REGOLAMENTO SULL USO DELLE APPARECCHIATURE INFORMATICHE, DELLA POSTA ELETTRONICA E DI INTERNET

Transcript

1 REGOLAMENTO SULL USO DELLE APPARECCHIATURE INFORMATICHE, DELLA POSTA ELETTRONICA E DI INTERNET

2 PREMESSA Il presente Regolamento, nel rispetto del codice sul trattamento dei dati personali, sensibili e giudiziari, disciplina le modalità di utilizzo delle risorse informatiche aziendali, l'accesso e l'utilizzo della rete e dei servizi che, tramite la rete, è possibile ricevere e offrire. L'uso delle postazioni informatiche asservite ad apparecchiature elettromedicali non viene disciplinato dal presente regolamento. Il regolamento indica, inoltre, le modalità con le quali l A.O.R. San Carlo accerta e inibisce le condotte illecite degli utilizzatori di Internet, della posta elettronica e dell'accesso alle risorse di archiviazione di massa, in piena conformità a quanto previsto dalla disciplina vigente tenuto conto della realtà organizzativa aziendale, ed in particolare: dalla direttiva n. 02/09 del 26/5/2009 del Dipartimento della Funzione Pubblica che indicava le linee guida cui riferirsi per regolamentare l utilizzo di Internet e della posta elettronica sui luoghi di lavoro; dal Provvedimento del Garante per la protezione dei dati personali dell 1/3/2007, pubblicato sulla G.U.R.I. del 10/3/2007, n. 58, avente ad oggetto Trattamento di dati personali relativo all utilizzo di strumenti elettronici da parte dei lavoratori in cui venivano indicate le regole per l uso di Internet e della posta elettronica; dal Decreto Legislativo 7/3/2005 n. 82 (c.d. Codice dell Amministrazione Digitale C.A.D. ); dal D.P.R. 11/2/2005 n. 68 (G.U.R.I. del 28/04/2005, n. 97) che disciplina le modalità di utilizzo della PEC non solo nei rapporti con la P.A., ma anche tra privati cittadini; dal Decreto Ministeriale 2/11/2005 contenente le "Regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata", pubblicato nella G.U.R.I. del 15/11/2005, n. 266; dalla legge n.300/1970 (statuto dei lavoratori); dal Decreto Legislativo 30/06/2003, n. 196 e ss.mm.ii.. In sintesi, scopo del presente Regolamento è quello di disciplinare le condizioni di utilizzo delle risorse informatiche e di comunicazione che l A.O.R. San Carlo mette a disposizione dei propri collaboratori per l esecuzione delle funzioni di competenza nel rispetto delle norme innanzi citate. All uopo si specifica che tutta l infrastruttura informatica a supporto dell erogazione dei servizi di posta elettronica e accesso alla rete Internet, intranet, RUPAR Basilicata e tutte le stazioni di lavoro informatiche attestate sulla rete stessa sono gestite dalla U.O.C. Sistema Informativo Ospedaliero (nel seguito S.I.O.) con l ausilio di personale esterno cui è stata affidata la gestione della rete e dei sistemi, in conformità alle linee guida sulla qualità dei beni e dei servizi ICT emanati da AgID (già DigtPA). Articolo 1 Custodia, cura ed utilizzo di computer, periferiche e materiale di consumo Per adempiere al proprio dovere di diligenza e vigilanza nell utilizzo dei beni e strumenti ad esso affidati il collaboratore ha l obbligo di impedire a terzi indebiti utilizzi della propria apparecchiatura informatica, non rilevando, per l addebito di responsabilità, il fatto che altri, in sua assenza, abbiano Pag. 2 di 10

3 potuto usare la postazione lavorativa. In difetto, il comportamento del collaboratore si configura come negligente, inescusabile e gravemente colposo. Altresì, nei casi di furto, sostituzione e danneggiamento anche parziale derivante da azioni o comportamenti che denotano una chiara ed evidente incuria, negligenza, indebito utilizzo, sarà attivata, a cura del responsabile della articolazione organizzativa di afferenza, la contestazione di addebito. Tale contestazione produrrà i suoi effetti dal punto di vista disciplinare, oltre che dal punto di vista della responsabilità patrimoniale, nella misura che sarà individuata in collaborazione con la U.O.C. S.I.O.. Sui computer aziendali non è consentito: Installare programmi non inerenti all'attività lavorativa e/o privi di licenze d'uso legali; Installare antivirus, antispyware e firewall non autorizzati; Modificare le configurazioni relative all'accesso alla rete; Attivare l'accesso dall'esterno ad un sistema non preventivamente comunicato e autorizzato dalla U.O.C. S.I.O.; Installare modem per l'accesso da/all'esterno; Copiare su dispositivi esterni personali dati la cui titolarità è dell A.O.R. San Carlo, per finalità diverse dal backup; Utilizzare proprie attrezzature e/o dispositivi, di qualunque genere, in modalità plug and play sulle postazioni aziendali, che non siano stati espressamente autorizzati dalla U.O.C. S.I.O. che dovrà preventivamente valutarne l adeguatezza e la conformità con i sistemi aziendali; Utilizzare la rete aziendale (sia wireless che cablata) mediante dispostiv propri, non espressamente autorizzati dalla U.O.C. S.I.O.. L'utilizzo delle stampanti e dei materiali di consumo (carta, toner, CD-Rom, DVD, chiavi USB) è riservato unicamente per l espletamento della normale attività lavorativa istituzionale. Anche nelle fattispecie sopraindicate, ove ricorrano gli estremi, si provvederà alla contestazione di addebito disciplinare e/o patrimoniale oltre che alle iniziative connesse alle possibili rilevanze penali accertate dalle competenti autorità. Articolo 2 Accesso ad internet ed uso della rete cablata aziendale L accesso alle risorse informatiche aziendali può avvenire, in dipendenza delle specifiche esigenze, sia attraverso l utilizzo di user e password, qualora sia sufficiente un riconoscimento debole dell operatore, sia attraverso l utilizzo di altri sistemi di accesso quali ad esempio smart card e PIN in contesti che necessitano di un riconoscimento forte. La fornitura delle credenziali di accesso va richiesta alla U.O.C. S.I.O. da parte del responsabile della articolazione organizzativa cui afferisce il collaboratore. Con l effettuazione della richiesta il responsabile, in solido con il collaboratore, dichiara implicitamente di accettare il presente regolamento. Le credenziali di accesso sono strettamente personali ed ogni attività non regolare sarà imputata al titolare delle medesime. Esse dovranno essere custodite con responsabilità evitando situazioni che ne favoriscano l indebito utilizzo. Il comportamento non responsabile verrà sanzionato Pag. 3 di 10

4 con contestazione di addebito disciplinare e/o patrimoniale oltre che con l attivazione delle iniziative connesse alle possibili rilevanze penali accertate dalle competenti autorità. Gli utenti sono tenuti, pertanto, a conservare le proprie credenziali mantenendo segrete le modalità di accesso avendo cura che non siano utilizzate da terzi. Per ragioni di sicurezza: in caso di smarrimento delle proprie credenziali, il ripristino deve essere richiesto di persona agli operatori della U.O.C. S.I.O., muniti di tesserino aziendale o altro idoneo documento di riconoscimento; in caso di probabile diffusione delle proprie credenziali, l utente è tenuto a cambiare prontamente la propria password di accesso al sistema. in caso di trasferimento di collaboratore ad altra articolazione organizzativa, il responsabile della struttura deve prontamente inoltrare all U.O.C. S.I.O. apposito modulo di revoca dei diritti concessi al predetto collaboratore. L'utilizzo di Internet è consentito: da tutte le postazioni aziendali, ad esclusione di quelle connesse ad elettromedicali; a tutto il personale, a tempo determinato ed indeterminato, per lo svolgimento delle proprie attività istituzionali mediante le attrezzature informatiche messe loro a disposizione; a tutto il personale titolare di borsa di studio, di contratto ovvero tirocinante, per lo svolgimento delle proprie attività; agli studenti iscritti ai corsi di laurea tenuti presso l Azienda; ai pazienti dell A.O.R. San Carlo secondo modalità e limiti disciplinati da apposito regolamento. Sulla rete non sono ammesse le seguenti attività: navigare e/o registrarsi su siti Internet non inerenti la propria attività istituzionale. Tuttavia, l utilizzo di Internet per lo svolgimento di attività che non rientrano tra i compiti istituzionali è consentito per assolvere incombenze amministrative e burocratiche (ad esempio, per effettuare adempimenti online nei confronti di pubbliche amministrazioni e di concessionari di servizi pubblici, ovvero per tenere rapporti con istituti bancari e assicurativi). Tale utilizzo di Internet, purché contenuto e non ostacolante la normale attività lavorativa, deve comunque limitarsi ai tempi strettamente necessari allo svolgimento delle transazioni; scaricare programmi e/o file coperti da diritto d'autore (se non espressamente autorizzati); partecipare a forum o chat-line se non per motivi relativi alla propria attività istituzionale; tentare accessi fraudolenti a dati, programmi e sistemi altrui; utilizzare credenziali di accesso diverse da quelle di cui si è assegnatari; utilizzare proxy o sistemi di tunnelling non espressamente autorizzati dalla U.O.C. S.I.O.. Data la vasta gamma di attività aziendali, non è definito a priori un elenco di siti Internet autorizzati; è tuttavia operativo uno strumento di selezione di siti i cui contenuti sono stati classificati come certamente estranei agli interessi ed alle attività aziendali. Il divieto di accesso ad un sito appartenente alle categorie inibite viene visualizzato esplicitamente a video. È altresì limitata la possibilità di scaricare (download) da Internet file musicali, video o software. Pag. 4 di 10

5 Nel caso di inibizione a siti/funzioni, a cui si hanecessità di accedere, è sufficiente inviare apposita comunicazione, secondo i consueti canali, alla U.O.C. S.I.O.. È tassativamente vietato l utilizzo delle risorse dei server aziendali per la memorizzazione di materiale privato, personale o non attinente all attività lavorativa. Relativamente all utilizzo dei singoli PC si precisa che l assegnazione della risorsa non ne comporta la privatezza, in quanto trattasi di strumento di esclusiva proprietà aziendale, e quindi i files memorizzati non sono né tutelati né garantiti dall A.O.R. San Carlo per qualsiasi causa. Articolo 3 Uso della rete Wi-Fi aziendale La rete wireless aziendale è riservata a supportare i processi e le funzionalità al letto del paziente nonché la comunicazione interna, voce e dati, in mobilità. La connettività Wi-Fi con apparati personali è consentita su motivata richiesta del Direttore della U.O. di afferenza del collaboratore, previa verifica di compatibilità tecnica espressa dalla U.O.C. S.I.O. e nulla osta della Direzione di appartenenza. Articolo 4 Posta elettronica e mailing list istituzionale Ogni collaboratore dell'azienda deve possedere un account di accesso al dominio aziendale che gli consenta l'accesso alle funzionalità ed ai servizi di base quali: Internet; posta elettronica istituzionale; Area intranet e Sportello del Dipendente; piattaforma per la formazione a distanza (FAD). Alla entrata in servizio di un collaboratore, in caso di cessazione o sospensione dello stesso, la U.O.C. Gestione e Sviluppo delle Risorse Umane comunicherà l'evento via all'indirizzo posta.istituzionale@ospedalesancarlo.it. A seguito di tali comunicazioni, verrà attivata/disattivata/eliminata l'utenza di dominio per l'accesso alle postazioni aziendali e la casella di posta elettronica istituzionale. Su tale casella, e solo su questa, l'azienda effettuerà tutte le comunicazioni di servizio. Nel periodo di prima attuazione del presente regolamento, si provvederà d'ufficio alla sostituzione delle caselle di posta elettronica personali con le corrispondenti istituzionali. Sono costituite le mailing list di tutto il personale dell'azienda suddiviso per categoria e per funzione. L'iscrizione alle mailing list è automatica, una volta assegnata la casella di posta elettronica istituzionale. Le mailing list sono adibite alla diffusione delle informazioni di interesse generale e comunque di servizio rivolte al personale. Articolo 5 Uso della posta elettronica Le comunicazioni via posta elettronica, tranne che nel caso di posta elettronica certificata (P.E.C.), non sostituiscono le comunicazioni formali. Pag. 5 di 10

6 Tali comunicazioni possono essere utilizzate per inoltrare documenti dell'u.o.c. Gestione e Sviluppo delle Risorse Umane, per convocare riunioni, inviare comunicazioni di servizio anche dirette al singolo collaboratore, diffondere circolari e trasmettere copia elettronica di documenti redatti su supporti cartacei (purché in formati e dimensioni opportune). Al singolo collaboratore, come indicato nell'art. 4 del presente regolamento, viene assegnato d'ufficio un indirizzo di posta elettronica istituzionale nel formato nome.cognome@ospedalesancarlo.it. La personalizzazione dell indirizzo non comporta la sua privatezza, in quanto trattasi di strumenti di esclusiva proprietà aziendale, messi a disposizione del collaboratore al solo fine dello svolgimento delle proprie mansioni lavorative. Gli utenti sono tenuti a conservare le proprie credenziali, mantenendo segrete le modalità di accesso, avendo cura che non siano utilizzate da terzi. Gli utenti dovranno prontamente avvisare la U.O.C. S.I.O. in caso di smarrimento o anche di probabile diffusione delle proprie credenziali. Le modalità di utilizzo della posta elettronica istituzionale sono le seguenti: non è consentito l'utilizzo delle caselle di posta elettronica per attività personali non attinenti le proprie mansioni e la propria attività istituzionale; in caso di assenza prolungata, in autonomia tramite interfaccia web o contattando l help desk dell U.O.C. S.I.O., il singolo collaboratore deve adottare una delle modalità seguenti di gestione del suo account: o o o o chiederne la sospensione; delegare un collega a leggere i propri messaggi e inoltrare quelli ritenuti importanti per lo svolgimento dell'attività lavorativa (in tal caso, la nomina del fiduciario dovrà essere redatta in forma scritta, riportando la sottoscrizione del fiduciante e del fiduciario e consegnata al responsabile del servizio); utilizzare funzionalità per inviare automaticamente, in caso di assenza, messaggi di risposta che informino il mittente della propria assenza; utilizzare funzioni di inoltro automatico dei messaggi ricevuti all indirizzo di altro collaboratore. In conformità a quanto riportato nell art. 2 del presente Regolamento, l uso della casella di posta elettronica non istituzionale dalle postazioni di lavoro aziendali è consentito in maniera tale da non incidere negativamente sull attività di servizio e solo mediante consultazione web. In ogni caso, le caselle personali non istituzionali non possono essere utilizzate per l'attività istituzionale. L'uso della posta elettronica non è comunque consentito per partecipare a forum e/o dibattiti se non per motivi istituzionali, per diffondere notizie non veritiere o quanto altro abbia contenuto offensivo e discriminatorio, per inviare lettere a catena ovvero messaggi ripetuti. È fatto divieto di inviare messaggi con contenuti che non rispettino la normativa sulla proprietà intellettuale. È fatto divieto di aprire mail o allegati provenienti da mittenti/contatti non noti e ciò al fine di prevenire attacchi da codice maligno (spamming, phishing, trojan, etc), nei casi di attacco grave con palese evidenza di comportamento negligente si applica quanto già indicato all Articolo 1. Nei messaggi inviati tramite posta elettronica aziendale (di servizio e/o nominative) verrà accluso il seguente testo: Si segnala che il presente messaggio e le risposte allo stesso potranno essere conosciute dall organizzazione lavorativa di appartenenza del mittente secondo le modalità previste dal regolamento aziendale adottato in materia. Se per un disguido avete ricevuto questa senza esserne i destinatari vogliate cortesemente distruggerla e darne informazione all indirizzo mittente. Pag. 6 di 10

7 Articolo 6 Trattamento dati di accesso Le attività di accesso ai servizi Internet ed alla posta elettronica sono registrate in forma elettronica. L'attività di registrazione avviene attraverso dei file di log di sistema a cura della U.O.C. S.I.O. con garanzia di custodia e riservatezza, secondo le disposizioni del Garante per la Protezione dei Dati Personali e la normativa vigente. I file di log (registrazioni) sono archiviati e custoditi secondo le prescrizioni di legge.. I dati personali relativi all'utente, alle sue attività ed ai contenuti che sono immessi in rete non sono sottoposti a trattamenti se non ai fini di legge o in relazione alle richieste delle Autorità Giudiziarie. I dati relativi alle connessioni sono gestiti in maniera anonima e trattati esclusivamente in relazione alle attività di monitoraggio del servizio, alla sicurezza ed all'integrità dei sistemi. Il giornale (file di log) contiene le informazioni relative ai siti che i PC aziendali hanno contattato. Tale archivio memorizza l'indirizzo fisico delle postazioni di lavoro e non i riferimenti diretti dell'utente che, comunque, potranno essere ricostruiti a seguito di successive rielaborazioni solo nei casi previsti dalla legge e su istanza delle Autorità Giudiziarie. L accesso a questi dati è effettuato ai soli fini manutentivi e di sicurezza per la effettuazione delle copie di backup da personale tecnico interno od esterno all Azienda correttamente individuato ai sensi del Provvedimento del Garante per la protezione dei dati personali sugli Amministratori di Sistema (provvedimento del 27/11/2008). Le copie di backup vengono conservate in appositi spazi protetti e l Azienda su di essi non effettua alcun trattamento aggiuntivo, se non in relazione all indispensabilità del dato rispetto all esercizio o alla difesa di un diritto in sede giudiziaria oppure all obbligo di custodire o consegnare i dati per ottemperare ad una specifica richiesta delle Autorità Giudiziarie. Articolo 7 Controlli Qualora le misure tecniche preventive non fossero sufficienti ad evitare eventi dannosi o situazioni di pericolo, l Azienda effettua con gradualità, nel rispetto dei principi di pertinenza e non eccedenza, le verifiche di eventuali situazioni anomale attraverso le seguenti fasi, anche con l ausilio di appositi strumenti software installati (agenti software): analisi aggregata del traffico di rete riferito all intera struttura lavorativa o a sue aree (reparto, servizio, ecc.) e rilevazione della tipologia di utilizzo ( , file audio, accesso a risorse estranee alle mansioni); emanazione di un avviso generalizzato relativo ad un riscontrato utilizzo anomalo degli strumenti aziendali, con l invito ad attenersi scrupolosamente ai compiti assegnati ed alle istruzioni impartite; il richiamo all osservanza delle regole può essere circoscritto agli operatori afferenti al settore in cui è stata rilevata l anomalia; in caso di successivo permanere di una situazione non conforme, é possibile effettuare controlli circoscritti su singole postazioni di lavoro. Con la stessa gradualità vengono effettuati controlli sull occupazione dello spazio di memorizzazione sui server aziendali prima attraverso l analisi aggregata dei dati memorizzati sui server a livello di intera struttura Pag. 7 di 10

8 lavorativa (reparto, servizio, ecc.) e rilevazione della tipologia di utilizzo (file audio, file video, immagini, software non autorizzato) e relativa pertinenza con l attività lavorativa e poi con la emanazione di un avviso generalizzato relativo ad un riscontrato utilizzo anomalo degli strumenti aziendali, con l invito ad attenersi scrupolosamente ai compiti assegnati ed alle istruzioni impartite (il richiamo all osservanza delle regole può essere circoscritto agli operatori afferenti il settore in cui è stata rilevata l anomalia); in caso di successivo permanere di una situazione non conforme, è possibile procedere ad un analisi puntuale con eventuale eliminazione del materiale non conforme anche sulle singole postazioni di lavoro. Articolo 8 Teleassistenza Relativamente alle attività di manutenzione remota su personal computer connessi alla rete aziendale, il personale tecnico della U.O.C. Sistema Informativo Ospedaliero potrà utilizzare specifici software. Tali programmi sono utilizzati per assistere l utente durante la normale attività informatica ovvero per svolgere manutenzione su applicativi e su configurazioni di sistema. L attività di assistenza e manutenzione avviene, di norma, previa autorizzazione telefonica da parte dell utente interessato. La configurazione del software di teleassistenza prevede un indicatore visivo sul monitor dell utente che segnala quando il tecnico è connesso al PC. Viene fornita, su richiesta, una comunicazione informativa sullo strumento utilizzato, nonché le modalità del suo utilizzo per tutti gli utenti aziendali interessati. Articolo 9 Violazioni e Sanzioni È vietata qualsiasi attività che possa produrre danni alle risorse informatiche dell'azienda o comunque illecita. A titolo esemplificativo, e non esaustivo, costituisce infrazione: qualsiasi atto che possa compromettere la sicurezza e la riservatezza delle risorse informatiche dell'azienda o di altri Enti fruibili attraverso le stesse risorse; l'accesso, l'utilizzazione, la distruzione, l'alterazione o la disabilitazione non autorizzata di risorse informatiche anche mediante credenziali di accesso rese disponibili da altri soggetti, nonché l'abbandono senza custodia o senza protezione di stazioni di lavoro già connesse alla rete aziendale; l'uso di dati o di altre risorse informatiche per scopi non consentiti dal presente Regolamento; l'utilizzo per scopi di interesse esclusivamente privato di qualsiasi risorsa dell'azienda; qualunque altra attività non espressamente consentita o comunque in contrasto con il presente Regolamento. La procedure di contravvenzione/addebito e le iniziative connesse alle possibili rilevanze penali accertate dalle competenti autorità, saranno attivate a cura del responsabile dell articolazione organizzativa di afferenza del collaboratore da sanzionare. Pag. 8 di 10

9 Tale contestazione produrrà i suoi effetti dal punto di vista disciplinare oltre che dal punto di vista della responsabilità patrimoniale nella misura da determinare in collaborazione con la U.O.C. S.I.O.. Qualora, ad esito di controllo o di evento, la U.O.C. S.I.O. rilevi delle anomalie sull utilizzo, da parte dei collaboratori, degli strumenti informatici che possano essere configurate quali attività non conformi, provvederà ad informare il responsabile dell articolazione organizzativa presso la quale il collaboratore presta la propria attività. Nei casi di evidente ed accertata gravità verrà subito informata la Direzione aziendale. Articolo 10 Informativa ai sensi dell art. 13 D.Lgs 196/03 L A.O.R. San Carlo, in persona del Direttore Generale e legale rappresentante è titolare del trattamento dei dati personali relativo all utilizzo di strumenti elettronici da parte dei lavoratori. Finalità del trattamento: verifica del corretto utilizzo della posta elettronica, della rete Internet nel rapporto di lavoro. Modalità del trattamento: il personale afferente alla U.O.C. S.I.O. o personale tecnico esterno autorizzato effettueranno il trattamento dei dati con strumenti informatici. Comunicazione dei dati: Il trattamento di verifica è effettuato con gradualità e per aree aggregate per cui i dati non vengono comunicati con riferimento al trattamento del singolo lavoratore; la comunicazione, nel caso in cui si accerti un uso indebito della singola postazione, sarà data dal responsabile dell articolazione organizzativa alla quale appartiene il collaboratore per la valutazione del caso sotto il profilo disciplinare. Diritti dell interessato: Il collaboratore potrà far valere i diritti di cui all art. 7 del D.Lgs. 196/03 e ss.mm.ii. facendo pervenire richiesta scritta al Direttore Generale. Articolo 11 Modalità di uso personale di mezzi informatici con pagamento o fatturazione a carico dell interessato Per i collaboratori non sono previste modalità di uso personale di mezzi informatici dell'azienda con pagamento o fatturazione a carico dell'interessato. Articolo 12 Prescrizioni minime di sicurezza Per quanto riguarda le misure di sicurezza si elencano di seguito le prescrizioni minime cui attenersi: Spegnere il PC, o disconnettere il proprio utente, al termine della sessione di lavoro; Bloccare il PC (tasto bandierina + L) ogni qualvolta occorra allontanarsi dalla postazione di lavoro; Assicurarsi di non essere ripresi/osservati all atto dell inserimento della propria password; Non scrivere password su biglietti/fogli (es. post-it) lasciati in evidenza; Pag. 9 di 10

10 Non comunicare ad altri la propria password personale; Cambiare la password con frequenza minima semestrale e, comunque, ogni volta che si ha il sospetto che possa essere nota a terzi; Impostare la password con una lunghezza minima di 8 caratteri, contenente lettere e numeri. Pag. 10 di 10