ICT Documentazione delle modifiche Numero di Stato della modifica Data Redattore Modifica / Note versione 0.1 Versione iniziale 25/09/2014 K. Schmidlin 1.0 Autorizzato 20/10/2014 K. Schmidlin La comprende le fondazioni associate EGK Assicurazioni di secondo la LAMal) e con le loro società affiliate EGK

docx Prima redazione: 25/09/2014 Ultima modifica: 16/10/2014 Numero di pagine: 5 Grado di confidenzialità: V1 pubblico Numero di versione: 1.0 Stato del documento: Autorizzato Autorizzato da: Dr.

3 Pagina 3 di 5 Validità La ragione sociale, di seguito chiamata EGK, comprende le fondazioni associate EGK Assicurazioni di base (l assicuratore nell ambito dell assicurazione obbligatoria delle cure medico-sanitarie) e EGK-Cassa della salute con le loro società affiliate EGK La politica della sicurezza delle informazioni della EGK è valida per tutte le imprese del gruppo EGK. Obiettivo La politica della sicurezza delle informazioni stabilisce i parametri per la sicurezza delle informazioni all'interno della EGK. Informazioni e dati, in particolare i dati personali e sanitari degli assicurati, sono di centrale importanza per la EGK. I provvedimenti di sicurezza e protezione dei dati servono se possibile a impedire eventi dannosi, rispettivamente a ridurne la frequenza e i loro effetti, nonché a mantenerli entro limiti proporzionati. Obiettivi di sicurezza della EGK - Mantenimento dei fondamentali processi operativi. - Elevato standard di sicurezza e qualità per quanto riguarda l'elaborazione dei dati e delle informazioni, oltre che per le prestazioni di servizi nel rispetto delle prescrizioni di legge, del principio di proporzionalità e degli aspetti economici ragionevoli. - Prevenzione di danni di reputazione o danni finanziari a scapito della EGK causati da perdita di dati o informazioni o a causa dell'acquisizione di dati e informazioni da parte di terzi non autorizzati. - Consapevolezza della sicurezza e della protezione dei dati da parte dei collaboratori a tutti i livelli e in tutti i settori di attività. ICT, reparto IT La EGK Services SA gestisce l'infrastruttura ICT per tutte le imprese del gruppo EGK e si firma come responsabile della sicurezza dei dati. I proprietari dei dati restano in ogni caso le singole imprese. Singoli settori di attività (servizio di ricezione dei dati, esame delle fatture elettroniche con SUMEX II) sono stati assegnati alla Centris SA di Soletta, che è responsabile della sicurezza dei dati. Servizio di ricezione dei dati Per motivi economici, nonché di sicurezza e di protezione dei dati, la EGK rinuncia alla gestione di un proprio servizio di ricezione dei dati. Essa affida questo compito a un operatore specializzato, la Centris SA di Soletta, che gestisce un servizio di ricezione dei dati certificato per assicuratori malattia. La Centris SA garantisce una gestione del servizio di ricezione dei dati a norma di legge e conforme alla protezione dei dati. Il servizio di ricezione dei dati garantisce che le fatture di prestazioni ospedaliere stazionarie pervenute in via elettronica e gli MCD siano controllati automaticamente, mediante la cosiddetta elaborazione completamente automatizzata senza interazione dell'operatore, e che siano estrapolati solo i casi che richiedono un esame dettagliato. Agli MCD estrapolati può accedere solo una cerchia ristretta, chiaramente definita, di collaboratori della EGK. La comprende le fondazioni associate EGK Assicurazioni di secondo la LAMal) e con le loro società affiliate EGK

Obiettivo La politica della sicurezza delle informazioni stabilisce i parametri per la sicurezza delle informazioni all'interno della EGK.

4 Pagina 4 di 5 Principi - Per l'elaborazione di dati e informazioni ci si deve sempre attenere alle disposizioni di legge, contrattuali e interne. - In caso di informazioni e dati sensibili relativi agli assicurati è necessario osservare in particolare i principi di diritto speciale della Legge federale sulla protezione dei dati (LPD), nonché della Legge federale sull assicurazione malattie (LAMal). - È necessario approntare un regolamento per l'elaborazione dei dati conf. art. 84b LAMal che sia pubblicamente accessibile. - Si deve assicurare che siano sempre garantite la disponibilità, l'integrità e il trattamento confidenziale dei dati e delle informazioni della EGK, dei suoi assicurati, collaboratori e partner. - È necessario approntare un concetto di protezione dei dati che stabilisca le condizioni generali per provvedimenti tecnico-organizzativi finalizzati alla sicurezza dei dati. - Si vaglieranno le necessità di tutela degli obiettivi da proteggere (informazioni, applicazioni, sistemi) e si intraprenderanno le misure di protezione necessarie. - I dati e le informazioni vanno classificati. - I livelli di classificazione sono indipendenti dall'applicazione sulla quale sono messi a disposizione dati e informazioni. - Le modifiche delle applicazioni devono avvenire in base a un processo di change management precedentemente stabilito. - Le applicazioni ICT della EGK saranno sottoposte annualmente a una revisione IT. - La conservazione di dati, informazioni e documenti si basa sulle disposizioni di legge; in caso di dubbio si osserva un termine di conservazione di 10 anni. - Se i dati e le informazioni vengono inoltrati a terzi, si deve stabilire contrattualmente come possano essere utilizzate, modificate e sfruttate queste informazioni. L'inoltro dei dati avviene in forma anonima o tramite supporti dati e canali criptati. - I collaboratori riceveranno una formazione specifica riguardo alla protezione dei dati e alla sicurezza delle informazioni. Si accerta che conoscano e applichino i regolamenti sul trattamento dei dati validi per il loro ambito operativo. - Grazie a un concetto di autorizzazione basato sui ruoli si assicura che i collaboratori abbiano accesso solo ai dati e alle informazioni necessari per lo svolgimento della loro attività. La comprende le fondazioni associate EGK Assicurazioni di secondo la LAMal) e con le loro società affiliate EGK

della Legge federale sull assicurazione malattie (LAMal). - È necessario approntare un regolamento per l'elaborazione dei dati conf. art. 84b LAMal che sia pubblicamente accessibile.

5 Pagina 5 di 5 Classificazione di dati / informazioni / documenti Si applicano i seguenti gradi di classificazione: Grado Dati personali Informazioni / documenti V1 pubblici pubblici V2 interni interni V3 dati personali degni di protezione confidenziali (dati sensibili) V4 dati personali degni di particolare protezione (dati altamente sensibili) segreti Responsabilità La responsabilità della sicurezza dei dati e delle informazioni, nonché della disponibilità e integrità dei dati sono del direttore, rispettivamente della direttrice ICT. I direttori e le direttrici di reparto, nonché i dirigenti dei singoli reparti sono responsabili dell'applicazione all'interno del loro ambito di competenza. I collaboratori sono invitati a segnalare al direttore o alla direttrice di reparto oppure all'incaricato o all'incaricata aziendale per la protezione dei dati eventuali problemi di sicurezza rilevati o presunti. La comprende le fondazioni associate EGK Assicurazioni di secondo la LAMal) e con le loro società affiliate EGK

della sicurezza dei dati e delle informazioni, nonché della disponibilità e integrità dei dati sono del direttore, rispettivamente della direttrice ICT.

Documenti analoghi

Disciplinare sulla gestione dei reclami, suggerimenti e segnalazioni dei cittadini nei confronti dell Amministrazione Comunale di Ancona

Disciplinare sulla gestione dei reclami, suggerimenti e segnalazioni dei cittadini nei confronti dell Amministrazione Comunale di Ancona Approvato con Delibera di Giunta n 372 del 9 ottobre 2012 Art. 1