DMS 262/16 - articolo 6: Misure di sicurezza del NSIS

  Articolo 6 - Misure di sicurezza del NSIS

(Decreto del Ministero della Salute n. 262, 7 dicembre 2016)

1. Le operazioni sui dati personali, necessarie per l'adempimento alle disposizioni di cui al presente decreto, sono effettuate mediante strumenti elettronici con modalitą e soluzioni necessarie per assicurare confidenzialitą, integritą e disponibilitą dei dati, adottate in coerenza con le misure di sicurezza espressamente previste nel decreto legislativo 30 giugno 2003, n. 196, e successive modificazioni, e nel relativo disciplinare tecnico (Allegato B).

2. La riservatezza dei dati trattati nell'ambito del NSIS, ai sensi del decreto legislativo 30 giugno 2003, n. 196 e successive modificazioni, e, in particolare, dell'articolo 34, comma 1, lettera h), č garantita dalle procedure di sicurezza relative al software e ai servizi telematici, in conformitą alle regole tecniche di cui all'articolo 71, comma 1, del CAD. Tutte le operazioni effettuate dagli utenti incaricati sono registrate in appositi file di log ai fini della verifica della liceitą e correttezza del trattamento dei dati.

3. I file di log sono protetti con idonee misure contro ogni uso improprio o non conforme alle finalitą per cui sono registrati e sono trattati in forma anonima mediante opportuna aggregazione, salvo il caso in cui risulti indispensabile verificare la liceitą e correttezza di singole operazioni di trattamento. I file di log sono conservati per 12 mesi e cancellati alla scadenza.

4. Per il perseguimento delle finalitą di cui all'articolo 2, comma 1, qualora sia indispensabile consultare le informazioni riferite ai singoli assistiti nei limiti indicati all'articolo 4, commi 2, 3 e 4, il processo di autenticazione degli utenti avviene attraverso strumenti di autenticazione forte, in conformitą all'articolo 64 del CAD e all'articolo 34 del decreto legislativo 30 giugno 2003, n. 196, e successive modificazioni. Il medesimo processo di autenticazione forte č previsto per i soggetti cui sono attribuite funzioni di amministratore di sistema o assimilabili. L'accesso č garantito tramite l'utilizzo di un protocollo sicuro.

5. Il titolare del trattamento di cui all'articolo 5, comma 1, individua il responsabile preposto alla definizione di:

a) profili di autorizzazione, in relazione al ruolo istituzionale, alle funzioni svolte e all'ambito territoriale delle azioni di competenza;

b) procedure di designazione degli amministratori di sistema e degli utenti e dei rispettivi privilegi;

c) modalitą di conferimento, sospensione e revoca dei profili di accesso.

6. Le specifiche misure di sicurezza adottate per gli accessi al sistema sono descritte nel disciplinare tecnico allegato al presente decreto.


articolo precedente // articolo successivo