Dipartimento Materno-Infantile
Transcript
Dipartimento Materno-Infantile
D.P.S. 2013 Dipartimento Materno Infantile Strutture Complesse e Semplici Dipartimentali S.C. Ostetricia e Ginecologia Savona S.C. Ostetricia e Ginecologia Pietra Ligure S.C. Pediatria e Neonatologia Savona S.C. Pediatria e Neonatologia Pietra Ligure Responsabili del Trattamento Dati 153 D.P.S. 2013 Dipartimento Materno Infantile S.C. Ostetricia e Ginecologia Pietra Ligure S.C. Ostetricia e Ginecologia Savona S.C. Pediatria e Neonatologia Pietra Ligure S.C. Pediatria e Neonatologia Savona Dr. Andrea Zolezzi Dr. Salvatore Garzarelli Dr. ssa Carla Navone Dr. Amnon Cohen S.C. Ostetricia e Ginecologia Pietra Ligure Ubicazione: primo, terzo e quarto piano del padiglione 17 nell’ ospedale Santa Corona, Via xxv Aprile,128 Pietra Ligure 154 D.P.S. 2013 Descrizione dei compiti istituzionali: attività di pronto soccorso, accettazione e ricovero, sala parto, sala operatoria, attività ambulatoriale, day hospital e , day surgery. Trattamenti dati effettuati: 1)raccolta dati sensibili per avviare pratiche di pronto soccorso, accettazione , ricovero, attività ambulatoriale, day hospital e day surgery.2)organizzazione reparto dal punto di vista amministrativo 3) conservazione e consultazione documentazione sanitaria 4) elaborazione dei dati in fase di caricamento SDO e computo DRG 5) conservazione cartelle cliniche e referti in fase di ricovero e consultazione copie per reingressi, 6) relazioni cliniche e schede anamnestiche 7) trattamento dati a fini giudiziari, 8)rapporti con pazienti e persone autorizzate al trattamento e conoscenza stato di salute del ricoverato. TABELLA 1 - Elenco dei trattamenti aventi ad oggetto dati sensibili o giudiziari Descrizione sintetica del trattamento Identificativo del trattamento GIO PL GIO PL GIO PL GIO PL GIO PL GIO PL GIO PL GIO PL 001 002 003 004 005 006 008 Attività svolta raccolta dati per avvio pratiche p.s.. organizzazione amm.va del rep. consultazione e conservazione doc. san. caricamento sdo e computo drg conservazione cartelle cliniche e referti relazioni cliniche e lavori scientifici Tratt. dati per fini giudiziari e ricorsi rapporti con pz e persone autorizzate Altre strutture che concorrono al trattamento Natura dei dati trattati Categorie di interessati degenti/ utenti dipendenti degenti/ utenti degenti degenti/ utenti degenti degenti degenti/ utenti Sens. Giud. Int. x x x x x x x x Est. x x x x TABELLA 2 - Strumenti utilizzati Identificativo del trattamento GIO PL GIO PL GIO PL GIO PL GIO PL GIO PL GIO PL GIO PL Banca dati Ubicazione cartacea magnetica x x x x x x x x x x x x 001 002 003 004 005 006 007 008 Interconnessione Procedure Utilizzate (Nome Software) Intranet Internet SIO reparto sio + drg finder x x TABELLA 3 - Analisi dei rischi potenziali Rischi potenziali 1. Comportamenti degli operatori 2. Eventi relativi agli strumenti 3. Altri Eventi a) b) c) d) e) a) b) c) d) e) a) b) c) d) e) Sottrazione di credenziali di autenticazione Carenza di consapevolezza, disattenzione o incuria Comportamenti sleali o fraudolenti Errore materiale Altro: Azione di virus informatici o di programmi suscettibili di recare danno Spamming o tecniche di sabotaggio Malfunzionamento, indisponibilità o degrado degli strumenti Accessi esterni non autorizzati Intercettazione di informazioni in rete Accessi non autorizzati a locali e/o reparti ad accesso ristretto Asportazione e furto di strumenti contenenti dati Eventi distruttivi, naturali o artificiali (sismi, scariche atmosferiche, incendi, allagamenti, condiz. ambientali ecc.), dolosi, accidentali o dovuti ad incuria Guasto ai sistemi complementari (imp. elettrico, climatizzazione) Errori umani nella gestione fisica della sicurezza SI NO Impatto sulla sicurezza dei dati e gravità stimata: alta media bassa x x x x x x x x x x x x x x x x x x TABELLA 4 - Misure di sicurezza adottate o proposte 155 D.P.S. 2013 Identificativo del trattamento Rischi individuati Misure esistenti Tipologia di misure che si propongono GIO PL 001 1d password e chiusura a chiave locali LOG-OUT inserito su tutti i sistemi informatici in uso nel reparto, chiusura porte locali con codice identificativo GIO PL 004 1d password e chiusura a chiave locali TABELLA 5 - Criteri e procedure per il salvataggio e tempi di ripristino dei dati Luogo di custodia delle copie Identificativo del trattamento Procedure per il salvataggio dati GIO PL 001 GIO PL 004 GIO PL 006 back up automatico Server Archivio Incaricato del salvataggio Struttura Interna Società Esterna X Persona Tempi di ripristino dati Tempo reale S.C. Ostetricia e Ginecologia Savona Ubicazione primo e secondo piano del padiglione Astengo dell’ospedale San Paolo Via Genova 30 Savona Descrizione dei compiti istituzionali : prevenzione diagnosi e cura delle patologie ostetriche e ginecologiche in regime di ricovero ordinario, dh, ds e in regime ambulatoriale, trattamento delle patologie dell’apparato genitale femminile, trattamento della fisiologia in gravidanza e relative patologie. Trattamenti dati effettuati :1)gestione cartelle cliniche, 2)gestione cartelle infermieristiche,3)registro nosologico, 4)gestione refertazioni e relazioni cliniche,5) gestione dati degenti ed utenti,6) gestione registro stupefacenti, 7)gestione schede ambulatoriali, 8)gestione personale di reparto. TABELLA 1 - Elenco dei trattamenti aventi ad oggetto dati sensibili o giudiziari 156 D.P.S. 2013 GIO SV 001 GIO SV 002 GIO SV 003 GIO SV 004 GIO SV 005 GIO SV 006 GIO SV 007 GIO SV 008 Natura dei dati trattati Descrizione sintetica del trattamento Identificativo del trattamento Categorie di interessati Attività svolta gestione cartelle cliniche gestione cartelle infermieristiche registro nosologico gestione refertazioni e relazioni cliniche gestione dati degenti ed utenti registro stupefacenti gestione schede ambulatoriali gestione personale di reparto Sens. degenti degenti degenti degenti-utenti degenti-utenti degenti utenti dipendenti Giud. x x x x x x x x Altre strutture che concorrono al trattamento Int. Est. x x x x TABELLA 2 - Strumenti utilizzati Identificativo del trattamento GIO SV 001 GIO SV 002 GIO SV 003 GIO SV 004 A GIO SV 004 B GIO SV 005 GIO SV 006 GIO SV 007 A GIO SV 007 B GIO SV 008 Banca dati cartacea Ubicazione magnetica x x x x Procedure Utilizzate (Nome Software) Interconnessione Internet Intranet reparto x x x x reparto segr. amb. reparto ambulatori software dedicato software dedicato x x x x reparto TABELLA 3 - Analisi dei rischi potenziali Rischi potenziali 1. Comportamenti degli operatori 2. Eventi relativi agli strumenti 3. Altri Eventi a) Sottrazione di credenziali di autenticazione b) Carenza di consapevolezza, disattenzione o incuria c) Comportamenti sleali o fraudolenti d) Errore materiale e) Altro: a) Azione di virus informatici o di programmi suscettibili di recare danno b) Spamming o tecniche di sabotaggio c) Malfunzionamento, indisponibilità o degrado degli strumenti d) Accessi esterni non autorizzati e) Intercettazione di informazioni in rete f) Altro: a) Accessi non autorizzati a locali e/o reparti ad accesso ristretto b) Asportazione e furto di strumenti contenenti dati c) Eventi distruttivi, naturali o artificiali (sismi, scariche atmosferiche, incendi, allagamenti, condiz. ambientali ecc.), dolosi, accidentali o dovuti ad incuria d) Guasto ai sistemi complementari (imp. elettrico, limat.) e) Errori umani nella gestione fisica della sicurezza f) Altro: SI NO Impatto sulla sicurezza dei dati e gravità stimata: alta media bassa x x x x x x x x x x x x x x x x x x x TABELLA 4 - Misure di sicurezza adottate o proposte 157 D.P.S. 2013 Identificativo del trattamento GIO SV 001 GIO SV 004 GIO SV 004 B GIO SV 007 B Rischi individuati misure esistenti 1d controlli incrociati sensibilizzazione del personale conservazione in locali e contenitori dedicati chiusi a chiave 1d 3b 2a GIO SV 005 GIO SV 006 GIO SV 008 GIO SV 007 B 1d 1d 1d 2a 3d Tipologia di misure che si propongono controlli incrociati - password personale - antivirus controlli incrociati sensibilizzazione del personale conservazione in locali e contenitori dedicati chiusi a chiave controlli incrociati sensibilizzazione del personale conservazione in locali e contenitori dedicati chiusi a chiave password personale, antivirus TABELLA 5 - Criteri e procedure per il salvataggio e tempi di ripristino dei dati Identificativo del trattamento da GIO SV 004B a GIO SV 007B Procedure per il salvataggio dati salvataggio automatico Luogo di custodia delle copie Server Archivio Incaricato del salvataggio Struttura Interna Società esterna Persona x Tempi di ripristino dati tempo reale S.C. Pediatria e Neonatologia Pietra Ligure Ubicazione: terzo piano del padiglione “A. Spotorno” e pronto soccorso generale dell’ ospedale Santa Corona Via xxv Aprile, 128 Pietra Ligure Descrizione dei compiti istituzionali: assistenza al neonato fisiologico; diagnosi terapia e cura delle patologie acute e croniche del neonato, del bambino e dell’adolescente; prestazioni in regime di pronto soccorso, day hospital ed ambulatoriali. Trattamenti dati effettuati:1) gestione cartella clinica di ricovero 2) gestione cartella clinica di DH 3) gestione cartella ambulatoriale 4) gestione cartella infermieristica 5) gestione cartella pronto soccorso 6) gestione turnistica e reperibilità del personale di reparto 7)gestione sperimentazioni cliniche 158 D.P.S. 2013 TABELLA 1 - Elenco dei trattamenti aventi ad oggetto dati sensibili o giudiziari Identificativo del trattamento Categorie di interessati degenti Attività svolta PEN PL 001 PEN PL 002 PEN PL 003 PEN PL 004 PEN PL 005 gest. cartella clinica gest. cartella DH gest. cartella ambulatoriale gest. cartella infermieristica gest. cartella pronto soccorso gest. Turnistica e reperibilità personale di reparto gest. sperimentazioni cliniche PEN PL 006 PEN PL 007 Altre strutture che concorrono al trattamento Natura dei dati trattati Descrizione sintetica del trattamento Sens. Giud. Int. utenti degenti utenti x x x x x x x x x dipendentI x x volontari x x Est. TABELLA 2 - Strumenti utilizzati Identificativo del trattamento Banca dati Ubicazione cartacea PEN PL 001 PEN PL 002 PEN PL 003 A PEN PL 003 B PEN PL 004 PEN PL 005 A PEN PL 005 B PEN PL 006A PEN PL 006B PEN PL 007A PEN PL 007B magnetica x x x x x x reparto D.H. ambulatorio server reparto pronto soccorso server reparto x Interconnessione Procedure Utilizzate (Nome Software) Internet Intranet software dedicato x software dedicato x Software dedicato x x x server deidicato software dedicato x TABELLA 3 - Analisi dei rischi potenziali Rischi potenziali 1. Comportamenti degli operatori 2. Eventi relativi agli strumenti 3. Altri Eventi a) b) c) d) e) a) b) c) d) e) f) a) b) c) d) e) f) SI Sottrazione di credenziali di autenticazione Carenza di consapevolezza, disattenzione o incuria Comportamenti sleali o fraudolenti Errore materiale Altro: Azione di virus informatici o di programmi suscettibili di recare danno Spamming o tecniche di sabotaggio Malfunzionamento, indisponibilità o degrado degli strumenti Accessi esterni non autorizzati Intercettazione di informazioni in rete Altro: Accessi non autorizzati a locali e/o reparti ad accesso ristretto Asportazione e furto di strumenti contenenti dati Eventi distruttivi, naturali o artificiali (sismi, scariche atmosferiche, incendi, allagamenti, condiz. ambientali ecc.), dolosi, accidentali o dovuti ad incuria Guasto ai sistemi complementari (imp. elettrico, climatizzazione) Errori umani nella gestione fisica della sicurezza Altro: NO Impatto sulla sicurezza dei dati e gravità stimata: alta media bassa x x x x x x x x x x x x x x x x x x x x x TABELLA 4 - Misure di sicurezza adottate o proposte Identificativo del trattamento PEN PL 001 PEN PL 002 PEN PL 003A PEN PL 004 PEN PL 005 A PEN PL 006A PEN PL 007A PEN PL 003 B PEN PL 005 B PEN PL 006B PEN PL 007B Rischi individuati Misure esistenti Tipologia di misure che si propongono 1b luoghi e contenitori dedicati chiusi a chiave informatizzazione 1d antivirus e password personale 159 D.P.S. 2013 TABELLA 5 - Criteri e procedure per il salvataggio e tempi di ripristino dei dati Identificativo del trattamento PEN PL 003 B PEN PL 005 B PEN PL 006B PEN PL 007B Luogo di custodia delle copie Procedure per il salvataggio dati Server Archivio Incaricato del salvataggio Struttura Interna Società Esterna Persona Tempi di ripristino dati dedicata back up x tempo reale dedicata TABELLA 6 - Cifratura o separazione dei dati identificativi da quelli sensibili o giudiziari Identificativo del trattamento PEN PL 007 Protezione scelta Cifratura Descrizione della tecnica adottata Separazione assegnazione codice alfanumerico al volontario all’ ingresso nel protocollo di sperimentazione x TABELLA 7 - Trattamento dati affidato all’esterno Identificativo del trattamento PEN PL 007 Soggetto esterno Titolare Responsabile Impegno ontrattuale all’adozione delle misure di sicurezza SI sponsor ASL2 e sponsor indicato dallo sponsor NO X S.C. Pediatria e Neonatologia Savona Ubicazione: primo e terzo piano del padiglione Astengo ed area pediatrica del pronto soccorso generale dell’ospedale San Paolo Via Genova 30, Savona. Descrizione dei compiti istituzionali:; diagnosi terapia e cura delle patologie acute e croniche neonatali e pediatriche in regime di pronto soccorso, ricovero, day hospital, day surgery e ambulatorio ; diagnosi, terapia e cura di malattie rare, del metabolismo e delle complicanze di trapianto di midollo osseo. Trattamenti dati effettuati: 1) gestione cartella clinica 2) gestione cartella clinica di dh 3) gestione scheda ambulatoriale 4) gestione cartella infermieristica 5) gestione scheda di pronto soccorso 6) gestione personale di reparto 7) gestione ricerca scientifica, 8)gestione del registro stupefacenti, 9) gestione dati utente/paziente a fini amministrativi, 10) gestione dati statistici ed epidemiologici, 11)consultazione banche dati di esami di diagnostica. TABELLA 1 - Elenco dei trattamenti aventi ad oggetto dati sensibili o giudiziari Identificativo Descrizione sintetica del trattamento Natura dei dati Altre strutture 160 D.P.S. 2013 del trattamento PEN SV 001 PEN SV 002 PEN SV 003 PEN SV 004 PEN SV 005 PEN SV 006 PEN SV 007 PEN SV 008 PEN SV 009 PEN SV 010 PEN SV 011 trattati Attività svolta gest. cartella clinica gest. cartella di dh gest. scheda ambulatoriale gest. cartella infermieristica gest. scheda pronto soccorso gest. personale di reparto gest. ricerca scientifica gest. registro stupefacenti gest dati utenti/degenti a fini amministrativi, gestione dati statistici ed epidemiologici consultazione banche dati esami diagnostica. Categorie di interessati degenti degenti utenti degenti utenti dipendentI volontari degenti degenti utenti degenti utenti degenti utenti Sens. x x x x Giud. x x x x x x che concorrono al trattamento Int. Est. x x x x x x x x x x x TABELLA 2 - Strumenti utilizzati Identificativo del trattamento Banca dati Ubicazione cartacea PEN SV 001 A PEN SV 001 B PEN SV 002 A PEN SV 002 B PEN SV 003 A PEN SV 003 B PEN SV 004 A PEN SV 004 B PEN SV 005 A PEN SV 005 B PEN SV 006 PEN SV 007A PEN SV 007 B PEN SV 008 PEN SV 009 A PEN SV 009 B PEN SV 0011 magnetica x x x x x x x x x x x x x x x x x reparto server reparto server reparto Server reparto Server reparto server reparto reparto server reparto reparto server server Interconnessione Procedure Utilizzate (Nome Software) Internet Intranet software dedicato x software dedicato x software dedicato x software dedicato x software dedicato x software dedicato x software dedicato x x TABELLA 3 - Analisi dei rischi potenziali Rischi potenziali 1. Comportamenti degli operatori 2. Eventi relativi agli strumenti 3. Altri Eventi a) b) c) d) e) a) b) c) d) e) f) a) b) Sottrazione di credenziali di autenticazione Carenza di consapevolezza, disattenzione o incuria Comportamenti sleali o fraudolenti Errore materiale Altro: Azione di virus informatici o di programmi suscettibili di recare danno Spamming o tecniche di sabotaggio Malfunzionamento, indisponibilità o degrado degli strumenti Accessi esterni non autorizzati Intercettazione di informazioni in rete Altro: Accessi non autorizzati a locali e/o reparti ad accesso ristretto Asportazione e furto di strumenti contenenti dati SI NO Impatto sulla sicurezza dei dati e gravità stimata: alta media bassa x x x x x x x x x x x x x x x 161 D.P.S. 2013 c) d) e) Eventi distruttivi, naturali o artificiali (sismi, scariche atmosferiche, incendi, allagamenti, condiz. ambientali ecc.), dolosi, accidentali o dovuti ad incuria Guasto ai sistemi complementari (imp. elettrico, climatizz) Errori umani nella gestione fisica della sicurezza x x x x x x TABELLA 4 - Misure di sicurezza adottate o proposte Identificativo del trattamento Rischi individuati da PEN SV 001A a PEN SV 005A e PEN SV 006 PEN SV 007A PEN SV 008 da PEN SV 001B a PEN SV 003B e PEN SV 005B PEN SV 007B PEN SV 009B PEN SV 011 Tipologia di misure che si propongono Misure esistenti 1d custodia in luoghi e contenitori dedicati, chiusi a chiave 1 d, 2 a, 2 c password personali e dedicate, antivirus informatizzazione TABELLA 5 - Criteri e procedure per il salvataggio e tempi di ripristino dei dati Identificativo del trattamento Luogo di custodia delle copie Procedure per il salvataggio dati Da PEN SV 001B a PEN SV 005B e PEN SV 011 PEN SV 007 e PEN SV 009B Server Archivio back-up automatico giornaliero x x back-up x x Incaricato del salvataggio Struttura Interna Società Esterna Persona Tempi di ripristino dati Tempo reale dedicata TABELLA 6 - Cifratura o separazione dei dati identificativi da quelli sensibili o giudiziari Identificativo del trattamento PEN SV 007 Protezione scelta Cifratura Descrizione della tecnica adottata Separazione assegnazione codice alfanumerico al volontario all’ ingresso nel progetto di ricerca x TABELLA 7 - Trattamento dati affidato all’esterno Identificativo del trattamento PEN SV 007 Soggetto esterno Società scientifiche Titolare ASL2 e società scientifiche Responsabile direttore di SC. Impegno contrattuale all’adozione delle misure di sicurezza SI NO x 162