Villa Serena Lonigo Servizi Sociali e Socio Sanitari alla Persona 1

Transcript

1 !"#$%&'$(&"$")#$%)&%$)* Villa Serena Lonigo Servizi Sociali e Socio Sanitari alla Persona 1

2 Regola 19.1 allegato B del D. Lgs. 196/ elenco dei trattamenti di dati personali In questa sezione è inserito l elenco dei trattamenti effettuati da Villa Serena Lonigo, direttamente o attraverso collaborazioni esterne, con l indicazione della natura dei dati trattati e della struttura (o reparto, funzione, ufficio, ecc.) interna od esterna che operativamente effettua il trattamento nonché degli strumenti utilizzati. I trattamenti dei dati sono effettuati: in modo cartaceo, senza l'ausilio di strumenti elettronici. con strumenti elettronici. I dati trattati sono contenuti nel server centrale a cui sono connessi, in rete locale, i terminali. Per l'utilizzo della posta elettronica il server non è collegato all'esterno in rete internet. Sono collegati i client. Nel trattamento dei dati con strumenti informatici l'ente utilizza i seguenti software applicativi istallati nel server: applicativo rilevazione presenze della Società CBA Informatica s.r.l. Rovereto (Tn) e Società CBA Servizi s.r.l. di Rovereto (Tn). applicativo turni della Società CBA Informatica s.r.l. Rovereto (Tn) ) e Società CBA Servizi s.r.l. di Rovereto (Tn) applicativo gestione e contabilità ospiti, schede SVAMA, flussi residenzialità della Società CBA Informatica s.r.l. Rovereto (Tn). applicativo gestione terapie Società CBA Informatica s.r.l. Rovereto (Tn) ) e Società CBA Servizi s.r.l. di Rovereto (Tn). applicativo contabilità finanziaria e contabilità economica della Società CBA Informatica s.r.l. Rovereto (Tn). applicativo "inventario" della Società CBA Informatica s.r.l. Rovereto (Tn) e Società CBA Servizi s.r.l. di Rovereto (Tn). Windows XP Professional. Office 2003 S.B.E. Open Office vers windows 2003 Server standard edition. Antivirus Norton 2011 firewall fisica D Link DFL 200. PC Anywhere per teleassistenza. applicativo PS 7 INPDAP. Winzip. Adobe Reader. Inoltre nei pc, previa autorizzazione del responsabile trattamento dati, possono essere istallati: applicativi relativi ad utilità gestionali. Tabella 1.1 elenco dei trattamenti di dati personali (informazioni di base) ID : identificativo del trattamento, consiste in un codice che consente un identificazione univoca e più rapida di ciascun trattamento nella compilazione delle altre tabelle DATI TRATTATI E ATTIVITA SVOLTA: descrizione sintetica delle diverse tipologie di dati trattati NATURA DEI DATI: descrive la natura: P = personale; S = sensibile; G = giuridica; dei dati descritti STRUTTURA DI RIFERIMENTO: indica la struttura, ufficio o funzione all interno della quale viene effettuato il trattamento ALTRE STRUTTURE: altre strutture, uffici o funzioni che concorrono al trattamento dei dati CATEGORIE DI INTERESSATI: elencazione sintetica di quanti risultino in qualche modo coinvolti nel trattamento dei dati TIPOLOGIA ARCHIVIO: determinazione della natura dell archivio (cartaceo o database informatico) Villa Serena Lonigo Servizi Sociali e Socio Sanitari alla Persona 2

3 Tabella 1.1. Elenco dei trattamenti di dati personali (informazioni di base). ID DATI TRATTATI E ATTIVITA' SVOLTA NATURA DEI DATI STRUTTURA DI RIFERIMENTO ALTRE STRUTTURE CATEGORIA DI INTERESSATI TIPOLOGIA ARCHIVIO 1 Anagrafica generale per processo di inserimento nella struttura P Ass. Soc. Amministr. 2 Dati necessari per l'avviamento delle pratiche di segretariato sociale P S Ass. Soc. 3 Dati necessari per avviare eventuali pratiche di interdizione/nomina tutore G Ass. Soc. Cartaceo 4 Dati riguardanti le pratiche certificatorie S Ass. Soc. Cartaceo 5 Dati anagrafici delle persone di riferimento necessari per fornire le dovute comunicazioni P Ass. Soc. Amministr. Villa Serena Lonigo Servizi Sociali e Socio Sanitari alla Persona 3

4 6 Dati riguardanti la storiografia clinica dell'ospite necessari per lo svolgimento della funzione dell'assistente sociale S Ass. Soc. 7 Corrispondenza degli ospiti P S Ass. Soc. Cartaceo 8 Scheda SVAMA S Ass. Soc. Infermieri medici fisioterapista logopedista 9 Indici di mobilità e di cognitività S Ass. Soc. Infermieri medici fisioterapista logopedista l'ente Cartaceo 10 Dati di carattere economico/sanitario collegati alle categorie di esenzione ticket P S Ass. Soc. 11 Verbali delle U.O.I. S Ass. Soc. Infermieri medici fisioterapista logopedista l'ente Villa Serena Lonigo Servizi Sociali e Socio Sanitari alla Persona 4

5 12 Cartelle cliniche ospiti S Ass. Soc. Infermieri medici fisioterapista logopedista prestazioni 13 Diario infermieristico S Infermieri Ass. Soc. Medici fisioterapista logopedista prestazioni Cartaceo 14 Diario clinico medico S Medici Infermieri prestazioni 15 Registro delle consegne operatori S Operatori Ass. Soc. Medici inferm. fisioterapista logopedista prestazioni Cartaceo 16 Quaderno delle terapie S Infermieri Ass. Soc. Medici fisioterapista logopedista prestazioni Cartaceo 17 Registro carico/scarico stupefacenti S Infermieri Cartaceo Villa Serena Lonigo Servizi Sociali e Socio Sanitari alla Persona 5

6 18 Referti esami clinici/ esiti visite specialistiche S Infermieri Ass. Soc Medici 19 Dati di carattere sanitario relativi ad ospiti non più presenti nella struttura (archivio infermieristico) S Infermieri Ass. Soc Medici 20 Indici di gestione della disfagia S Logopedista Ass. Soc. Medici Inferm. fisioterapista logopedista Operatore Cartaceo 21 Annotazioni personali attinenti valutazioni psicologiche S Psicologo Coordinatore Servizi Assist. 22 Annotazioni personali attinenti valutazioni di carattere comportamentale S Educatrice 23 Dati attinenti la diuresi degli ospiti S Operatori Infermieri Medici l'ente Villa Serena Lonigo Servizi Sociali e Socio Sanitari alla Persona 6

7 24 Dati necessari al controllo della dieta degli ospiti S Servizio mensa Operatori prestazioni Cartaceo 25 Dati anagrafici necessari per avviare rapporti di fornitura/lavoro con ditte esterne P Economato Imprese che iniziano un rapporto contrattuale con l'ente 26 Dati necessari ad avviare un rapporto di lavoro con l'ente P Responsabile personale Persone fisiche che iniziano un rapporto contrattuale con l'ente 27 Dati indicanti l'adesione a sindacati dei lavoratori S Responsabile personale Ufficio segreteria Persone fisiche che iniziano un rapporto contrattuale con l'ente 28 Dati anagrafici per l'inserimento di un ospite nella struttura o per l'avvio di un'erogazione di un servizio P Ufficio segreteria Persone fisiche che iniziano un rapporto con l'ente 29 Dati dai quali si può evincere la condizione di non autosufficienza necessari per il calcolo della retta S Ufficio segreteria Persone fisiche che iniziano un rapporto con l'ente 30 Dati relativi all'acquisto dei farmaci necessari per il calcolo di un eventuale supplemento di retta S Ufficio segreteria Villa Serena Lonigo Servizi Sociali e Socio Sanitari alla Persona 7

8 31 Elenco dei benefattori dell'ente P Ufficio segreteria Cartaceo 32 Schede di contenzione S Fisioterapista Medici Operatori Infermieri Cartaceo 33 Dati relativi all'importo delle rette degli ospiti P Ufficio segreteria 34 Dati necessari per avviare le pratiche per l'utilizzo degli apparecchi acustici P S Logopedista Ass. Soc. Cartaceo 35 Dati riguardanti benefattori che intendono restare anonimi P Direzione Benefattori e quanti hanno rapporti di varia natura con loro Cartaceo 36 Dati relativi agli amministratori necessari per l espletamento del mandato P Direzione Quanti abbiano interesse nelle attività o degli amministratori stessi Villa Serena Lonigo Servizi Sociali e Socio Sanitari alla Persona 8

9 37 Dati relativi consulenti esterni necessari per porre in essere il rapporto lavorativo P Direzione Quanti abbiano interesse nelle attività o dei consulenti stessi 38 Dati riguardanti Enti pubblici necessari per rapporti istituzionali P Direzione Tabella 1.2 elenco dei trattamenti : descrizione degli strumenti utilizzati ID : è il codice identificativo del trattamento indicato nella tabella 1.1. colonna 1. EVENTUALE BANCA DATI: contiene l identificativo dell eventuale banca dati o dell archivio informatico nel quale sono contenuti i dati trattati UBICAZIONE FICA DEI SUPPORTI DI MEMORIZZAZIONE: contiene l indicazione del luogo in cui risiedono fisicamente i dati TIPOLOGIA DEI DISPOTIVI DI ACCESSO: descrizione sintetica degli strumenti utilizzati dagli incaricati per effettuare il trattamento TIPOLOGIA DI INTERCONNESONE: descrizione sintetica e qualitativa della rete informatica che collega i dispositivi d accesso utilizzati dagli incaricati al trattamento dati Tabella 1.2. Elenco dei trattamenti: descrizione degli strumenti utilizzati ID TRATTAMENTO EVENTUALE BANCA DATI UBICAZIONE FICA DEI SUPORTI TIPOLOGIA DISPOTIVI DI ACCESSO TIPOLOGIA INTERCONNESONE ELABORATORE/ DATI SUPPORTI BACK-UP 1; 5; 6; 12 8; 10; 11 banca dati "CBA" ufficio economato c/o server ufficio direzione c/o cassaforte server / personal computer rete locale 10 banca dati "cartelle personali -assistenti sociali" ufficio economato c/o server ufficio direzione c/o cassaforte server / personal computer rete locale 14; 18; 19; 23; 28 banca dati "CBA" ufficio economato c/o server ufficio direzione c/o cassaforte server / personal computer rete locale Villa Serena Lonigo Servizi Sociali e Socio Sanitari alla Persona 9

10 21; 22 banca dati "cartelle personali -psicologa" ufficio economato c/o server ufficio direzione c/o cassaforte server / personal computer rete locale 25; 26; 27; 29; 30; 33 c/o documenti su server Y ufficio economato c/o server ufficio direzione c/o cassaforte server / personal computer rete locale Tabella 2.1 Competenze e responsabilità delle strutture preposte ai trattamenti STRUTTURA Segretario direttore RESPONSABILE DI RIFERIMENTO Consiglio di Amministrazione Consiglio di Amministrazione Consiglio di Amministrazione Consiglio di Amministrazione TRATTAMENTI EFFETTUATI DALLA STRUTTURA Diritti di cui all'art. 7 de D. Lgs. 196/2003 Proposta di aggiornamento del D.P.S. Informazione relative al personale dipendente Informazioni relative agli amministratori e al presidente DESCRIZIONE DEI COMPITI E DELLE RESPONSABILITA' Responsabile del trattamento dati dell'ente Responsabile della redazione del D.P.S. Responsabile capo di tutto il personale I.P.A.B. Responsabile del conseguimento degli obiettivi prefissi dal Consiglio di Amministrazione Capo Area Amministrativa Segretario direttore Informazioni relative ad altri Enti necessari per rapporti istituzionali Segretario direttore Segretario direttore Segretario direttore Segretario direttore Segretario direttore Informazione relative agli utenti e visitatori esterni Informazioni relative a ditte partecipanti alle gare d'appalto Informazioni riguardanti lo stato di salute degli utenti necessarie per coordinare l'attività amministrativa interna Informazione relative al personale dipendente necessarie per perfezionare il rapporto di lavoro Informazione relative agli utenti e visitatori esterni Acquisizione, trattamento, cancellazione dati Acquisizione, trattamento, cancellazione dati, cancellazione dati Acquisizione, trattamento, cancellazione dati, cancellazione dati Acquisizione, trattamento, cancellazione dati Economo Segretario direttore Informazioni relative ai fornitori Villa Serena Lonigo Servizi Sociali e Socio Sanitari alla Persona 10

11 Segretario direttore Informazioni relative a ditte partecipanti alle gare d'appalto Segreteria Capo Area Amministrativa Dati relativi agli utente necessari per l'emissione dei mandati a per l'addebito dei servizi Manutentore Capo Area Amministrativa Informazioni relative ai fornitori Capo Area Amministrativa Informazioni relative a ditte partecipanti alle gare d'appalto Segreteria generale Capo Area Amministrativa Dati relativi agli utente necessari per l'emissione dei mandati a per l'addebito dei servizi Capo Area Amministrativa Dati relativi ad altri Enti necessari per il perfezionamento dei rapporti istituzionali Responsabile del personale Capo Area Amministrativa Segretario direttore Segretario direttore Informazione relative al personale dipendente necessarie per perfezionare il rapporto di lavoro Informazioni riguardanti lo stato di salute degli utenti necessarie per coordinare l'attività interna Informazioni riguardanti le pratiche di segretariato sociale necessarie per coordinare l'attività dell'assistente sociale Acquisizione, trattamento, cancellazione dati Acquisizione, trattamento, cancellazione dati Assistente Sociale Assistente Sociale Anagrafica generale per processo di inserimento nella struttura Dati necessari per le pratiche di segretariato sociale Dati necessari per avviare le pratiche di interdizione/nomina tutore Dati necessari per fornire le necessarie comunicazioni Villa Serena Lonigo Servizi Sociali e Socio Sanitari alla Persona 11

12 Dati di carattere sanitario necessari per iniziare l'adeguato trattamento medico Corrispondenza degli ospiti Scheda SVAMA Indici di mobilità e cognitività Dati di carattere economico sanitario collegati alle categorie di esenzione ticket Verbali delle U.O.I. Cartelle cliniche ospiti Diario infermieristico Diario clinico-medico Registro delle consegne operatori Infermiere Professionale Verbali delle U.O.I. Cartelle cliniche ospiti Infermiere Professionale Diario infermieristico Diario clinico-medico Scheda SVAMA Infermiere Professionale Dati di carattere sanitario necessari per iniziare l'adeguato trattamento medico Villa Serena Lonigo Servizi Sociali e Socio Sanitari alla Persona 12

13 Dati di carattere economico sanitario collegati alle categorie di esenzione ticket Anagrafica generale per processo di inserimento nella struttura Registro carico-scarico stupefacenti Quaderno delle terapie Referti esami clinici Dati clinici relativi ad ospiti non più presenti nella struttura Indici di mobilità e cognitività Operatore socioassistenziale Verbali delle U.O.I. Dati di carattere sanitario necessari per l'espletamento delle proprie funzioni Anagrafica generale Indici di mobilità, cognitività e gestione della disfagia Fisioterapista Verbali delle U.O.I. Cartelle cliniche ospiti Diario infermieristico Diario clinico-medico Scheda SVAMA Villa Serena Lonigo Servizi Sociali e Socio Sanitari alla Persona 13

14 Dati di carattere sanitario necessari per iniziare l'adeguato trattamento medico Anagrafica generale Fisioterapista Indici di mobilità e cognitività Logopedista Verbali delle U.O.I. Cartelle cliniche ospiti Anagrafica generale Indici gestione della disfagia Acquisizione, trattamento, cancellazione dati Scheda SVAMA Psicologa Verbali delle U.O.I. Cartelle cliniche ospiti Anagrafica generale Scheda SVAMA Educatrice Annotazioni personali relative a valutazioni psicologiche Verbali delle U.O.I. Acquisizione, trattamento, cancellazione dati Anagrafica generale Scheda SVAMA Educatrice Annotazioni personali necessario al corretto svolgimento della propria attività Acquisizione, trattamento, cancellazione dati Villa Serena Lonigo Servizi Sociali e Socio Sanitari alla Persona 14

15 Tabella 3.1 Analisi dei rischi (Regola 19.3) La configurazione del sistema, le modalità e le finalità dei trattamenti, la natura dei dati, l organizzazione aziendale e la tecnologia del sistema informatico per mettono di affermare che non sono rilevabili rischi diversi da quelli genericamente riferibili a qualsiasi trattamento di informazioni mediante sistemi informatici. I rischi a cui è esposto il sistema sono principalmente i seguenti: Alterazione o danneggiamento accidentale o doloso del sistema, dei programmi e/o dati. Accesso, diffusione e comunicazione non autorizzata sia accidentale che dolosa. Danneggiamento delle risorse informatiche Sottrazione di elaboratori, programmi, supporti e/o dati. Intrusioni dall esterno mediante apposite applicazioni software. L Ente assicura la riservatezza dei dati personali adottando una password, univoca e personale, all inizio della sessione di lavoro che permette all incaricato di entrare nelle procedure e trattamenti dato espressamente designati dal responsabile trattamento dati di Villa Serena Lonigo. Gli incaricati possono accedere ai dati contenuti sul server mediante un personal computer dotato di sistema operativo windows 98 o superiori. Il server e la rete informatica interna sono protetti da programma antivirus, costantemente aggiornato, e da firewall fisica. Gli incaricati, esclusi da quelli addetti al server, non possono disattivare l antivirus da terminale o da pc in emulazione terminale. In questa sezione sono pertanto indicati i rischi che incombono sui dati e sui sistemi e le principali misure di sicurezza adottate. Nella tabella 3.1, sono pertanto individuati gli eventi prevedibili potenzialmente dannosi per la sicurezza dei dati e dei sistemi e sono valutate le possibili conseguenze e la gravità. Nella tabella 3.1 Analisi dei rischi sono indicate le misure di sicurezza previste dall Ente in relazione agli eventi ed ai rischi sopra indicati. ELENCO DEGLI EVENTI: Contiene l elenco degli eventi prevedibili che possono generare danni e che comportano quindi rischi per la sicurezza dei dati personali. IMPATTO SULLA CUREZZA DEI DATI: Contiene la descrizione delle principali conseguenze prevedibili ed individuate per la sicurezza dei dati in relazione a ciascun evento, ed in corsivo le probabilità stimate dell evento medesimo. GRADO DI RISCHIO STIMATO: riguarda una valutazione di gravità in relazione all impatto sulla sicurezza dei dati anche in riferimento alle misure di sicurezza adottate. RIFERIMENTO A MISURE D AZIONE: contiene il riferimento alle contromisure adottate dall Ente. L analisi seguente è stata effettuata in maniera sufficientemente articolata, conformemente alle ridotte dimensioni e alla ridotta complessità organizzativa. Villa Serena Lonigo Servizi Sociali e Socio Sanitari alla Persona 15

16 EVENTO Comportamento degli operatori Furto credenziali autenticazione Carenza di consapevolezza, disattenzione o incuria Comportamenti sleali o fraudolenti IMPATTO SULLA CUREZZA DEI DATI descrizione evento e probabilità accadimento Furto delle credenziali di accesso al sistema informatico. Evento possibile Possibilità di accesso ai dati da parte di personale interno non autorizzato. Evento improbabile Danneggiamento alle attrezzature da parte di personale interno non addetto all'utilizzo degli strumenti informatici durante l'espletamento di diverse funzioni. Evento possibile Furto di dati dal server Evento improbabile Danneggiamento delle banche dati attraverso l'inserimento di programmi illeciti. Evento improbabile grado di rischio stimato in riferimento alle misure di sicurezza adottate Contenuto. L'utilizzo dei sistemi informatici da personale non autorizzato è facilmente individuabile. Adeguatamente controllato. Moderatamente contenuto. Adeguatamente controllato. Adeguatamente controllato. RIFERIMENTO A MISURE D'AZIONE Accesso ai dati informatici mediante profili personalizzati per ogni figura professionale. Attivazione di screensaver protetti da password Accesso ai dati informatici mediante profili personalizzati per ogni figura professionale. Attivazione di screensaver protetti da password Nei locali dove sono situati gli strumenti informatici è sempre presente, durante l'orario di lavoro personale incaricato. Utilizzare password personali periodicamente aggiornate. Formazione degli incaricati al trattamento riguardo alle misure di sicurezza da attuare. Utilizzo di screensaver protetti da password. Aggiornare costantemente antivirus. Dare accesso ad ogni figura solamente ai dati necessari e sufficienti per l'espletamento delle proprie funzioni Villa Serena Lonigo Servizi Sociali e Socio Sanitari alla Persona 16

17 Comportamento degli operatori Installazione di applicazioni atte ad aprire porte informatiche per consentire l'accesso alle banche dati dall'esterno attraverso la rete internet. Evento improbabile Adeguatamente controllato. Aggiornare costantemente antivirus. Attivare firewall anche contro eventuali applicazioni (trojans) che tentino di comunicare con l'esterno. Dare accesso ad ogni figura solamente a quanto necessario e sufficiente per l'espletamento delle proprie funzioni Danneggiamento volontario degli strumenti informatici da personale. Evento improbabile Moderatamente contenuto. Formazione del personale dipendente. Nei locali dove sono situati gli strumenti informatici sono sempre presenti più addetti. Errore materiale Cancellazione in modo accidentale di dati. Evento possibile Moderatamente contenuto. Consegna al personale incaricato di un regolamento informatico e di un corso base sull'utilizzo dei sistemi informatici. Formazione interna. Eventi relativi agli strumenti Azioni di virus informatici o di codici malefici Spamming o altre tecniche di sabotaggio Malfunzionamento, indisponibilità o degrado degli strumenti Attivazione di virus, worms o trojans. Evento possibile Attivazione antivirus e antispam fornita dal provider di posta elettronica Impossibilità di accedere ai dati. Evento possibile Adeguatamente controllato. In considerazione delle conoscenze informatiche del personale. Adeguatamente controllato. In considerazione delle conoscenze informatiche del personale. Contenuto. Dotazione del server di antivirus (tenuto costantemente aggiornato) e di firewall. Lo stato di funzionamento del sistema informatico è monitorato dall'amministratore di sistema. Rottura del disco rigido del server. Evento possibile Adeguatamente controllato. Il server è dotato di più dischi rigidi predisposti in modo da procedere automaticamente alla duplice copia dei dati. Villa Serena Lonigo Servizi Sociali e Socio Sanitari alla Persona 17

18 Accessi esterni non autorizzati Furto di dati. Rottura intenzionale dei dispositivi informatici Evento improbabile Adeguatamente controllato. Accesso ai dati informatici mediante profili personalizzati per ogni figura professionale. Attivazione di screen saver protetti da password Nei locali dove sono situati gli strumenti informatici è sempre presente, durante l'orario di lavoro personale incaricato. Eventi relativi al contesto Intercettazioni delle informazioni di rete Accessi non autorizzati a locali/reparti ad accesso ristretto Furto di dati. Evento improbabile Asportazione/danneggiamento di dati. Evento improbabile Adeguatamente controllato. Adeguatamente controllato. Ogni profilo ha accesso solo alle partizioni necessarie e sufficienti per il corretto svolgimento del proprio lavoro. Nei locali dove sono presenti dati è garantita la presenza di personale interno Asportazione e furto degli strumenti contenenti dati Asportazione/danneggiamento di dati. Evento possibile Moderatamente contenuto. I locali in cui sono situati gli strumenti contenenti dati sono protetti da serratura Eventi distruttivi, naturali, artificiali o dolosi, accidentali o dovuti ad incuria Danneggiamento perdita dei dati a seguito di incendio. Evento possibile Contenuto. Le copie di back-up sono conservate in locale diverso da quello del server. Esiste un piano antincendio. Danneggiamento o perdita dei dati a seguito di guasti al sistema elettrico (sbalzi corrente fulmine). Evento possibile. Contenuto. Utilizzo di un gruppo di continuità per il server Eventi relativi al contesto Guasto ai sistemi complementari (impianto elettrico climatizzatore ) Danneggiamento perdita dei dati. Evento possibile Contenuto. Le copie di back-up sono conservate in locale diverso da quello del server. Esiste un piano antincendio. Errori umani nella gestione della sicurezza fisica Danneggiamento perdita dei dati. Evento possibile Adeguatamente controllato. Formazione del personale incaricato. Villa Serena Lonigo Servizi Sociali e Socio Sanitari alla Persona 18

19 Tabella 4.1 Le misure di sicurezza adottate o da adottare per garantire l integrità e la disponibilità dei dati, nonché la protezione delle aree e dei dati locali, rilevanti ai fini della loro custodia ed accessibilità (Regola 19.4). EVENTO: contiene l elenco degli eventi prevedibili che possono generare danni e che comportano quindi rischi per la sicurezza dei dati personali. DESCRIZIONE: descrizioni delle principali conseguenze prevedibili ed individuate per la sicurezza dei dati in relazione a ciascun evento. MISURE DI CUREZZA: contiene il riferimento alla contromisura adottata dall Ente. MISURE ADOTTATE: indica se le misure per la tutela della sicurezza dei dati siano state già adottate. MISURE DA ADOTTARE ENTRO: indica la data entro la quale verranno adottate le misure vacanti. EVENTO Comportamento degli operatori Furto credenziali autenticazione Carenza di consapevolezza, disattenzione o incuria DESCRIZIONE Furto delle credenziali di accesso al sistema informatico. Possibilità di accesso ai dati da parte di personale interno non autorizzato. Danneggiamento alle attrezzature da parte di personale interno non addetto all'utilizzo degli strumenti informatici durante l'espletamento di diverse funzioni. MISURE DI CUREZZA Accesso ai dati informatici mediante profili personalizzati per ogni figura professionale. Attivazione di screensaver protetti da password. Formazione del personale sui rischi. Accesso ai dati informatici mediante profili personalizzati per ogni figura professionale. Attivazione di screensaver protetti da password Nei locali dove sono situati gli strumenti informatici è sempre presente, durante l'orario di lavoro personale incaricato. Dopo l'orario di lavoro tutti i locali contenenti strumenti informatici vengono chiusi con serratura. MISURE ADOTTATE MISURE DA ADOTTARE ENTRO PERIODICITA' DEI CONTROLLI Villa Serena Lonigo Servizi Sociali e Socio Sanitari alla Persona 19

20 Comportamento degli operatori Comportamenti sleali o fraudolenti Eventi relativi agli strumenti Errore materiale Azioni di virus informatici o di codici malefici Furto di dati dal server Utilizzare password personali periodicamente aggiornate. Formazione degli incaricati al trattamento riguardo alle misure di sicurezza da attuare. Utilizzo di screensaver protetti da password. Danneggiamento delle banche dati attraverso l'inserimento di programmi illeciti. Installazione di applicazioni atte ad aprire porte informatiche per consentire l'accesso alle banche dati dall'esterno attraverso la rete internet. Cancellazione in modo accidentale di dati. Attivazione di virus, worms o trojans. Aggiornare costantemente antivirus. Dare accesso ad ogni figura solamente ai dati necessari e sufficienti per l'espletamento delle proprie funzioni. Aggiornare costantemente antivirus. Attivare firewall anche contro eventuali applicazioni (trojans) che tentino di comunicare con l'esterno.dare accesso ad ogni figura solamente a quanto necessario e sufficiente per l'espletamento delle proprie funzioni Consegna al personale incaricato di un regolamento informatico e di un corso base sull'utilizzo dei sistemi informatici. Formazione interna. Dotazione del server di antivirus (tenuto costantemente Villa Serena Lonigo Servizi Sociali e Socio Sanitari alla Persona 20

21 aggiornato) e di firewall. Spamming o altre tecniche di sabotaggio Malfunzionamento, indisponibilità o degrado degli strumenti Accessi esterni non autorizzati Impossibilità di accedere ai dati. Rottura del disco rigido del server. Furto di dati. Rottura intenzionale dei dispositivi informatici Lo stato di funzionamento del sistema informatico è monitorato dall'amministratore di sistema. Il server è dotato di più dischi rigidi predisposti in modo da procedere automaticamente alla triplice copia dei dati (RAID 5 ). Un ulteriore salvataggio manuale viene effettuato ogni sette giorni. Accesso ai dati informatici mediante profili personalizzati per ogni figura professionale. Attivazione di screensaver protetti da password Nei locali dove sono situati gli strumenti informatici è sempre presente, durante l'orario di lavoro personale incaricato. Utilizzo di firewall fisica. Formazione del personale incaricato all'utilizzo dei sistemi informatici. Villa Serena Lonigo Servizi Sociali e Socio Sanitari alla Persona 21

22 Eventi relativi agli strumenti Eventi relativi al contesto Intercettazioni delle informazioni di rete Accessi non autorizzati a locali/reparti ad accesso ristretto Asportazione e furto degli strumenti contenenti dati Eventi distruttivi, naturali, artificiali o dolosi, accidentali o dovuti ad incuria Guasto ai sistemi complementari (impianto elettrico climatizzatore ) Errori umani nella gestione della sicurezza fisica Furto di dati. Asportazione/danneggiamento di dati. Asportazione/danneggiamento di dati. Danneggiamento perdita dei dati. Danneggiamento perdita dei dati. Danneggiamento perdita dei dati. Ogni profilo ha accesso solo alle partizioni necessarie e sufficienti per il corretto svolgimento del proprio lavoro. Nei locali dove sono presenti dati è garantita la presenza di personale interno I locali in cui sono situati gli strumenti contenenti dati sono protetti da serratura Le copie di back-up sono conservate in locale diverso da quello del server. Esiste un piano antincendio. Il server è sollevato dal pavimento per prevenire danni causati da eventuali allagamenti. Le copie di back-up sono conservate in locale diverso da quello del server. Esiste un piano antincendio. Formazione del personale incaricato. Villa Serena Lonigo Servizi Sociali e Socio Sanitari alla Persona 22

23 Tabella ulteriori elementi per la descrizione analitica delle misure di sicurezza Scheda n. 1 Compilata da AS Data di compilazione 05/03/2011 Misura Descrizione sintetica Elementi 3 - Codice utente + password Ogni IT ha a disposizione un codice utente ed una password con cui può accedere ai PC. CODICE UTENTE + PASSWORD (ACCESSO AL PC) Villa Serena Lonigo Servizi Sociali e Socio Sanitari alla Persona 23

24 descrittivi - codice per l'identificazione dell'incaricato: è il nome grazie al quale l'utente viene riconosciuto dal sistema; è unico per ogni incaricato (COGNOME), non può essere assegnato a differenti incaricati anche in tempi diversi ma eventualmente viene disattivato se non usato per più di sei mesi o se l'incaricato perde tale qualifica da AS. - Parola chiave: è la tipica password. Si tratta di una parola segreta conosciuta solo all'incaricato che permette di verificare che l'utente che chiede di accedere al sistema è proprio la persona associata al codice per l'identificazione di cui sopra. La parola chiave dovrà essere costituiti da almeno OTTO CARATTERI o comunque dal numero di caratteri consentiti dal sistema se inferiore a otto, e non deve contenere riferimenti direttamente riconducibili all'incaricato: non solo nomi, cognomi, soprannomi, ma neppure date di nascita proprie, dei figli o degli amici. è buona norma che, di questi caratteri, da un quarto alla metà siano di natura numerica. La parola chiave deve essere modificata al primo utilizzo, non appena la riceve per la prima volta da AS e, successivamente, ogni sei mesi nel caso di dati personali, mentre nel caso di dati sensibili o giudiziari la modifica dovrà intercorrere ogni novanta giorni. Nessun altro può accedere allo strumento elettronico, utilizzando la credenziale di autenticazione dell'incaricato. Eccezione a tale regola si ha solo se verificano congiuntamente le seguenti condizioni: - prolungata assenza o impedimento dell'it - l'intervento è indispensabile - vi sono concrete necessità, di operatività e di sicurezza del sistema. è evidente che il RSP, Responsabili dei Servizi o altri IT devono essere in grado di accedere ai dati ed agli strumenti. A tale fine, gli IT devono consegnare in busta chiusa e sigillata una copia del codice utente+password al PW. Dell'accesso effettuato verrà informato tempestivamente l IT cui appartiene la parola chiave che provvederà ad aggiornarla e a riconsegnare una copia in busta chiusa a PW. La password può essere modificata dall IT in ogni momento; dopodichè l IT riconsegnerà una copia in busta chiusa al PW che provvederà ad eliminare la busta precedente. Per cambiare la password l utente eseguire le seguenti operazioni (Windows 2000): accedere alla rete con il proprio codice utente e password digitare CTRL+ALT+CANC e scegliere cambia password Digitare prima la vecchia password e poi 2 volte la nuova e cliccare su OK. SCREENSAVER CON PASSWORD Il computer non deve essere lasciato incustodito e accessibile durante una sessione di trattamento qualora l'incaricato debba assentarsi dalla propria postazione per un periodo più o meno prolungato; è necessario utilizzare uno SCREENSAVER CON PASSWORD (la stessa password dell accesso alla rete con tempo di attesa inferiore a 10 minuti). Per impostare uno screensaver bisogna seguire le seguenti istruzioni: Cliccare su Start Impostazioni Pannello di Controllo Schermo Screensaver Selezionare uno screensaver, mettere una spunta sulla casella Protezione ed impostare un tempo di attesa inferiore a 10 minuti Villa Serena Lonigo Servizi Sociali e Socio Sanitari alla Persona 24

25 Tabella ulteriori elementi per la descrizione analitica delle misure di sicurezza Scheda n. 2 Compilata da AS Data di compilazione 11/12/2010 Evento 2 - Accesso, furto, manomissione di dati su supporti cartacei Descrizione sintetica Gli armadi vengono chiusi a chiave ove possibile dai responsabili dell'ufficio; Elementi descrittivi -L'accesso agli armadi di ogni ufficio è consentito solo ai dipendenti di quell'ufficio: al termine della giornata lavorativa o in caso di assenza gli armadi ove possibile vengono chiusi a chiave dal responsabile dell'ufficio che ne ha una copia (oltre al titolare) -L'accesso al cassetto in cui sono custodite le cassette del salvataggio è consentito solo ad AS che ha la chiave (oltre al titolare) Tabella 4.3 Schede descrittive delle misure adottate Scheda procedura operative per il salvataggio dei dati giornaliero - Il back up dei dati viene eseguito alle durante l orario notturno su hard disk esterno, che riceve i medesimi dati dei dischi del server, creando quindi una copia esatta di tutti i dati sul server. - La procedura di back up permette l esecuzione di files aperti o la chiusura temporanea dei servizi durante l attivazione dei back up. - Il salvataggio dei dati del server avviene tramite dispositivo fisso di back up. Villa Serena Lonigo Servizi Sociali e Socio Sanitari alla Persona 25

26 - Quotidianamente la struttura incaricata dei salvataggi controlla il log del salvataggio della notte per verificare che si sia concluso positivamente. - Il sistema di back up adottato permette il recupero dei singoli files o degli interi archivi salvati. Tabella 5.1 criteri e modalità di salvataggio dei dati (regola 19.5) ID TRATTAMENTO: contiene l identificativo del trattamento dati come da tabella 1.1 BANCA DATI: contiene l identificativo della banca dati in cui sono contenuti i dati. NATURA DEI DATI: definisce la natura dei dati contenuti nei database. CRITERI INDIVIDUATI PER IL SALVATAGGIO: contiene la descrizione della tipologia di salvataggio. STRUTTURA OPERATIVA INCARICATA DEL SALVATAGGIO: contiene il nominativo della sezione incaricata a porre in essere le misure di salvataggio. PIANIFICAZIONE DELLE PROVE DI RIPRISTINO: contiene la cadenza temporale delle prove di funzionamento della procedura di ripristino. ID TRATTAMENTO EVENTUALE BANCA DATI NATURA DATI CRITERI INDIVIDUATI PER IL SALVATAGGIO STRUTTURA OPERATIVA INCARICATA DEL SALVATAGGIO Pianificazione delle prove di ripristino 1; 5; 6; 12 8; 10; banca dati "CBA" banca dati "cartelle personali -assistenti sociali" Sensibili Sensibili 10 14; 18; 19; 23; 28 21; 22 banca dati "cartelle personali -assistenti sociali" banca dati "CBA" banca dati "cartelle personali -psicologa" Giudiziari Sensibili Sensibili Salvataggio giornaliero su hard disk esterno utilizzando il programma backup di Windows. Ufficio amministrazione Verifica giornaliera del salvataggio effettuato correttamente da parte di AS; test di recovery dei dati una volta al mese 25; 26; ; 30; 33 c/o documenti su server Y Sensibili 25; 26; ; 30; 33 c/o documenti su server Y Giudiziari Villa Serena Lonigo Servizi Sociali e Socio Sanitari alla Persona 26

27 Tabella 6.1 corsi di formazione (Regola 19.6) CORSO DI FORMAZIONE: riporta l identificativo del corso di formazione DESCRIZIONE NTETICA: contiene la descrizione sintetica degli obiettivi del corso CLAS DI INCARICO INTERESSATE: contiene l elenco delle classi omogenee di incarico cui il corso è destinato. TEMPI PREVISTI: contiene l indicazione dei tempi previsti entro i quali svolgere gli interventi formativi. CORSO DI FORMAZIONE TITOLO: Corso di formazione sulla normativa del D. Lgs 196/2003 e sulle misure di sicurezza previste dal codice per la protezione dei dati personali. DESCRIZIONE NTETICA - far conoscere la normativa del D. Lgs. 196/2003 relativa al trattamento dei dati con strumenti elettronici CLAS DI INCARICO INTERESSATE TEMPI PREVISTI Argomenti trattati: -I dati personali e sensibili e le modalità di trattamento con strumenti elettronici stabilite dal D. Lgs196/ Il sistema informatico dell'ente. -I rischi del sistema informatico dell'ente. - Il ruolo e le responsabilità degli incaricati. Materiale distribuito ai partecipanti -estratto normativa D. Lgs. 196/2003 -regolamento utilizzo dei sistemi informatici dell'ente -diffondere le competenze atte ad assicurare la conoscenza delle problematiche relative alla sicurezza tra tutti gli incaricati -applicare le misure di sicurezza previste dalla normativa e dal documento programmatico sulla sicurezza adottato dall'ente -miglioramento della sicurezza dell'intero sistema informativo dell'ente Personale amministrativo Assistente sociale Personale medico entro il 31/12/2011 Villa Serena Lonigo Servizi Sociali e Socio Sanitari alla Persona 27

28 TITOLO: Corso di formazione sulla normativa del D. Lgs 196/2003 e sulle misure di sicurezza previste dal codice per la protezione dei dati personali. Argomenti trattati: -I dati personali e sensibili e le modalità di trattamento con strumenti elettronici stabilite dal D. Lgs196/ Il sistema informatico dell'ente. -I rischi del sistema informatico dell'ente. - Il ruolo e le responsabilità degli incaricati. Materiale distribuito ai partecipanti -estratto normativa D. Lgs. 196/2003 -regolamento utilizzo dei sistemi informatici dell'ente -Corso di formazione sulle misure di sicurezza previste per l'utilizzo dei sistemi informatici ai sensi del D. Lgs 196/ far conoscere la normativa del D. Lgs. 196/2003 relativa al trattamento dei dati con strumenti elettronici -diffondere le competenze atte ad assicurare la conoscenza delle problematiche relative alla sicurezza tra tutti gli incaricati -applicare le misure di sicurezza previste dalla normativa e dal documento programmatico sulla sicurezza adottato dall'ente -miglioramento della sicurezza dell'intero sistema informativo dell'ente Infermieri Educatrice Logopedista Fisioterapista Psicologa Tabella 7.1 attività, soggetti incaricati, criteri per garantire l adozione delle misure di sicurezza (Regola 19.7) ATTIVITA ESTERNALIZZATA: contiene l indicativo dell attività che è stata oggetto di delega a terzi. DESCRIZIONE NTETICA: contiene una descrizione sintetica delle attività DATI PERSONALI SENBILI O GIUDIZIARI: contiene l elenco dei trattamenti dei dati personali sensibili o giudiziari oggetto del trattamento per l attività delegata. SOGGETTO ESTERNO DELEGATO: riporta l identificativo della società o del consulente cui è stato affidato il compito. DESCRIZIONI DEI CRITERI PER GARANTIRE L ADOZIONE DELLE MISURE DI CUREZZA: sono riportati gli impegni e le misure di sicurezza adottate dal soggetto esterno delegato. Villa Serena Lonigo Servizi Sociali e Socio Sanitari alla Persona 28

29 ATTIVITA' ESTERNALIZZATA DESCRIZIONE NTETICA DATI PERSONALI, SENBILI O GIUDIZIARI SOGGETTO ESTERNO DELEGATO DESCRIZIONE DEI CRITERI PER GARANTIRE L'ADOZIONE DELLE MISURE DI CUREZZA Elaborazione stipendi e relativi adempimenti redazione CUD, redazione mod. 770 ed invio telematico al Ministero delle Entrate L'attività principale prevede la gestione, elaborazione degli stipendi di Villa Serena Lonigo, nonchè gli adempimenti normativi collegati alla redazione del CUD, la redazione del mod. 770 e l'invio in forma telematica del medesimo al ministero delle entrate, adempimenti dell'inpdap. L'archivio informatico stipendi contiene oltre ai dati personali anche dati sensibili, quali ad esempio l'eventuale iscrizione sindacale dei dipendenti. Punto Paghe Via Divisione Folgore, 7, Vicenza Lo Studio Punto Paghe è stato nominato "responsabile" del trattamento dei dati relativi alla gestione ed elaborazione degli stipendi, compresi gli adempimenti di cui alle colonne precedenti ( vedi "descrizione sintetica"). Di conseguenza la società ha dichiarato quanto segue: Di essere consapevole che i dati che tratterà nell'espletamento dell'incarico ricevuto, sono dati personali e, come tali sono soggetti all'applicazione del codice per la protezione dei dati personali; Di ottemperare agli obblighi previsti dal codice per la protezione dei dati personali (D. Lgs. 196/2003). Lo Studio Punto Paghe si impegna altresì ad avvisare tempestivamente il titolare del trattamento dati di Villa Serena Lonigo in caso di emergenze o di situazioni anomale; ed acconsente a periodici controlli da titolare del trattamento dati di Villa Serena Lonigo o delegati. Villa Serena Lonigo Servizi Sociali e Socio Sanitari alla Persona 29

30 Operazioni di teleassistenza tramite programma pc-anywhere L'attività principale prevede operazioni di manutenzione informatica in teleassistenza fornite sui programmi gestionali forniteci dalla ditta stessa: CBA informatica S.r.l. I programmi gestionali fornitici dalla CBA informatica S.r.l. contengono dati sensibili in particolare tutte le informazioni di carattere clinico che si possono evincere dal diario clinico medico e dalle terapie farmaceutiche degli ospiti. CBA Informatica S.r.l. Viale TRENTO, Rovereto. La società CBA informatica S.r.l. è stata nominata responsabile del trattamento dati relativamente alla manutenzione informatica dei programmi gestionali tramite teleassistenza. Di conseguenza la società CBA Informatica ha dichiarato quanto segue: Di conseguenza la società ha dichiarato quanto segue: Di essere consapevole che i dati che tratterà nell'espletamento dell'incarico ricevuto, sono dati personali e, come tali sono soggetti all'applicazione del codice per la protezione dei dati personali; Di ottemperare agli obblighi previsti dal codice per la protezione dei dati personali (D. Lgs. 196/2003). Tabella 8 - Cifratura dei dati o separazione dei dati identificativi (solo per organismi sanitari ed esercenti professioni sanitarie) Trattamenti di dati Protezione scelta (Cifratura/Separazione) Descrizione Tecnica adottata Informazioni utili servizi sociali cifratura di windows e separazione dei dati Cifratura di windows 2000 server collegata all'utente o ad un gruppo di utenti Villa Serena Lonigo Servizi Sociali e Socio Sanitari alla Persona 30

31 ORGANIGRAMMA VILLA SERENA LONIGO Villa Serena Lonigo Servizi Sociali e Socio Sanitari alla Persona 31

32 10. Modalità con cui il titolare può assicurare la disponibilità di dati o di strumenti elettronici in caso di prolungata assenza o impedimento dell incaricato. Il Consiglio di Amministrazione, rappresentante del titolare del trattamento di Villa Serena Lonigo stabilisce che la custodia della copia delle credenziali è affidata al Segretario, fatto salvo che il responsabile del trattamento dati può avere accesso alle credenziali secondo le modalità di cui al punto 10 dell allegato B del D. Lgs. 196/2003. Le figure professionali incaricate della custodia delle credenziali dell incaricato assente, il custode, al rientro dell incaricato, informa il medesimo dell intervento effettuato in sua assenza. Nel caso in cui il Segretario dovesse, in assenza del responsabile del trattamento dati, utilizzare le credenziali di un incaricato oltre la procedura di cui al comma precedente deve anche, non appena rientrato in servizio, informare per iscritto il responsabile del trattamento dati. Il responsabile del trattamento dati ed il Segretario sono autorizzati a disattivare le credenziali non utilizzate per almeno sei mesi, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica. Le credenziali sono disattivate dalle figure professionali sopraindicate anche nel caso di perdita della qualità che consente all incaricato l accesso ai dati personali. Ogni copia delle credenziali è conservata in busta chiusa, controfirmata nei lembi di chiusura da l incaricato al trattamento collegato alla credenziale. Copia del presente documento resta a disposizione per eventuali consultazioni presso l ufficio amministrativo. Il presente documento si compone di n 32 pagine dalla n 1 alla N 32 DATA, lì 30 marzo 2011 IL RESPONSABILE TRATTAMENTO DATI IL TITOLARE TRATTAMENTO DATI Nevio Slaviero Renzo Giannini Villa Serena Lonigo Servizi Sociali e Socio Sanitari alla Persona 32