Sicurezza dei Dati e Tracciabilità
A partire dal 01.09.2023 entrerà in vigore la Legge sulla protezione dei dati, la Cartella E-Clinic è conforme a quanto richiesto per:
- Principio di “privacy by design”
- Principio di “privacy by default”
- Tracciatura del dato
- Controllo profili di accesso
- Stampa dati completi della cartella
- Sicurezza password
Gestione permessi e Tracciatura Modifiche
E-Clinic consente di creare Profili per ogni tipo di operatore. Per ogni profilo è possibile definire l’accesso ad ogni singolo menu e ad ogni stampa. Per ogni tipo di dato è possibile definire se gli utenti di quel profilo possono: visualizzare, modificare, inserire, eliminare, accedere allo storico delle modifiche. Il sistema E-Clinic consente inoltre di definire cosa è permesso ai diversi profili configurati.
Limitazione di accesso ai singoli Casi
Per ogni Profilo (insieme di operatori omogeni) E-Clinic consente di specificare dei permessi generali e dei permessi specifici con cui è possibile consentire / impedire l’accesso a specifici casi. Un caso è tipicamente un ricovero, ma può essere anche un caso in lista di attesa o ambulatoriale.
Sicurezza delle Password
In E-Clinic è presente un sistema di creazione password che, attraverso la gestione di alcune specifiche quali lunghezza minima/massima, caratteri, tipo di caratteri, validità e rinnovo consente un accesso sicuro al software.
Monitor puntuale delle attività
La Cartella E-Clinic prevede, attraverso la funzione Monitor Attività, di visualizzare e consultare tutte le attività inserite in Cartella. Tali filtri, possono poi essere applicati a loro volta sulle varie attività presenti in cartella. Sarà inoltre possibile usare un comodo filtro temporale che consente di visualizzare questa lista a distanza di tempo.
La nuova Legge federale sulla protezione dei dati (LPD) valida da settembre 2023
La nuova Legge federale sulla protezione dei dati (LPD), ufficialmente in vigore a partire dal 1° settembre 2023 revisiona in modo sostanziale le regole legate al trattamento e protezione dei dati personali, fino ad oggi disciplinate dalla precedente legge del 1992. Con la revisione della Legge federale sulla protezione dei dati, cambiano alcune importanti disposizioni sul trattamento dei dati personali. Le aziende in futuro dovranno osservare regole più severe e dovrebbero pertanto modificare le loro attuali direttive e dichiarazioni sulla protezione dei dati entro l’entrata in vigore, che avverrà il primo settembre 2023.
Le novità della nuova Legge federale sulla protezione dei dati (LPD)
AMBITO DI APPLICAZIONE
Solo i dati delle persone fisiche saranno da ora in poi coperti, e non più quelli delle persone giuridiche. I dati genetici e biometrici entrano nella definizione dei dati sensibili.
INTRODUZIONE DEI PRINCIPI DI “PRIVACY by DESIGN” E DI “PRIVACY by DEFAULT”
Come indicato dal nome, il principio di “Privacy by Design” (protezione dei dati sin dalla concezione) implica che gli sviluppatori integrino la protezione e il rispetto della vita privata degli utenti nella struttura stessa del prodotto o del servizio chiamato a raccogliere i dati personali. Il principio di “Privacy by Default” (protezione dei dati per impostazione predefinita) assicura invece il livello di sicurezza più elevato dalla messa in circolazione del prodotto o del servizio, attivando automaticamente, ovvero senza intervento da parte degli utenti, tutte le misure necessarie alla protezione dei dati e alla limitazione del loro utilizzo. In altre parole, tutti i software, il materiale e i servizi devono essere configurati in modo da proteggere i dati e da rispettare la vita privata degli utenti.
VALUTAZIONE DI IMPATTO SULLA PROTEZIONE DEI DATI
Devono essere condotte delle analisi d’impatto, in caso si rischio elevato per la personalità o per i diritti fondamentali delle persone interessate. Le aziende possono riconoscere e valutare i rischi per la protezione dei dati con l’aiuto di una valutazione d’impatto sulla protezione dei dati. Esse sono tenute a svolgere questa analisi se il trattamento dei dati comporta presumibilmente un elevato rischio per i diritti della personalità e fondamentali delle persone interessate
REGISTRO DELLE ATTIVITA’ DI TRATTAMENTO
Diventa obbligatorio allestire un registro delle attività di trattamento.
OBBLIGO DI INFORMAZIONE AMPLIATO
Viene esteso il diritto di informare: la raccolta di tutti i dati personali – e non più unicamente di quelli detti sensibili – deve portare all’informazione preventiva della persona interessata. L’obbligo di informazione viene notevolmente esteso rispetto alla LPD precedente. Non appena le aziende raccolgono dati personali, devono comunicarlo. Le persone interessate devono ottenere tutte le informazioni rilevanti, così che possano esercitare i propri diritti derivanti dalla LPD e sia garantito un trattamento dei dati trasparente.
OBBLIGO DI NOTIFICA IN CASO DI VIOLAZIONE DELLA PROTEZIONE DEI DATI
È richiesto l’annuncio rapido in caso di violazione della sicurezza dei dati, ovvero l’accidentale o illecita perdita, cancellazione, distruzione, modifica di dati personali o concessione dell’accesso a persone non autorizzate da inoltrare all’Incaricato federale per la protezione dei dati e per la trasparenza (IFPDT) se ne risulta presumibilmente un elevato rischio per le persone interessate.
PROFILAZIONE DEI DATI
La nozione di profilazione (cioè il trattamento automatizzato dei dati personali) entra a far parte della legge e da essa viene regolamentato. Una violazione della sicurezza dei dati può presumibilmente portare a un rischio elevato per le persone interessate. Se questo è il caso, le aziende devono comunicare immediatamente tale violazione all’Incaricata/all’Incaricato federale della protezione dei dati e della trasparenza (IFPDT). Devono anche informare le persone coinvolte, se ciò è necessario per la loro protezione o se richiesto dall’IFPDT. Avviene una violazione della sicurezza dei dati, ad esempio, se i dati vengono rubati, hackerati o resi noti o accessibili a persone non autorizzate nell’azienda.