S.C. Dermatologia Albenga

Transcript

1 Dipartimento di Specialità Mediche Strutture Complesse S.C. Dermatologia Albenga S.C. Dermatologia Savona S.C. Malattie Infettive Pietra Ligure S.C. Malattie Infettive Savona S.C. Nefrologia e Dialisi Savona S.C. Pneumologia Pietra Ligure S.C. Reumatologia Savona 289

2 290

3 S.C. Dermatologia Albenga Ubicazione: primo piano l ospedale Santa Maria la Misericordia Via Martiri la Foce, Albenga Descrizione dei compiti istituzionali: terapia, diagnosi e cura le malattie dermatologiche (ulcere, psoriasi, piede diabetico e malattie allergiche)in attivita ambulatoriale, day hospital, piccoli interventi di chirurgia dermatologica Trattamenti dati effettuati: 1) gestione cartelle cliniche, 2) gestione referti e relazioni cliniche, 3) gestione schede ambulatoriali, 4) gestione personale di reparto, 5) gestione banche dati degenti ed utenti. TABELLA 1 - Elenco dei trattamenti aventi ad oggetto dati sensibili o giudiziari TABELLA 2 - Strumenti utilizzati. TABELLA 3 - Analisi dei rischi potenziali 1. Comportamenti degli operatori 2. Eventi relativi agli strumenti 3. Altri Eventi Descrizione sintetica Natura dei dati trattati Altre strutture che concorrono al Attività svolta Categorie di interessati Sens. Giud. Int. Est. DERAL 001 gestione cartella clinica dh degenti DERAL 002 gestione referti e relazioni cliniche degenti/ utenti DERAL 003 gestione schede ambulatoriali utenti DERAL 004 gestione personale di reparto dipendenti DERAL 005 gestione banche dati degenti ed utenti degenti/ utenti. Banca dati cartacea magnetica Ubicazione Procedure Utilizzate (Nome Software) Interconnessione Internet Intranet DERAL 001 amb./dh DERAL 002 amb./dh DERAL 003 amb./dh sio DERAL 004 amb./dh DERAL 005 amb./dh software dedicato Rischi potenziali SI NO Impatto sulla sicurezza dei dati e gravità stimata: alta media bassa a) Sottrazione di credenziali di autenticazione b) Carenza di consapevolezza, disattenzione o incuria c) Comportamenti sleali o fraudolenti d) Errore materiale e) Altro: a) Azione di virus informatici o di programmi suscettibili di recare danno b) Spamming o tecniche di sabotaggio c) Malfunzionamento, indisponibilità o degrado degli strumenti d) Accessi esterni non autorizzati e) Intercettazione di informazioni in rete f) Altro: a) Accessi non autorizzati a locali e/o reparti ad accesso ristretto b) Asportazione e furto di strumenti contenenti dati c) Eventi distruttivi, naturali o artificiali (sismi, scariche atmosferiche, incendi, allagamenti, condiz. ambientali ecc.), dolosi, accidentali o dovuti ad incuria d) Guasto ai sistemi complementari (imp. elettrico, climatizz) e) Errori umani nella gestione fisica la sicurezza f) Altro: TABELLA 4 - Misure di sicurezza adottate o proposte DERAL 001 DERAL 002 DERAL 004 Rischi individuati Misure esistenti 1 d locali e contenitori chiusi a chiave sensibilizzazione personale DERAL 003 DERAL a, 2c, 2d antivirus e password personali Tipologia di misure che si propongono Informatizzazione e digitalizzazione 291

4 TABELLA 5 - Criteri e procedure per il salvataggio e tempi di ripristino dei dati Procedure per il salvataggio dati Luogo di custodia le copie Server Archivio Incaricato salvataggio Struttura Interna Società esterna Persona Tempi di ripristino dati DERAL 001 DERAL 002 personale di fotoriproduzione DERAL 004 struttura DERAL 003 DERAL 005 backup medici e infermieri tempo reale 292

5 S.C. Dermatologia Savona Ubicazione: ottavo piano monoblocco presso ospedale San Paolo via Genova 30 Savona Descrizione dei compiti istituzionali: terapia, diagnosi e cura le malattie dermatologiche (ulcere, psoriasi, piede diabetico e malattie allergiche)in regime di ricovero, day hospital, piccoli interventi di chirurgia dermatologica ed attività ambulatoriale Trattamenti dati effettuati: 1) gestione cartelle cliniche, 2) gestione cartelle infermieristiche, 3) gestione registro stupefacenti, 4) consultazione esami diagnostici, 5) gestione referti e relazioni cliniche, 6) gestione schede ambulatoriali, 7) gestione personale di reparto, 8) gestione banche dati degenti ed utenti, 9) sperimentazioni cliniche. TABELLA 1 - Elenco dei trattamenti aventi ad oggetto dati sensibili o giudiziari TABELLA 2 - Strumenti utilizzati TABELLA 3 - Analisi dei rischi potenziali 1. Comportamenti degli operatori 2. Eventi relativi agli strumenti 3. Altri Eventi Descrizione sintetica Natura dei dati trattati Altre strutture che concorrono al Attività svolta Categorie di interessati Sens. Giud. Int. Est. DERSV 001 gestione cartella clinica degenti DERSV 002 gestione cartelle infermieristiche degenti DERSV 003 gestione registro stupefacenti degenti DERSV 004 consultazione esami di diagnostica degenti DERSV 005 gestione referti e relazioni cliniche degenti/ utenti DERSV 006 gestione schede ambulatoriali utenti DERSV 007 gestione personale di reparto dipendenti DERSV 008 gestione banche dati degenti ed utenti degenti/ utenti DERSV 009 sperimentazioni cliniche volontari Banca dati cartacea magnetica Ubicazione Procedure Utilizzate (Nome Software) Interconnessione Internet Intranet DERSV 001 reparto 1 DERSV 002 reparto 2 DERSV 003 reparto 3 DERSV 004 reparto 4 DERSV 005 A reparto 5 DERSV 005 B reparto 5 SIO DERSV 006 ambulatorio DERSV 007 A reparto / amb. DERSV 007 B reparto / amb Office DERSV 008 A reparto / amb DERSV 008 B reparto / amb DERSV 009 reparto / amb software dedicato Rischi potenziali SI NO Impatto sulla sicurezza dei dati e gravità stimata: alta media bassa a) Sottrazione di credenziali di autenticazione b) Carenza di consapevolezza, disattenzione o incuria c) Comportamenti sleali o fraudolenti d) Errore materiale e) Altro: a) Azione di virus informatici o di programmi suscettibili di recare danno b) Spamming o tecniche di sabotaggio c) Malfunzionamento, indisponibilità o degrado degli strumenti d) Accessi esterni non autorizzati e) Intercettazione di informazioni in rete f) Altro: a) Accessi non autorizzati a locali e/o reparti ad accesso ristretto b) Asportazione e furto di strumenti contenenti dati c) Eventi distruttivi, naturali o artificiali (sismi, scariche atmosferiche, incendi, allagamenti, condiz. ambientali ecc.), dolosi, accidentali o dovuti ad incuria d) Guasto ai sistemi complementari (imp. elettrico, climatizz) e) Errori umani nella gestione fisica la sicurezza 293

6 TABELLA 4 - Misure di sicurezza adottate o proposte Rischi individuati Misure esistenti Tipologia di misure che si propongono DERSV 001 DERSV 002 DERSV 003 DERSV 004 DERSV 005A DERSV 006 DERSV 007A DERSV 008A DERSV 009 DERSV 005 B DERSV 007 B DERSV 008 B 1 d locali e contenitori chiusi a chiave sensibilizzazione personale 2 a, c, d antivirus e password personali Informatizzazione e digitalizzazione TABELLA 5 - Criteri e procedure per il salvataggio e tempi di ripristino dei dati DERSV 001 DERSV 002 DERSV 003 DERSV 004 DERSV 005A DERSV 006 DERSV 007A DERSV 008A DERSV 009 DERSV 005 B DERSV 007 B DERSV 008 B Luogo di custodia Procedure per le copie il salvataggio dati Server Archivio fotoriproduzione backup Incaricato salvataggio Struttura Interna Società esterna Persona Personale di struttura Medici e infermieri Tempi di ripristino dati Tempo reale TABELLA 6 - Cifratura o separazione dei dati identificativi da quelli sensibili o giudiziari (solo per Area Sanitaria) Protezione scelta Descrizione la tecnica adottata Cifratura Separazione DERSV 009 Il dato identificativo viene sostituito con un codice alfanumerico o a barre TABELLA 7 Trattamento dati affidato all esterno DERSV 009 Soggetto esterno Titolare Responsabile sponsor sponsor e Asl indicato nel protocollo sperimentale sponsor Impegno ontrattuale all adozione le misure di sicurezza SI NO 294

7 S.C. Malattie Infettive Pietra Ligure Ubicazione : padiglione MIOS nell ospedale Santa Corona, via XXV Aprile 128 Pietra Ligure Descrizione dei compiti istituzionali: diagnosi e cura le malattie infettive comunitarie ed ospedaliere, isolamento di patologie diffusive, diagnostica e cura l infezione da HIV e le epatiti virali acute e croniche in regime di ricovero ed ambulatoriale. Trattamento le infezioni ortopediche primitive e iatrogene e cura le complicanze infettive le procedure chirurgiche sia in regime di consulenza che mediante presa in carico diretta in regime di ricovero o ambulatoriale. Trattamenti dati effettuati: 1) gestione cartelle cliniche, 2) gestione cartelle infermieristiche, 3) gestione registro stupefacenti, 4) consultazione esami diagnostici, 5) gestione referti e relazioni cliniche, 6) gestione schede ambulatoriali, 7) gestione personale di reparto, 8) gestione banche dati degenti ed utenti, 9) sperimentazioni cliniche. TABELLA 1 - Elenco dei trattamenti aventi ad oggetto dati sensibili o giudiziari TABELLA 2 - Strumenti utilizzati TABELLA 3 - Analisi dei rischi potenziali 1. Comportamenti degli operatori 2. Eventi relativi agli strumenti 3. Altri Eventi Descrizione sintetica Natura dei dati trattati Altre strutture che concorrono al Attività svolta Categorie di interessati Sens. Giud. Int. Est. MAI PL 001 gestione cartella clinica degenti MAI PL 002 gestione cartelle infermieristiche degenti MAI PL 003 gestione registro stupefacenti degenti MAI PL 004 consultazione esami di diagnostica degenti MAI PL 005 gestione referti e relazioni cliniche degenti/ utenti MAI PL 006 gestione schede ambulatoriali utenti MAI PL 007 gestione personale di reparto dipendenti MAI PL 008 gestione banche dati degenti ed utenti degenti/ utenti MAI PL 009 sperimentazioni cliniche volontari Banca dati cartacea magnetica Ubicazione Procedure Utilizzate (Nome Software) Interconnessione Internet Intranet MAI PL 001 reparto MAI PL 002 reparto MAI PL 003 reparto MAI PL 004 reparto MAI PL 005 A reparto MAI PL 005 B reparto SIO MAI PL 006 ambulatorio MAI PL 007 A reparto / amb. MAI PL 007 B reparto / amb Office MAI PL 008 A reparto / amb MAI PL 008 B reparto / amb MAI PL 009 reparto / amb software dedicato Rischi potenziali SI NO Impatto sulla sicurezza dei dati e gravità stimata: alta media bassa a) Sottrazione di credenziali di autenticazione b) Carenza di consapevolezza, disattenzione o incuria c) Comportamenti sleali o fraudolenti d) Errore materiale a) Azione di virus informatici o di programmi suscettibili di recare danno b) Spamming o tecniche di sabotaggio c) Malfunzionamento, indisponibilità o degrado degli strumenti d) Accessi esterni non autorizzati e) Intercettazione di informazioni in rete a) Accessi non autorizzati a locali e/o reparti ad accesso ristretto b) Asportazione e furto di strumenti contenenti dati c) Eventi distruttivi, naturali o artificiali (sismi, scariche atmosferiche, incendi, allagamenti, condiz. ambientali ecc.), dolosi, accidentali o dovuti ad incuria d) Guasto ai sistemi complementari (imp. elettrico, climatizz) e) Errori umani nella gestione fisica la sicurezza 295

8 TABELLA 4 - Misure di sicurezza adottate o proposte Rischi individuati Misure esistenti Tipologia di misure che si propongono Da MAI PL 001 a MAI PL 004 MAI PL 005 A MAI PL 006 MAI PL 007 A MAI PL 008 A MAI PL 009 MAI PL 005 B MAI PL 007 B MAI PL 008 B 1 d 2 a, 2c, 2d locali e contenitori chiusi a chiave sensibilizzazione personale antivirus e password personali informatizzazione e digitalizzazione TABELLA 5 - Criteri e procedure per il salvataggio e tempi di ripristino dei dati da MAI PL 001 a MAI PL 004 e MAI PL 005, MAI PL 006 MAI PL 007 A MAI PL 008 A MAI PL 009 MAI PL 005 B, MAI PL 007 B MAI PL 008 B Luogo di custodia Procedure per le copie il salvataggio dati Server Archivio fotoriproduzione backup su supporto magnetico backup automatico Incaricato salvataggio Struttura Interna Societ à estern a Persona personale di struttura medici e infermieri Tempi di ripristino dati tempo reale TABELLA 6 - Cifratura o separazione dei dati identificativi da quelli sensibili o giudiziari Protezione scelta Descrizione la tecnica adottata Cifratura Separazione MAI PL 009 Il dato identificativo viene sostituito con un codice alfanumerico o a barre TABELLA 7 Trattamento dati affidato all esterno MAI PL 009 Soggetto esterno Titolare Responsabile sponsor sponsor e A.S.L. indicato dallo sponsor nel protocollo sperimentale Impegno contrattuale all adozione le misure di sicurezza SI NO 296

9 S.C. Malattie Infettive Savona Ubicazione : ottavo piano monoblocco nell ospedale San Paolo, Via Genova, 30 Savona Descrizione dei compiti istituzionali: terapia, diagnosi e cura le malattie infettive, in regime di ricovero, day hospital ed attività ambulatoriale, assistenza domiciliare ai pazienti con infezione da HIV. Trattamenti dati effettuati: 1) gestione cartelle cliniche, 2) gestione cartelle infermieristiche, 3) gestione registro stupefacenti, 4) consultazione esami diagnostici, 5) gestione referti e relazioni cliniche, 6) gestione schede ambulatoriali, 7) gestione personale di reparto, 8) gestione banche dati degenti ed utenti, 9) sperimentazioni cliniche. TABELLA 1 - Elenco dei trattamenti aventi ad oggetto dati sensibili o giudiziari TABELLA 2 - Strumenti utilizzati TABELLA 3 - Analisi dei rischi potenziali 1. Comportamenti degli operatori 2. Eventi relativi agli strumenti 3. Altri Eventi Descrizione sintetica Natura dei dati trattati Altre strutture che concorrono al Attività svolta Categorie di interessati Sens. Giud. Int. Est. MAI SV 001 gestione cartella clinica degenti MAI SV 002 gestione cartelle infermieristiche degenti MAI SV 003 gestione registro stupefacenti degenti MAI SV 004 consultazione esami di diagnostica degenti MAI SV 005 gestione referti e relazioni cliniche degenti/ utenti MAI SV 006 gestione schede ambulatoriali utenti MAI SV 007 gestione personale di reparto dipendenti MAI SV 008 gestione banche dati degenti ed utenti degenti/ utenti MAI SV 009 sperimentazioni cliniche volontari Banca dati cartacea magnetica Ubicazione Procedure Utilizzate (Nome Software) Interconnessione Internet Intranet MAI SV 001 reparto MAI SV 002 reparto MAI SV 003 reparto MAI SV 004 reparto MAI SV 005 A reparto MAI SV 005 B reparto SIO MAI SV 006 ambulatorio MAI SV 007 A reparto / amb. MAI SV 007 B reparto / amb Office MAI SV 008 A reparto / amb MAI SV 008 B reparto / amb MAI SV 009 reparto / amb software dedicato Rischi potenziali SI NO Impatto sulla sicurezza dei dati e gravità stimata: alta media bassa a) Sottrazione di credenziali di autenticazione b) Carenza di consapevolezza, disattenzione o incuria c) Comportamenti sleali o fraudolenti d) Errore materiale a) Azione di virus informatici o di programmi suscettibili di recare danno b) Spamming o tecniche di sabotaggio c) Malfunzionamento, indisponibilità o degrado degli strumenti d) Accessi esterni non autorizzati e) Intercettazione di informazioni in rete a) Accessi non autorizzati a locali e/o reparti ad accesso ristretto b) Asportazione e furto di strumenti contenenti dati c) Eventi distruttivi, naturali o artificiali (sismi, scariche atmosferiche, incendi, allagamenti, condiz. ambientali ecc.), dolosi, accidentali o dovuti ad incuria d) Guasto ai sistemi complementari (imp. elettrico, climatizz) e) Errori umani nella gestione fisica la sicurezza 297

10 TABELLA 4 - Misure di sicurezza adottate o proposte Da MAI SV 001 a MAI SV 004 MAI SV 005 A MAI SV 006 MAI SV 007 A MAI SV 008 AMAI SV 009 Rischi individuati 1 d Misure esistenti locali e contenitori chiusi a chiave sensibilizzazione personale MAI SV 005 B MAI SV 007 BMAI SV 008 B 2 a, 2c, 2d antivirus e password personali Tipologia di misure che si propongono Informatizzazione e digitalizzazione TABELLA 5 - Criteri e procedure per il salvataggio e tempi di ripristino dei dati da MAI SV 001 a MAI SV 004 e MAI SV 005, MAI SV 006 MAI SV 007 A MAI SV 008 A MAI SV 009 MAI SV 005 B, MAI SV 007 B Procedure per il salvataggio dati fotoriproduzione backup su supporto magnetico Luogo di custodia le copie Server MAI SV 008 B backup automatico Archivio Incaricato salvataggio Struttura Interna Società esterna Persona personale di struttura medici e infermieri Tempi di ripristino dati tempo reale TABELLA 6 - Cifratura o separazione dei dati identificativi da quelli sensibili o giudiziari Protezione scelta Descrizione la tecnica adottata Cifratura Separazione Il dato identificativo viene sostituito con un codice alfanumerico o a MAI SV 009 barre TABELLA 7 Trattamento dati affidato all esterno MAI SV 009 Soggetto esterno Titolare Responsabile sponsor sponsor e A.S.L. indicato dallo sponsor nel protocollo sperimentale Impegno contrattuale all adozione le misure di sicurezza SI NO 298

11 S.C. Nefrologia e Dialisi Savona Ubicazione: piano primo e sub-uno monoblocco presso l ospedale San Paolo Via Genova 30 Savona piano terra l ospedale San Giuseppe, via Martiri la Libertà 30 Cairo Montenotte Descrizione dei compiti istituzionali : prevenzione, diagnosi e terapie le nefropatie in regime di ricovero, day hospital, attivita ambulatoriale e domiciliare Trattamenti dati effettuati : 1)gestione le cartelle cliniche (ricovero e day hospital); 2)gestione cartelle domiciliare e ambulatoriale;3) gestione cartelle infermieristiche per dialisi ;4)gestione personale di reparto 5)gestione banca dati ecografica; 6)gestione dati di laboratorio relativo a paziente in emodialisi dialisi peritoneale e trapianto; 7)gestione lista trapianti; 8) gestione anagrafica dei degenti ambulatoriali e relative prestazioni;9) gestione dati degenti a fini statistici TABELLA 1 - Elenco dei trattamenti aventi ad oggetto dati sensibili o giudiziari Descrizione sintetica Natura dei dati trattati Altre strutture che concorrono al Attività svolta Categorie di interessati Sens. Giud. Int. Est. NEFSV 001 gestione cartelle cliniche ricoverati NEFSV 002 gest. cartelle amb e dom paziente/utente NEFSV 003 gest schede infermieristiche dialisi paziente/utente NEFSV 004 gest. personale di reparto dipendenti NEFSV 005 Gest banca ati ecografica paziente/utente NEFSV 006 Gest dati diagnostici su pz in emodialisi,dialisi peritoneale e trapianti paziente/utente NEFSV 007 Gest.lista trapianti paziente/utente NEFSV 008 Gest anagrafica pz ambulatoriali e relative prestazioni utenti TABELLA 2 - Strumenti utilizzati Banca dati Procedure Utilizzate InterconneSSione Ubicazione (Nome Software) cartacea magnetica Internet Intranet NEFSV 001A reparto* NEFSV 001B server centrale SIO NEFSV 002 server centrale SINED NEFSV 003A reparto* reparto NEFSV 003B server centrale SINED NEFSV 004 reparto* NEFSV 005 server centrale procedura dedicata NEFSV 006 server centrale procedura dedicata NEFSV 007A reparto* NEFSV 007B server centrale procedura dedicata NEFSV 008 server centrale procedura dedicata *reparto = sia presso Savona, sia presso Cairo Montenotte 299

12 TABELLA 3 - Analisi dei rischi potenziali 1. Comportamenti degli operatori 2. Eventi relativi agli Strumenti 3. Altri Eventi Rischi potenziali SI NO impatto sulla sicurezza dei dati e gravità stimata: alta media bassa a) Sottrazione di credenziali di autenticazione X b) Carenza di consapevolezza, disattenzione o incuria X c) Comportamenti Sleali o fraudolenti X d) Errore materiale X X e) Altro: X a) Azione di virus informatici o di programmi SuScettibili di recare danno X X b) Spamming o tecniche di Sabotaggio X c) Malfunzionamento, indisponibilità o degrado degli Strumenti X X d) Accessi esterni non autorizzati X e) Intercettazione di informazioni in rete X f) Altro: errore di backup X X a) Accessi non autorizzati a locali e/o reparti ad accesso ristretto X b) ASportazione e furto di Strumenti contenenti dati X c) Eventi distruttivi, naturali o artificiali (SiSmi, Scariche atmosferiche, incendi, allagamenti, condiz. ambientali ecc.), X X dolosi, accidentali o dovuti ad incuria d) GuaSto ai SiStemi complementari (imp. elettrico, climatizz) X X e) Errori umani nella gestione fisica la Sicurezza X f) Altro: X TABELLA 4 - Misure di Sicurezza adottate o proposte Rischi individuati Misure esistenti Tipologia di misure che si propongono NEFSV 001 A 1d sensibilizzazione personale NEFSV 001 B 3c misure aziendali NEFSV 002 3f password personale Implementazione server NEFSV 003 1d sensibilizzazione personale NEFSV luogo ad accesso ristretto DA NEFSV 005 A NEFSV password per accesso ristretto TABELLA 5 - Criteri e procedure per il Salvataggio e tempi di ripristino dei dati Procedure per il salvataggio dati Luogo di custodia le copie Server NEFSV 001 B NEFSV 002 backup automatico NEFSV 003B NEFSV 005 NEFSV 006 backup cd/floppy NEFSV 007B backup floppy NEFSV 008 backup automatico Archivio reparto Incaricato Salvataggio Struttura Interna Società esterna Persona personale di reparto Tempi di ripristino dati 2-3 giorni mensile 300

13 S.C. Pneumologia Pietra Ligure Ubicazione: secondo e terzo padiglione Elio l ospedale Santa Corona via XXV Aprile Pietra Ligure Descrizione dei compiti istituzionali:terapia diagnosi e cura le malattie broncopolmonari e pleuriche in regime di ricovero, day hospital, ed ambulatoriale Trattamenti dati effettuati 1)gestione cartelle cliniche, 2)gestione cartelle infermieristiche, 3)gestione registro nosologico, 4)gestione registro stupefacenti, 5)gestione esami di diagnostica pneumologica, 6)gestione referti e relazioni cliniche, 7)gestione schede ambulatoriali, 8)gestione personale di reparto, 9)gestione banche dati degenti ed utenti 10) sperimentazioni cliniche TABELLA 1 - Elenco dei trattamenti aventi ad oggetto dati sensibili o giudiziari TABELLA 2 - Strumenti utilizzati TABELLA 3 - Analisi dei rischi potenziali Rischi potenziali SI NO Impatto sulla sicurezza dei dati e gravità stimata: alta media bassa a) Sottrazione di credenziali di autenticazione 1. b) Carenza di consapevolezza, disattenzione o incuria Comportamenti c) Comportamenti sleali o fraudolenti degli operatori d) Errore materiale e) Altro: a) Azione di virus informatici o di programmi suscettibili di recare 2. Eventi relativi agli strumenti 3. Altri Eventi Descrizione sintetica Natura dei dati trattati danno b) Spamming o tecniche di sabotaggio c) Malfunzionamento, indisponibilità o degrado degli strumenti d) Accessi esterni non autorizzati e) Intercettazione di informazioni in rete a) Accessi non autorizzati a locali e/o reparti ad accesso ristretto b) Asportazione e furto di strumenti contenenti dati c) Eventi distruttivi, naturali o artificiali (sismi, scariche atmosferiche, incendi, allagamenti, condiz. ambientali ecc.), dolosi, accidentali o dovuti ad incuria d) Guasto ai sistemi complementari (imp. elettrico, climatizz) e) Errori umani nella gestione fisica la sicurezza Altre strutture che concorrono al Attività svolta Categorie di interessati Sens. Giud. Int. Est. PNE PL001 gestione cartelle cliniche degenti PNE PL 002 gestione cartelle infermieristiche degenti PNE PL 003 gestione registro nosologico degenti PNE PL 004 gestione registro stupefacenti degenti PNE PL 005 Gest. esami di diagnostica pneunologica degenti PNE PL 006 gestione referti e relazioni cliniche degenti/utenti PNE PL 007 gestione schede ambulatoriali utenti PNE PL 008 gestione personale di reparto dipendenti PNE PL 009 gestione banche dati degenti ed utenti degenti/utenti PNE PL 010 Sperimentazioni cliniche Volontari cartacea Banca dati magnetica Ubicazione Procedure Utilizzate (Nome Software) Interconnessione Internet PNE PL 001 reparto 2 e 3 piano PNE PL 002 reparto 2 e 3 piano PNE PL 003 reparto 2 e 3 piano PNE PL 004 reparto 3 piano PNE PL 005 reparto 2 e 3 piano software dedicati PNE PL 006A reparto 2 e 3 piano PNE PL 006B reparto 2 e 3 piano office PNE PL 007 ambulatorio 2 piano PNE PL 008 reparto 3 piano PNE PL 009 server SIO PNE PL 010 A reparto 2 e 3 piano PNE PL 010 B reparto 2 e 3 piano software dedicato Intranet 301

14 TABELLA 4 - Misure di sicurezza adottate o proposte Da PNE PL 001 a PNE PL 006A e PNE PL 007, PNE PL 008, PNE PL 010A PNE PL 005, PNE PL 006B, PNE PL 009 e PNE PL 010B Rischi individuati Misure esistenti Tipologia di misure che si propongono 1d locali e contenitori chiusi a chiave sensibilizzazione personale 2a, 2c, 2d antivirus, password personale Informatizzazione e digitalizzazione TABELLA 5 - Criteri e procedure per il salvataggio e tempi di ripristino dei dati Procedure per il salvataggio dati Luogo di custodia le copie Server Archivio Da PNE PL 001 a PNE PL 006A e PNE PL 007, PNE PL 008, fotoriprioduzione PNE PL 010A PNE PL 006B back.up Incaricato salvataggio Struttura Interna Società esterna Persona personale di struttura PNE PL 009 back.up automatico PNE PL 010B back.up medico Tempi di ripristino dati tempo reale TABELLA 6 - Cifratura o separazione dei dati identificativi da quelli sensibili o giudiziari Protezione scelta Descrizione la tecnica adottata Cifratura Separazione PNE PL 010 Il dato identificativo viene sostituito con un codice alfanumerico o a barre TABELLA 7 Trattamento dati affidato all esterno Soggetto esterno Titolare Responsabile PNE PL 010 sponsor sponsor Asl2 indicato nel protocollo sperimentale sponsor Impegno ontrattuale all adozione le misure di sicurezza SI NO 302

15 S.C. Reumatologia Savona Ubicazione: quinto (degenza) e primo piano retrocorpo (dh-ambulatori) l ospedale San Paolo via Genova 30 Savona Descrizione dei compiti istituzionali :terapia, diagnosi e cura le patologie reumatologiche in regime di ricovero, day-hospital e ambulatoriale Trattamenti dati effettuati:1)gestione cartelle cliniche 2) gestione cartelle infermieristiche 3) gestione registro stupefacenti 4) gestione registro nosologico 5) gestione dati degenti e utenti 6) gestione referti e relazioni cliniche 7) gestione schede ambulatoriali 8) gestione attività di diagnostica ambulatoriale 9) gestione personale di reparto e ambulatoriale 10) sperimentazioni TABELLA 1 - Elenco dei trattamenti aventi ad oggetto dati sensibili o giudiziari Descrizione sintetica Natura dei dati trattati Altre strutture che concorrono al Attività svolta Categorie di interessati Sens. Giud. Int. Est. REUSV001 gestione cartelle cliniche degenti REUSV 002 gestione cartelle infermieristiche degenti REUSV 003 gestione registro stupefacenti degenti REUSV 004 gestione registro nosologico degenti REUSV 005 gestione dati degenti e utenti degenti e utenti REUSV 006 gestione referti e relazioni cliniche degenti e utenti REUSV 007 gestione schede ambulatoriali pazienti e utenti REUSV 008 gest. attività di diagnostica ambulatoriale degenti e utenti REUSV 009 gest. personale dipendenti REUSV 010 sperimentazioni volontari TABELLA 2 - Strumenti utilizzati Banca dati Ubicazione cartacea magnetica REUSV 001 reparto REUSV 002 reparto REUSV 003 reparto REUSV 004 reparto REUSV 005 reparto/ ambulatori segreteria REUSV 006A reparto /segreteria Procedure Utilizzate (Nome Software) procedure dedicate Internet Interconnessione REUSV 006 B reparto /segreteria procedure dedicate REUSV 007 ambulatori REUSV 008 A ambulatori REUSV 008B ambulatori procedure dedicate REUSV 009 reparto REUSV 010 reparto /segreteria fornito dallo sponsor Intranet 303

16 TABELLA 3 - Analisi dei rischi potenziali 1. Comportamenti degli operatori 2. Eventi relativi agli strumenti 3. Altri Eventi Rischi potenziali SI NO Impatto sulla sicurezza dei dati e gravità stimata: alta media bassa a) Sottrazione di credenziali di autenticazione b) Carenza di consapevolezza, disattenzione o incuria c) Comportamenti sleali o fraudolenti d) Errore materiale e) Altro: a) Azione di virus informatici o di programmi suscettibili di recare danno b) Spamming o tecniche di sabotaggio c) Malfunzionamento, indisponibilità o degrado degli strumenti d) Accessi esterni non autorizzati e) Intercettazione di informazioni in rete f) Altro: a) Accessi non autorizzati a locali e/o reparti ad accesso ristretto b) Asportazione e furto di strumenti contenenti dati c) Eventi distruttivi, naturali o artificiali (sismi, scariche atmosferiche, incendi, allagamenti, condiz. ambientali ecc.), dolosi, accidentali o dovuti ad incuria d) Guasto ai sistemi complementari (imp. elettrico, climatizz) e) Errori umani nella gestione fisica la sicurezza f) Altro: TABELLA 4 - Misure di sicurezza adottate o proposte Rischi individuati Misure esistenti Tipologia di misure che si propongono Da REUSV 0 01 a REUSV 004, REUSV 006A, REUSV REUSV 007, REUSV 008A, REUSV 009, REUSV 010 REUSV 005, REUSV 006B, REUSV 008B, REUSV d) 1d), 3d) sensibilizzazione personale, controllo incrociato, custodia in locali dedicati e in contenitori chiusi a chiave antivirus, password personali, controlli incrociati fra cartaceo e magnetico Informatizzazione TABELLA 5 - Criteri e procedure per il salvataggio e tempi di ripristino dei dati REUSV 005 REUSV 006 REUSV 008 REUSV 010 Procedure per il salvataggio dati back up informatico Luogo di custodia le copie Server Archivio ( solo per Morfometria) Struttura Interna Incaricato salvataggio Società esterna Persona persona dedicata responsabile sperimentazione Tempi di ripristino dati tempo reale TABELLA 6 - Cifratura o separazione dei dati identificativi da quelli sensibili o giudiziari Protezione scelta Descrizione la tecnica adottata Cifratura Separazione REUSV 010 Al volontario viene assegnato un codice alfanumerico nel momento l arruolamento nel protocollo di sperimentazione. I dati sensibili sono separati da quelli identificativi in cartaceo. TABELLA 7 Trattamento dati affidato all esterno REUSV 010 Soggetto esterno Titolare Responsabile sponsor ASL e sponsor medico sperimentatore e terzo indicato dallo sponsor Impegno contrattuale all adozione le misure di sicurezza SI NO 304