Proteggiamo i dati dei pazienti

A partire dal 25 Maggio 2018 il Gestionale Medico MEG e tutti i nostri servizi online rispettano la nuova disciplina UE, che introduce un nuovo modo di pensare e gestire il trattamento dei dati.

Il Regolamento richiede di effettuare un’analisi del rischio dei dati trattati, implementare un sistema di gestione dei dati stessi ed essere in grado di dimostrare l’efficacia delle scelte fatte.

Nota: Questa pagina verrà aggiornata man mano che procederemo con l’adeguamento di tutte le procedure. Tienila d’occhio!

Chiariamo i dubbi.

Cos’è il GDPR?
Il General Data Protection Rule (GDPR) è il Regolamento Generale sulla Protezione dei Dati (Regolamento UE 2016/679) pubblicato in gazzetta il 27 aprile 2016 e che diventerà obbligatorio il 25 maggio 2018 per tutte le aziende che gestiscono, custodiscono, trattano, trasmettono o operano in altro modo con i dati personali di persone fisiche, che sono cittadini dei paesi dell’Unione europea..

Cosa devi fare per adeguare il tuo Studio Medico?

Una delle principali novità del Regolamento è l’intensificazione dei doveri che gravano sui titolari del trattamento dei dati. Vanno in questo senso l’introduzione del principio di accountability (l’obbligo di responsabilità in capo all’azienda per l’utilizzo dei dati), l’irrobustimento delle garanzie di sicurezza, l’introduzione dei principi di privacy by design (tutela del dato personale fin dalla progettazione) e privacy by default (tutela della vita privata secondo regole predefinite), dei registri aziendali, della valutazione d’impatto e della consultazione preventiva, l’immissione della nuova figura del DPO (Data Protection Officer) e il ricorso alla certificazione nei processi di trattamento.

Ci sono sanzioni per chi non si adegua?

Per chi non si conformerà alla normativa sono previste delle multe salate che potranno arrivare fino a 20 milioni di euro o al 4% del fatturato annuo globale.

Il testo del GDPR rovescia la prospettiva della privacy: il regolamento, infatti, si basa sui doveri e sulla responsabilizzazione (accountability) del titolare del trattamento dei dati personali, mentre la normativa precedente si basava sui diritti dell’interessato.

Usi MEG in versione con Server locale?

Se utilizzi MEG – Gestionale Medico installato su un server locale o su una macchina virtuale nella tua struttura dovrai farti carico di tutti gli obblighi e adempimenti necessari a raggiungere la conformità al Regolamento.

Soprattutto in questo caso è fondamentale dotarsi di uno strumento adeguato. Per questo motivo abbiamo sottoscritto un accordo con un’azienda partner per la fornitura di un software integrativo, specifico per la Sanità, che ti guiderà in un percorso che porta all’adempimento di tutti i codici del GDPR.

Clicca qui per maggiori informazioni

Usi MEG in versione Cloud?

Se utilizzi MEG – Gestionale Medico in Cloud (Aruba Business e OVH), sei già a buon punto. I tuoi dati sono conservati in un server remoto e non sul PC locale. Per questo motivo ci inquadriamo come Responsabile Esterno al Trattamento dei Dati. Entro i limiti dei nostri vincoli tecnici, tratteremo i dati esclusivamente secondo le tue indicazioni, e per tuo conto, attenendoci a tutte le normative del GDPR.

Il nostro Data Processing Agreement è disponibile a a questo indirizzo: www.gestionalemedico.shop/data-processing-agreement

Attenzione però! Per tutti gli altri eventuali dati che lo Studio conserva fisicamente sui propri dispositivi (o in cartaceo) il titolare del trattamento dei dati (il titolare dello studio) deve comunque conformarsi alle norme sancite dal GDPR sotto la propria responsabilità.

In particolare, il Regolamento ha stabilito precise regole per chi utilizza sistemi di videosorveglianza sia in termini di posizionamento, che di conservazione e di modulistica. Per questo motivo abbiamo sottoscritto un accordo con un’azienda partner per la fornitura di un software integrativo, specifico per la Sanità, che ti guiderà in un percorso che porta all’adempimento di tutti i codici del GDPR.

Clicca qui per maggiori informazioni

Cosa facciamo noi

Sicurezza del Server

  • Per far funzionare MEG abbiamo scelto un provider che fornisce un’infrastruttura su cui ospitare dati sanitari, con la garanzia di un accesso logico regolamentato.
  • L’accesso agli impianti è rigorosamente controllato. Per proteggere i server da qualsiasi forma di intrusione o pericolo, il perimetro è messo in sicurezza e dotato di un sistema di videosorveglianza e rilevamento dei movimenti sempre attivo. L’attività interna ed esterna ai datacenter viene costantemente monitorata e registrata su server protetti, mentre i team addetti alla sorveglianza sono connessi 24 ore su 24, 7 giorni su 7.
  • Ciascun datacenter ha ottenuto il certificato di conformità N4; ogni sala è dotata di un sistema di rilevamento ed estinzione degli incendi e di porte tagliafuoco. Viene rispettata la regola APSAD R4 per l’installazione di estintori portatili.
  • La presenza dei tecnici nella server farm è garantita 365 giorni all’anno, 7 giorni su 7, 24 ore su 24, per una manutenzione permanente. In caso di incidente il team si attiva immediatamente per ripristinare i server nel minor tempo possibile.
  • I nostri server ricevono quotidianamente tutti gli aggiornamenti di sicurezza rilasciati dai relativi produttori.

Disponibilità dei Dati

  • Il provider garantisce uno SLA (disponibilità del servizio) che varia in base al servizio acquistato da ciascun cliente tra il 99,80% e il 99,95%: dischi a bassa latenza e banda passante unica e infrastruttura di storage distribuito.
  • La presenza dei tecnici nella server farm è garantita 365 giorni all’anno, 7 giorni su 7, 24 ore su 24, per una manutenzione permanente. In caso di incidente il team si attiva immediatamente per ripristinare i server nel minor tempo possibile.
  • I datacenter sono alimentati da due collegamenti elettrici indipendenti e dotati di convertitori. L’installazione di gruppi elettrogeni con ben 48 ore di autonomia permette di far fronte a eventuali guasti alla rete elettrica.
  • La nostra infrastruttura garantisce un backup giornaliero dei dati, effettuato su 3 livelli, utilizzabile esclusivamente al fine del ripristino a seguito di un eventuale danno hardware. La copia dei dati può essere comunque effettuata in qualsiasi momento dal Cliente tramite una procedura interna del Gestionale.

Protezione della Rete

  • Il provider attua una politica di protezione dei server tramite un sistema di mitigazione automatica Anti-DDoS (mitigazione reattiva).
  • La connessione al Gestionale avviene tramite il protocollo sicuro https e l’algoritmo di crittografia asimmetrica RSA a 2048 bit, uno tra i più utilizzati al mondo per cifrare le informazioni tra il computer dell’operatore e il Server che conserva i dati.
  • L’uso di MEG – Gestionale Medico è esclusivamente riservato all’operatore ed al personale all’interno dello Studio Medico stesso, perciò l’accesso alla procedura sarà consentito solo previo inserimento delle credenziali corrette (username e password) da parte dell’operatore (medico o segreteria).
  • La password ha una scadenza trimestrale e deve quindi essere rinnovata entro tale termine. MEG provvederà a segnalare l’approssimarsi di tale scadenza, invitando l’operatore ad effettuare il cambio della password con una sufficientemente robusta ed impedendo l’accesso ai dati qualora tale operazione non venga obbligatoriamente effettuata.

Privacy by Design

  • Ogni nuova funzionalità riguardante il trattamento dei dati, che verrà in futuro implementata nel software, avrà sempre come obiettivo la centralità del paziente e della sua privacy.
  • I nostri programmatori, durante tutta la fase di sviluppo del Gestionale, tengono sempre in seria considerazione le implicazioni riguardo la sicurezza del software. Vengono svolte periodicamente verifiche e test per assicurarci che tutto funzioni correttamente.

Privacy by Default

  • Le procedure di creazione, modifica e gestione dei dati sono state realizzate considerando il diritto alla privacy del paziente come impostazione predefinita.
  • Viene minimizzata all’indispensabile la richiesta di dati personali obbligatori, se non quelli necessari alla corretta compilazione e gestione dei referti e dei documenti fiscali.
  • Per impostazione predefinita l’accesso di un operatore membro del gruppo “Segreteria” non consente la creazione, modifica e cancellazione dei dati sanitari (Anamnesi, Visite, Certificati). Tali operazioni sono possibili solo per gli operatori appartenenti al gruppo “Medici”. E’ possibile modificare questo comportamento abilitando gli operatori caso per caso. Si rammenta che, affinché i dipendenti possano trattare i dati sensibili contenuti nel Dossier Sanitario, è indispensabile nominarli incaricati del trattamento, conferendo le necessarie istruzioni.
  • Il sistema di autenticazione a due fattori (2FA) aggiunge sicurezza richiedendo all’utente di verificare la propria identità con due metodi: credenziali di accesso e un codice OTP. Dopo aver inserito nome utente e password, l’utente riceve un codice OTP via email, SMS o app di autenticazione. L’accesso viene concesso solo dopo l’inserimento del codice OTP corretto. 

Cosa devi fare tu?

Puoi verificare l’aderenza al Regolamento per tutte le attività che esegui al di fuori dal Gestionale in Cloud.

Abbiamo sottoscritto un accordo con un’azienda partner per la fornitura di un software integrativo, specifico per la Sanità, che ti guiderà in un percorso che porta all’adempimento di tutti i codici del GDPR.

In pochi click la procedura permette di comporre

  • Lettere di incarico e mansionari veramente completi ed editabili.
  • Registro dei trattamenti veramente completo ed esaustivo.
  • Registro del Privacy Impact Assessment con il calcolo di coefficiente di compliance alla sicurezza in automatico.
  • Registro delle future mitigazioni dei rischi.
  • Registro del Data Breach.
  • Autocomposizione delll’informativa.
  • Gestione automatizzata della documentazione per la videosorveglianza.
  • Registro delle comunicazioni al Garante.
  • Auto Redazione della relazione annuale del DPO.
Richiedi demo

Una piattaforma in Cloud, proprio come MEG.

  • Fruibile 24 ore su 24, ovunque ti trovi.
  • Semplice ed intuitivo.
  • Supporto di consulenze per i temi difficili.
  • Linee guida ed autocomposizione aiutano a raggiungere l’obiettivo.
  • Sempre chiaro cosa e come fare in futuro per mantenersi in regola.
  • Tutta la documentazione sempre a portata di mano senza doverla per forza
    stampare.
Richiedi demo

Ti aiutiamo noi

Con il nostro supporto, compilerai il GDPR in tutte le sue parti.

GDPR

€ 81/mese*

  • Registri dei trattamenti del Titolare e Responsabile
  • Generatore Privacy Policy /Informative per il sito web, cookies, clienti, dipendenti, fornitori
  • Cookie Consent Manager fino a 200.000 consensi / anno
  • Nomine Soggetti Autorizzati e Responsabili
  • Valutazione/Analisi Rischi Privacy (T4Data/Enisa) misure ISO 27001, censimento Asset
  • Software GDPR online su cloud con Area Riservata per il mantenimento del Sistema Privacy della tua Impresa
  • Assistenza in modalità Smart Working fino a 10 ore
  • Audit Semestrale del MOP (Modello Organizzativo Privacy) per la conformità alle norme Privacy Vigenti
  • Registro per annotazione violazioni dati (Data Breach) con tool valutazione

* Tutti i prezzi si intendono IVA esclusa, fino a 20 Responsabili e Soggetti Autorizzati al trattamento dei dati. Soluzioni personalizzate sono disponibili su richiesta.

Ancora qualche domanda?

Per qualunque necessità o chiarimento, il nostro DPO è disponibile ai seguenti contatti: WRP Srl – [email protected]

Come Contattarci

Ti interessa una dimostrazione gratuita?
Per provare senza alcun impegno MEG direttamente dal nostro sito, senza alcun limite e per tutto il tempo che vuoi, contattaci tramite:

Riceverai tutte le informazioni necessarie su come accedere ed utilizzare l’Area Demo.

Richiedi informazioni senza impegno

Google reCaptcha: chiave del sito non valida.

Ultimo aggiornamento: lunedì 11 luglio 2024.