+39 095.6173922 info@timeo.it

Come proteggiamo i dati dei tuoi Pazienti.

Il Gestionale Medico MEG e tutti i nostri servizi online rispettano già le normative del DPR 196/2003 e ci stiamo preparando per la rivoluzione che entrerà in vigore a livello europeo a partire dal 25 Maggio 2018: entro quella data dovrà essere attuata la nuova disciplina UE che introduce un nuovo modo di pensare e gestire il trattamento dei dati.

Il Regolamento richiede di effettuare un’analisi del rischio dei dati trattati, implementare un sistema di gestione dei dati stessi ed essere in grado di dimostrare l’efficacia delle scelte fatte.

Nota: Questa pagina verrà aggiornata man mano che procederemo con l’adeguamento di tutte le procedure. Tienila d’occhio!

Chiariamo i dubbi.

Cos’è il GDPR?

Il General Data Protection Rule (GDPR) è il Regolamento Generale sulla Protezione dei Dati (Regolamento UE 2016/679) pubblicato in gazzetta il 27 aprile 2016 e che diventerà obbligatorio il 25 maggio 2018 per tutte le aziende che gestiscono, custodiscono, trattano, trasmettono o operano in altro modo con i dati personali di persone fisiche, che sono cittadini dei paesi dell’Unione europea..

Cosa devi fare per adeguare il tuo Studio Medico?

Una delle principali novità del Regolamento è l’intensificazione dei doveri che gravano sui titolari del trattamento dei dati.

Vanno in questo senso l’introduzione del principio di accountability (l’obbligo di responsabilità in capo all’azienda per l’utilizzo dei dati), l’irrobustimento delle garanzie di sicurezza, l’introduzione dei principi di privacy by design (tutela del dato personale fin dalla progettazione) e privacy by default (tutela della vita privata secondo regole predefinite), dei registri aziendali, della valutazione d’impatto e della consultazione preventiva, l’immissione della nuova figura del DPO (Data Protection Officer) e il ricorso alla certificazione nei processi di trattamento.

Usi MEG in versione con Server locale?

Se utilizzi MEG – Gestionale Medico installato su un server locale o su una macchina virtuale nella tua struttura dovrai farti carico di tutti gli obblighi e adempimenti necessari a raggiungere la conformità al Regolamento.

Soprattutto in questo caso è fondamentale dotarsi di uno strumento adeguato. Per questo motivo abbiamo sottoscritto un accordo con un’azienda partner per la fornitura di un software integrativo, specifico per la Sanità, che ti guiderà in un percorso che porta all’adempimento di tutti i codici del GDPR.

Clicca qui per maggiori informazioni.

Ci sono sanzioni per chi non si adegua?

Per chi non si conformerà alla normativa sono previste delle multe salate che potranno arrivare fino a 20 milioni di euro o al 4% del fatturato annuo globale. Il testo del GDPR rovescia la prospettiva della privacy: il regolamento, infatti, si basa sui doveri e sulla responsabilizzazione (accountability) del titolare del trattamento dei dati personali, mentre la normativa precedente si basava sui diritti dell’interessato.

Usi MEG in versione Cloud?

Se utilizzi MEG – Gestionale Medico in Cloud (OVH), sei già a buon punto. I tuoi dati sono conservati in un server remoto e non sul PC locale. Per questo motivo ci inquadriamo come Incaricato Esterno al Trattamento dei Dati, con nomina di Amministratore di Sistema. Entro i limiti dei nostri vincoli tecnici, tratteremo i dati esclusivamente secondo le tue indicazioni, e per tuo conto, attenendoci a tutte le normative del GDPR.

Attenzione però! Per tutti gli altri eventuali dati che lo Studio conserva fisicamente sui propri dispositivi (o in cartaceo), invece, il responsabile del trattamento dei dati (il titolare dello studio) deve conformarsi alle norme sancite dal GDPR sotto la propria responsabilità.

In particolare, il Regolamento ha stabilito precise regole per chi utilizza sistemi di videosorveglianza sia in termini di posizionamento, che di conservazione e di modulistica. Per questo motivo abbiamo sottoscritto un accordo con un’azienda partner per la fornitura di un software integrativo, specifico per la Sanità, che ti guiderà in un percorso che porta all’adempimento di tutti i codici del GDPR.

Clicca qui per maggiori informazioni.

Cosa facciamo noi:

Sicurezza del Server

  • Per far funzionare MEG abbiamo scelto un provider che fornisce un’infrastruttura su cui ospitare dati sanitari, con la garanzia di un accesso logico rigorosamente regolamentato.
  • L’accesso agli impianti è rigorosamente controllato. Per proteggere i server da qualsiasi forma di intrusione o pericolo, il perimetro è messo in sicurezza e dotato di un sistema di videosorveglianza e rilevamento dei movimenti sempre attivo. L’attività interna ed esterna ai datacenter viene costantemente monitorata e registrata su server protetti, mentre i team addetti alla sorveglianza sono connessi 24 ore su 24, 7 giorni su 7.
  • Ciascun datacenter ha ottenuto il certificato di conformità N4; ogni sala è dotata di un sistema di rilevamento ed estinzione degli incendi e di porte tagliafuoco. Viene rispettata la regola APSAD R4 per l’installazione di estintori portatili.
  • La presenza dei tecnici nella server farm è garantita 365 giorni all’anno, 7 giorni su 7, 24 ore su 24, per una manutenzione permanente. In caso di incidente il team si attiva immediatamente per ripristinare i server nel minor tempo possibile.

Disponibilità dei Dati

  • Il provider garantisce uno SLA (disponibilità del servizio) del 99,99%: dischi a bassa latenza e banda passante unica, infrastruttura di storage distribuito e tre copie dei dati.
  • La presenza dei tecnici nella server farm è garantita 365 giorni all’anno, 7 giorni su 7, 24 ore su 24, per una manutenzione permanente. In caso di incidente il team si attiva immediatamente per ripristinare i server nel minor tempo possibile.
  • I datacenter sono alimentati da due collegamenti elettrici indipendenti e dotati di convertitori. L’installazione di gruppi elettrogeni con ben 48 ore di autonomia permette di far fronte a eventuali guasti alla rete elettrica.
  • Il provider garantisce un backup giornaliero dei dati, utilizzabile esclusivamente al fine del ripristino a seguito di un eventuale danno hardware. La copia dei dati può essere comunque effettuata in qualsiasi momento tramite una procedura interna del Gestionale.
  • Opzionalmente è possibile acquistare un servizio di copia automatica dei dati, con garanzia di recupero fino a 15 giorni.

Protezione della Rete

  • Il provider attua una politica di protezione dei server tramite un sistema di mitigazione automatica Anti-DDoS (mitigazione reattiva).
  • La connessione al Gestionale avviene tramite il protocollo sicuro https e l’algoritmo di crittografia asimmetrica RSA a 2048 bit, uno tra i più utilizzati al mondo per cifrare le informazioni tra il computer dell’operatore e il Server che conserva i dati.
  • L’uso di MEG – Gestionale Medico è esclusivamente riservato all’operatore ed al personale all’interno dello Studio Medico stesso, perciò l’accesso alla procedura sarà consentito solo previo inserimento delle credenziali corrette (username e password) da parte dell’operatore (medico o segreteria).
  • La password ha una scadenza trimestrale e deve quindi essere rinnovata entro tale termine. MEG provvederà a segnalare l’approssimarsi di tale scadenza, invitando l’operatore ad effettuare il cambio della password con una sufficientemente robusta ed impedendo l’accesso ai dati qualora tale operazione non venga obbligatoriamente effettuata.

Privacy by Design

  • Ogni nuova funzionalità riguardante il trattamento dei dati, che verrà in futuro implementata nel software, avrà sempre come obiettivo la centralità del paziente e della sua privacy.
  • I nostri programmatori, durante tutta la fase di sviluppo del Gestionale, tengono sempre in seria considerazione le implicazioni riguardo la sicurezza del software. Vengono svolte periodicamente verifiche e test per assicurarci che tutto funzioni correttamente.

Privacy by Default

  • Le procedure di creazione, modifica e gestione dei dati sono state realizzate considerando il diritto alla privacy del paziente come impostazione predefinita.
  • Viene minimizzata all’indispensabile la richiesta di dati personali obbligatori, se non quelli necessari alla corretta compilazione e gestione dei referti e dei documenti fiscali.
  • Per impostazione predefinita l’accesso di un operatore membro del gruppo “Segreteria” non consente la creazione, modifica e cancellazione dei dati sanitari (Anamnesi, Visite, Certificati). Tali operazioni sono possibili solo per gli operatori appartenenti al gruppo “Medici”. E’ possibile modificare questo comportamento abilitando gli operatori caso per caso. Si rammenta che, affinché i dipendenti possano trattare i dati sensibili contenuti nei referti, è indispensabile nominarli incaricati del trattamento, conferendo le necessarie istruzioni.

Cosa devi fare tu?

Puoi verificare l’aderenza al Regolamento per tutte le attività che esegui al di fuori dal Gestionale in Cloud.

Abbiamo sottoscritto un accordo con un’azienda partner per la fornitura di un software integrativo, specifico per la Sanità, che ti guiderà in un percorso che porta all’adempimento di tutti i codici del GDPR.

In pochi click la procedura permette di comporre:
  • Lettere di incarico e mansionari veramente completi ed editabili.
  • Registro dei trattamenti veramente completo ed esaustivo.
  • Registro del Privacy Impact Assessment con il calcolo di coefficiente di compliance alla sicurezza in automatico.
  • Registro delle future mitigazioni dei rischi.
  • Registro del Data Breach.
  • Autocomposizione delll’informativa.
  • Gestione automatizzata della documentazione per la videosorveglianza.
  • Registro delle comunicazioni al Garante.
  • Auto Redazione della relazione annuale del DPO.

Una piattaforma in Cloud, proprio come MEG.

  • Fruibile 24 ore su 24, ovunque ti trovi.
  • Semplice ed intuitivo.
  • Supporto di consulenze per i temi difficili.
  • Linee guida ed autocomposizione aiutano a raggiungere l’obiettivo.
  • Sempre chiaro cosa e come fare in futuro per mantenersi in regola.
  • Tutta la documentazione sempre a portata di mano senza doverla per forza stampare.
Tutti i prezzi si intendono IVA esclusa, fino ad un massimo di 3 incaricati al trattamento dei dati. Soluzioni personalizzate sono disponibili su richiesta. * Spese di trasferta escluse – tempo, viaggio, eventuale soggiorno.

Ancora qualche domanda?

Contatta il nostro Servizio di Supporto e Assistenza Tecnica.

Dove siamo

Per informazioni puoi contattare un nostro consulente ai seguenti recapiti:
Via degli Ulivi, 3 95037 – San Giovanni La Punta

Richiedi Informazioni senza impegno

I tuoi dati verranno trattati nel pieno rispetto del D.lgs 196/2003. Ti ricordiamo, inoltre, che ai sensi dell’art. 13 della stessa legge potrai in ogni momento consultare, modificare, opporti o far cancellare i tuoi dati, inviando una e-mail all’indirizzo info@timeo.it

Ultimo aggiornamento: martedì 15 maggio 2018.