GDPR 2016 / 679

  • Home   /  
  • GDPR 2016 / 679

Riferimento agli obblighi derivanti dalla applicazione del Regolamento Europeo sulla Privacy, 679/2016Il programma Nephro&Clin 2000, e versioni successive, è un applicativo che gestisce una base dati (DataBase) che contiene informazioni di persone fisiche ed aziende ed è in linea con i requisiti del GDPR. Precisiamo che, il programma:

  1. in singola utenza: può essere installato su PC Desktop
    • per l’applicazione del GDPR far riferimento all’uso di programmi Office (es Word/Excel …);
  2. in multiutenza: deve essere installato su un sistema Windows Server al quale si collegheranno le varie utenze da PC remoti ma sempre nella stessa LAN;
    • in caso di utenze remote (tramite internet) di usare tecnologie VPN (Virtual Private Network) che hanno un grado di vulnerabilità molto inferiore allo standard;
    • per l’applicazione del GDPR far riferimento all’uso di programmi Office (es Word/Excel …) su sistemi server, con particolare attenzione alla gestione del ruolo “Terminal Server”;
  3. in relazione alla finalità di protezione dei dati contenuti, già dalla prima creazione del programma, si è sentita la necessità di effettuare una registrazione (“log”) degli accessi e quindi, anche, di chi fa che cosa;
  4. il programma, visto i dati di cui tratta, da sempre è stato caratterizzato dall’installazione su Server di proprietà del centro cliente e, residente nella stessa struttura (es. Centro Emodialisi), seguendo una normale prassi di Office Automation, ovvero automazione dei processi informativi già in essere (cartacei) e che comunque devono far riferimento alle linee guida di salvaguardia dei dati sensibili;
  5. le modalità di accesso (utenza e password) al PC Desktop o al Server vengono gestite da personale del Centro o da che ne riceve ordine (rif. RDP); la CNC Systems Srl non effettua questo tipo di gestione;
  6. il programma gestisce un filtro con password proprietaria (di CNC Systems Srl) per la protezione delle informazioni contenute nella base dati qualora siano asportate;
  7. le informazioni registrate che si riferiscono ad aziende, esse sono necessarie per la gestione amministrativa del centro di Emodialisi;
  8. le informazioni che riguardano le persone fisiche, invece, sono riferite a dati anagrafici dei dipendenti e dei Pazienti utenti del Centro di Emodialisi. In riferimento a questi ultimi, sono registrati nella base dati anche dati che si riferiscono alla salute e quindi dichiarati “sensibili”;
  9. l’accesso ai dati è in funzione del tipo di autorizzazione per ogni utente come di seguito:
    • Amministratori: Hanno l’accesso a tutte le funzioni del programma, nonché alla creazione del profilo degli altri utenti (compreso la disabilitazione o cancellazione degli stessi)
    • Amministrativi: Hanno l’accesso ai dati amministrativi del programma; per esemplificazione questo utente ha l’obbligo di creazione del record Paziente, senza il quale niente potrebbe essergli associato, ha l’onere inoltre di effettuare tutte le registrazioni e le stampe che servono a scopi amministrativi (NON CLINICI). Non ha la possibilità di accedere a dati clinici del paziente.
    • Medici: Hanno l’accesso a tutti i dati clinici dei vari pazienti e quindi sono abilitati all’inserimento, modifica, riassunto per analisi e stampa degli stessi, tutto secondo secondo deontologia. Non hanno accesso ai dati amministrativi del centro dialisi, possono vedere i dati anagrafici dei pazienti ma non possono modificarli; onere che spetta agli utenti amministrativi. Questa categoria di utenti ha anche le prerogative degli Infermieri e Magazzinieri
    • Infermieri: Hanno l’accesso solo ai dati delle prestazioni erogate in sala dialisi per aggiunta o modifica solo fino alla presa in carico da utenti amministrativi per gli atti di ammnistrazione che avviene solitamente a fine mese. Inoltre possono vedere le prescrizioni delle terapie ma non possono effettuare stampe di queste ultime, possono solo effettuare la registrazione dei trattamenti di dialisi e tutte le conseguenti stampe. Questa tipologia di utente ha anche le prerogative di Magazziniere
    • Magazzinieri: Laddove il modulo Gestione Magazzino è stato attivato, hanno l’accesso ai dati del magazzino prodotti per inserire/modificare gli ordini o l’arrivo dei materiali.
  10. l’accesso al Server, e quindi ai programmi ed ai dati, è di tipo locale (LAN) e non dovrebbe essere accessibile a computer esterni, laddove l’RPD ha adottato gli standard di protezione adeguati alla propria infrastruttura informatica;
  11. l’accesso ai dati da parte della ditta CNC Systems Srl, come sin dall’inizio dell’ attività, avviene con un processo certificato dall’uso di un programma adatto allo scopo (TEAMVIEWER) attivato di volta in volta dall’operatore del centro, che deve comunicare, al servizio di “Assistenza Remota CNC”, codice identificativo del computer dal quale chiede intervento e password che si rinnova ad ogni accesso, finita l’assistenza remota, l’utente chiudendo la sessione di questo programma, non permette ulteriori accessi;
  12. l’utente che chiede l’intervento, solitamente, lo fa da un computer “client”, e non dal server; l’eventuale accesso al server, strettamente necessario allo svolgimento delle manutenzioni richieste, dovrebbe avvenire sotto la stretta sorveglianza dell’RP ed che effettua in prima persona l’immissione della password di accesso al server;
  13. tutte le operazioni di manutenzione della CNC Systems Srl vengono effettuate con la sorveglianza dell’utente (/o RPD) che ha chiamato;
  14. CNC Systems Srl ha una propria utenza di Amministratore super user e password, del programma Nephro&Clin 2000, che usa per accedere alle funzioni di base dello stesso e che non può usare se non viene dato accesso al computer desktop /o al server;
  15. suggeriamo sempre al centro, di adottare una politica per evitare la divulgazione di nutenze e password, che devono restare personali per una tracciabilità degli eventi; gli accessi al server e quindi la tracciabilità sono gestiti da Windows, il programma Nephro&Clin 2000 gestisce in proprio accessi e tracciabilità delle operazioni svolte;
  16. in particolare, chi usa un server, dovrebbe creare, tanti utenti quante sono le persone che lo utilizzano, oppure, per semplificare, in casi in cui ci si senta abbastanza protetti, almeno tanti utenti quanti sono i computers che si collegano;
  17. per l’accesso al programma, abbiamo da sempre consigliato l’accesso con nomi utente riconoscibili, ovvero: Iniziale del Nome e Cognome per esteso, se possibile scritto con le due iniziali maiuscole (es: MRossi); tale nominativo viene aggiunto in ogni stampa di dati pazienti per una corretta tracciabilità di chi ha stampato;
  18. la PASSWORD di ogni utente del programma viene scelta ed inserita direttamente dall’utente al primo accesso e nei successivi accesi la può cambiare liberamente;
  19. l’accesso ai dati dei pazienti avviene con due protezioni in serie, il primo con un protocollo di accesso al server secondo linea guida dei sistemi windows, e poi con un protocollo di accesso gestito dal programma Nephro&Clin 2000;
  20. per quanto riguarda la movimentazione dei dati fisici (files) che contengono i dati, abbiamo programmato un sistema di backup dei dati direttamente da programma, l’RPD dovrebbe gestirne la dislocazione;
  21. per un sistema efficiente efficace e sicuro, suggeriamo un ulteriore sistema di backup esterno di tutti i dati contenuti sul server secondo gli standard stabiliti dal RPD;

BeAware !! Attenzione !!

  • Il programma ha delle funzionalità per le quali può utilizzare collegamenti esterni tramite web (internet) per il collegamento ai siti:
    • SOGEI (MEF:Agenzia delle Entrate), per la gestione della presa in carica e per la chiusura delle impegnative ed inoltre per la verifica della fatturazione
    • SaniARP (solo utenti Campania) per la Registrazione delle Dialisi, Inserimento delle Impegnative ed Inserimento dei Pazienti..
  • Inoltre nel caso di accordi specifici con il cliente per collegamenti a siti proprietari per gestioni dei dati particolareggiate (es. studi clinici autorizzati e richiesti dal cliente)

In estrema sintesi, il programma Nephro&Clin 2000, e versioni successive, è pienamente in regola con l’applicazione del Regolamento Europeo 679/2016 in materia di Privacy,