Normativa

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

AMMINISTRATORI DI SISTEMA

Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema - 27 novembre 2008
(G.U. n. 300 del 24 dicembre 2008)

(così modificato in base al provvedimento del 25 giugno 2009)

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1577499 

4.5 Registrazione degli accessi
Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste.

Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.


  PUBBLICHE AMMINISTRAZIONI

Misure di sicurezza e modalità di scambio dei dati personali tra amministrazioni pubbliche - 2 luglio 2015
(Pubblicato sulla Gazzetta Ufficiale n. 179 del 4 agosto 2015)

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4129029 

2. Presupposti per la comunicazione di dati personali

La convenzione (ovvero qualsivoglia atto bilaterale stipulato tra erogatore e fruitore al fine di stabilire le condizioni e le modalità di accesso ai dati) è lo strumento in cui le amministrazioni possono stabilire le garanzie - anche nei confronti dello stesso erogatore - a tutela del trattamento dei dati personali e dell'utilizzo dei sistemi informativi.

Di seguito vengono pertanto individuati misure e accorgimenti da attuare al fine di assicurare la correttezza del trattamento e di ridurre rischi nell'utilizzo dei dati personali.

In ogni caso l'erogatore, al fine di salvaguardare la sicurezza dei propri sistemi informativi, anche in considerazione delle caratteristiche delle banche dati accessibili attraverso la convenzione, è tenuto a valutare l'introduzione di ulteriori strumenti volti a gestire i profili di autorizzazione, verificare accessi anomali, tracciare le operazioni di accesso, ovvero individuare tassative modalità di accesso alle banche dati, dandone conto nella convenzione (art. 31 del Codice).

 

7. Casi particolari

Come sopra ricordato, è compito dell'erogatore valutare l'introduzione di eventuali ulteriori misure e accorgimenti al fine di salvaguardare la sicurezza dei propri sistemi informativi, anche in considerazione delle caratteristiche delle banche dati accessibili attraverso la convenzione (ad esempio, delicatezza e rilevanza delle informazioni accedute, rilevanti dimensioni della banca dati o del numero di utenti o volume di trasferimenti). Tali misure possono riguardare, in particolare:

- l'individuazione di tassative modalità di accesso alle banche dati;

- la gestione diretta da parte dell'erogatore dei profili di abilitazione, con la conoscenza dei dati identificativi dei soggetti autorizzati all'accesso alla banca dati per la realizzazione delle finalità istituzionali dichiarate nella convenzione;

- l'utilizzo di strumenti di strong authentication per l'autenticazione informatica di particolari categorie di utenti;
in caso di accessi via web o applicazioni software:

- nella prima schermata successiva al collegamento con la banca dati, siano visualizzabili le informazioni relative all'ultima sessione effettuata con le stesse credenziali (almeno con l'indicazione di data, ora e indirizzo di rete da cui è stata effettuata la precedente connessione);

- le informazioni di cui al punto precedente devono essere riportate anche relativamente alla sessione corrente;

- la verifica di accessi anomali attraverso strumenti di business intelligence per monitorare gli accessi attraverso i log relativi a tutti gli attuali e futuri applicativi utilizzati da parte dei fruitori, ovvero attraverso specifiche procedure di audit dell'erogatore presso il fruitore.

 

DOSSIER SANITARIO ELETTRONICO

Linee guida in materia di Dossier sanitario - 4 giugno 2015
(Pubblicato sulla Gazzetta Ufficiale n. 164 del 17 luglio 2015)

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4084632 

Per i Log. vedere ALLEGATO A della deliberazione del 4 giugno 2015 lettere b) e c) punto 7.

Sicurezza dei dati: http://194.242.234.211/documents/10160/0/Linee+guida+in+materia+di+dossier+sanitario+-+Allegato+A.pdf