Politica privacy
Condizioni per il trattamento dei dati su incarico
1. Definizioni
Nell’ambito del trattamento dei dati su incarico vengono utilizzate le seguenti definizioni: per “Committente” si intende qualsiasi persona che conferisca a EGS l’incarico di sottoporre a trattamento dati personali. Per “Interessato” si intende una persona fisica alla quale si riferiscono i dati personali e che può essere identificata o è identificabile mediante tali dati personali. Ciò si verifica quando alla persona viene attribuito un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online oppure uno o più elementi caratteristici di questa persona. Gli Interessati nell’ambito dell’accordo quadro per la fornitura dei servizi (Master Service Agreement, MSA) sono riportati nell’allegato 1. Per “norme in materia di di protezione dei dati” si intende il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati, RGPD) nonché qualsiasi altra legge che si basi su tale direttiva o regolamento, tutte le altre leggi applicabili in vigore in qualsiasi altro paese in materia di protezione dei dati personali o di protezione dei dati, nell’ultima versione in vigore modificata o sostituita. Per “MSA” si intende uno o più accordi sull’erogazione di determinati servizi per il Committente in relazione alla fabbricazione di protesi dentarie e ai servizi correlati da parte di EGS per il Committente. Per “Parti” si intendono le parti contraenti del MSA. Per “dati personali” si intendono i dati che possono essere utilizzati per identificare una persona fisica. Le rispettive categorie dei dati personali sono definite nell’Allegato 1. Per “clausole contrattuali tipo” si intendono le clausole contrattuali tipo che secondo il giudizio espresso dalla Commissione Europea sulla base dell’articolo 26 paragrafo 4 della direttiva 95/46/CE offrono sufficienti garanzie per la trasmissione di dati personali verso un paese terzo o le clausole di protezione dei dati stabilite dalla Commissione Europea o da un’autorità di controllo che sono state approvate dalla Commissione Europea secondo la procedura di cui all’articolo 93, paragrafo 2 del regolamento (UE) n. 2016/679. Le clausole di protezione dei dati definite secondo il regolamento generale sulla protezione dei dati sostituiscono e sono prioritarie rispetto a eventuali clausole contrattuali tipo definite secondo la direttiva 95/46/CE, qualora si riferiscano allo stesso tipo di rapporto di trasmissione dei dati. Per “sub-responsabile del trattamento” si intende qualsiasi subfornitore incaricato da EGS di eseguire il trattamento dei dati personali interamente o in parte. Per “Titolare del trattamento” si intende la persona di cui all’articolo 4, paragrafo 7 del RGPD. Per “trattamento” o “trattato” si intende qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali quali la raccolta, la registrazione, l’organizzazione, la classificazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’impiego, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
2. Oggetto, durata, tipo e finalità del trattamento dei dati su incarico
Ai fini della gestione dei dati personali degli interessati nel corso del periodo di validità e dell’esecuzione del MSA, sono vincolanti il presente accordo sul trattamento dei dati su incarico nonché gli allegati (di seguito “accordo sul trattamento dei dati su incarico”), in particolare le disposizioni concernenti la gestione di dati personali e le misure tecniche e organizzative. Nell’ambito del MSA, EGS si assume, tra l’altro, il compito, per conto del Committente, di fornire soluzioni volte alla realizzare la soluzione individuata. EGS garantisce inoltre servizi di assistenza al Committente. In questo contesto, è possibile che EGS venga a contatto con i dati personali elencati nell’Allegato 1 e li sottoponga a trattamento. Il trattamento dei dati personali da parte di EGS avviene solamente previo conferimento di un incarico scritto, unicamente nell’ambito definito a livello contrattuale, per la finalità concordata e secondo le istruzioni del Committente. I dati personali trattati da EGS sono utilizzati esclusivamente per le seguenti finalità: – – Esecuzione del contratto, inclusi i servizi di assistenza – – Ricerca e sviluppo – – Finalità statistiche I dati personali non verranno utilizzati in altro modo per finalità proprie o di terzi. EGS si attiene sempre alle disposizioni pertinenti in materia di protezione dei dati. Nell’erogazione dei servizi, EGS si impegna in particolare a rispettare i principi di risparmio ed economia dei dati.
3. Ambito di applicazione e responsabilità
EGS tratta i dati personali su incarico del Committente. Tale trattamento comprende le attività meglio precisate nel MSA e nella relativa descrizione delle prestazioni. Nell’ambito del presente accordo sul trattamento dei dati su incarico, il Committente ha la responsabilità esclusiva, nei confronti del Titolare e di EGS, di assicurare il rispetto delle disposizioni di legge sulla protezione dei dati, in particolare per quanto attiene alla liceità del trasferimento dei dati a EGS e alla liceità del trattamento dei dati. Le istruzioni definite inizialmente mediante il MSA possono essere modificate, integrate o sostituite dal Committente per iscritto o in formato elettronico (forma testuale) mediante istruzioni individuali (singola istruzione). Le istruzioni che non sono previste nel MSA verranno gestite come richiesta di variazione del servizio. Eventuali istruzioni verbali devono essere immediatamente confermate per iscritto
4. Obblighi del Committente
Il Committente ha la responsabilità di valutare l’ammissibilità del trattamento dei dati e di tutelare i diritti degli interessati. Il diritto esclusivo di disporre dei dati personali rimane in capo al Committente. In particolare, il Committente è responsabile del trasferimento dei dati a EGS e della tutela dei diritti degli interessati. Inoltre, il Committente si impegna a rispettare tutte le disposizioni pertinenti in materia di protezione dei dati nell’ambito dell’esecuzione del MSA. Il Committente è responsabile della completezza e dell’accuratezza dei dati da trattare e garantisce che i dati sono corretti e completi in considerazione della finalità di utilizzo. Prima dell’inizio del trattamento e, successivamente, a intervalli regolari, il Committente ha l’obbligo e il diritto di verificare il rispetto delle misure tecniche e organizzative adottate da EGS secondo l’Allegato 2 e di confermare tale rispetto per iscritto. Per maggiori dettagli, si rimanda all’articolo 9 del presente accordo sul trattamento dei dati su incarico. Il Committente informerà immediatamente EGS di eventuali errori o irregolarità rilevati nel corso della summenzionata verifica. Per quanto concerne la tutela dei diritti degli interessati secondo la vigente normativa sulla protezione dei dati, il Committente consentirà agli Interessati di esercitare i propri diritti e si assicurerà che sul trattamento descritto nel presente gli Interessati ricevano informazioni univoche, trasparenti, comprensibili e facilmente accessibili in un linguaggio chiaro. Il Committente è tenuto a mantenere il riserbo su tutti i segreti commerciali di cui venga a conoscenza nell’ambito del MSA e dell’accordo sui trattamenti dei dati su incarico, oltre sulle misure adottate da EGS per garantire la sicurezza dei dati. Questo obbligo persiste anche dopo la cessazione dei presenti accordi.
5. Misure tecniche e organizzative secondo l’articolo 32 del RGPD
EGS ha attuato e manterrà in atto misure tecniche e organizzative atte a proteggere i dati personali da accesso, comunicazione, modifica, perdita o distruzione non autorizzata, accidentale o illegale. Tra queste misure rientrano, ad esempio:
- Impedire l’accesso ai sistemi per il trattamento dei dati personali da parte di persone non autorizzate (controllo dell’accesso fisico).
- Impedire l’utilizzo dei sistemi per il trattamento dei dati personali senza la specifica autorizzazione (controllo dell’accesso logico).
- Garantire che l’accesso ai dati personali sia consentito solo alle persone autorizzate a utilizzare un sistema per il trattamento di dati personali, al quale possono accedere conformemente ai rispettivi diritti di accesso e che, senza una specifica autorizzazione, i dati personali non possano essere letti, copiati, modificati o cancellati nel corso del trattamento (controllo dell’accesso ai dati).
- Garantire che i dati personali non possano essere letti, copiati, modificati o cancellati durante il trasferimento in modalità elettronica, il trasporto o la registrazione su supporti di memoria e che sia possibile determinare e verificare i dispositivi target per ogni tipo di trasmissione di dati personali per mezzo di dispositivi di trasferimento dei dati (controllo della trasmissione dei dati).
- Garantire la definizione di un percorso di verifica per documentare se e da chi i dati personali siano stati introdotti, modificati o rimossi nel sistema per il trattamento dei dati personali (controllo dell’introduzione).
- Garantire che i dati personali siano trattati unicamente secondo le istruzioni (controllo delle istruzioni).
- Garantire che i dati personali siano protetti dalla cancellazione o dalla perdita accidentale (controllo della disponibilità).
Le misure tecniche e organizzative sono descritte nell’Allegato 2 del presente accordo sul trattamento dei dati su incarico. EGS ha il diritto di adeguare sistematicamente queste misure in base all’evoluzione dei regolamenti, della tecnologia e di altri aspetti; inoltre garantisce che integrerà eventualmente, mediante adeguate misure tecniche e organizzative, dei sub-responsabili del trattamento. In ogni caso, le misure tecniche e organizzative attuate devono garantire un livello di tutela adeguato ai rischi derivanti dal trattamento dei dati e dal tipo dei dati personali da proteggere, anche in considerazione del livello di conoscenze tecnologiche e dei costi di attuazione. Durante il periodo di validità del MSA e del presente accordo sul trattamento dei dati su incarico, il Committente potrà richiedere a EGS di trasmettergli, entro un tempo ragionevole, una descrizione delle misure tecniche e organizzative.
6. Luogo del trattamento
Fatto salvo l’articolo 7 del presente accordo sul trattamento dei dati su incarico, i dati personali che EGS tratta su incarico del Committente possono essere trattati in tutti i paesi in cui EGS, le sue società affiliate e i sub-responsabili del trattamento autorizzati dispongano di strutture per l’erogazione dei servizi. In relazione all’erogazione dei servizi concernenti i dati personali, il Committente autorizza EGS a trasmettere e trattare i dati in ognuno di questi paesi. Ogni trasmissione da una giurisdizione a un’altra (ai fini del presente articolo, l’UE rappresenta un’unica giurisdizione) avviene solamente nel rispetto delle vigenti disposizioni sulla protezione dei dati, quali ad esempio la stesura di un contratto aggiuntivo per il trattamento dei dati che si basi sulle clausole contrattuali tipo (a seconda delle circostanze) EGS non controllerà né limiterà l’area geografica dalla quale il Committente o i clienti dello stesso possono trattare i dati personali.
7. Sub-responsabili del trattamento dei dati
Il Committente riconosce e conviene espressamente che Kulzer possa trasmettere i dati personali a soggetti terzi sub-responsabili del trattamento dei dati al fine di erogare i servizi, purché la trasmissione sia conforme alle condizioni del presente paragrafo. Tra questi sub-responsabili del trattamento dei dati e EGS sono in essere dei contratti scritti che contemplano degli obblighi, il cui livello di protezione non è inferiore a quello garantito dall’accordo sul trattamento dei dati su incarico, inclusi gli obblighi secondo le clausole contrattuali tipo, eventualmente applicabili. Il Committente autorizza espressamente EGS a stipulare ed applicare nei confronti dei sub-responsabili del trattamento le clausole contrattuali tipo disciplinate dal presente accordo sul trattamenti dei dati su incarico. Con il presente accordo sul trattamenti dei dati su incarico, EGS informa il Committente di tutte le categorie dei sub-responsabili del trattamento che trattano i dati personali in relazione al MSA (cfr. Allegato 1). Nella fase di avviamento di ogni singolo incarico, il Committente viene informato dell’effettivo sub-responsabile del trattamento e rilascia, in via preliminare, con il conferimento del singolo incarico nell’ambito del MSA (al più tardi), il proprio consenso all’impiego di tale subresponsabile del trattamento da parte di EGS. Nei confronti del sub-responsabile del trattamento, EGS ha il diritto e l’obbligo di verificare l’attuazione della tutela dei dati e, in particolare, le misure tecniche e organizzative adottate dal sub-fornitore nella misura necessaria.
8. Rettifica, limitazione e cancellazione dei dati
Per la cancellazione dei dati o la limitazione del trattamento devono essere rispettate le istruzioni scritte del Committente, con riserva di eventuali motivi di rifiuto di EGS. EGS si riserva il diritto di cancellare i dati di propria iniziativa o di limitarne il trattamento qualora tali dati non siano più necessari ai fini dell’esecuzione del MSA o un consenso non sia più valido. Se un interessato richiede a EGS la cancellazione, la rettifica o l’accesso ai propri dati, EGS inoltrerà la richiesta dell’interessato in questione al Committente, qualora tale richiesta sia possibile. Dietro istruzioni del Committente, e nei limiti delle proprie possibilità, EGS fornirà il proprio supporto nell’attuazione della richiesta.
9. Diritto di controllo e di audit del Titolare del trattamento
Il Committente ha la responsabilità esclusiva di valutare la liceità del trattamento dei dati personali e di attuare i diritti degli Interessati, oltre a essere responsabile anche per conto del Titolare del trattamento. Su richiesta, EGS mette a disposizione del Committente o del Titolare le informazioni necessarie secondo l’articolo 28 del RGPD. Il Committente e il Responsabile possono verificare, esclusivamente a proprie spese, tramite un istituto di audit indipendente ai sensi della legge sulla protezione dei dati (TÜV, Dekra o altri) (a seguito denominato “Revisore”), prima e dopo l’inizio del trattamento dei dati, durante il consueto orario di lavoro nei termini necessari e con preavviso, il rispetto delle norme sulla protezione dei dati e degli accordi contrattuali, in particolare delle misure tecniche e organizzative adottate da EGS. Tutte le informazioni fornite da EGS, ad eccezione dei dati personali degli Interessati, sono informazioni riservate che possono essere divulgate unicamente al Revisore. Il Titolare e/o il Committente e il rispettivo Revisore sono autorizzati a richiedere informazioni scritte e la presentazione di prove sulle misure di protezione dei dati introdotte, sulla tipologia e sulla modalità di attuazione tecnica e organizzativa. Il Revisore è inoltre autorizzato ad accedere all’immobile e ai locali di EGS per svolgere, a propria discrezione, verifiche e ispezioni oltre a visionare nella misura necessaria la documentazione rilevante ai fini del trattamento, i verbali di trattamento e di svolgimento, i sistemi e i dati conservati e i regolamenti, le direttive e i manuali che disciplinano il trattamento dei dati delegato. L’audit comprende la documentazione concernente la nomina di un responsabile della protezione dei dati, l’obbligo dei collaboratori di garantire la riservatezza, e nozioni tecniche e organizzative: ad esempio, procedure operative pertinenti, oltre a contratti con i sub-responsabili del trattamento. I summenzionati diritti del Committente o del Titolare sussistono per tutto il periodo di validità del presente accordo e anche oltre tale periodo, fino alla decadenza dei diritti dal MSA, o tuttavia almeno finché EGS conserva dati personali dei trattamenti che gli sono stati affidati. In casi particolari, il Revisore può procedere a un audit senza preavviso, specialmente qualora sussistano problemi nel trattamento, si verifichino casi da segnalare obbligatoriamente oppure l’autorità di controllo stia per introdurre o abbia introdotto nuove misure.
10. Comportamento in caso di malfunzionamenti e violazioni dei dati
EGS supporta il Committente nel rispetto degli obblighi, indicati negli articoli da 32 a 36 del RGPD, in materia di sicurezza dei dati personali, sull’obbligo di notifica nei casi di violazione dei dati, valutazioni delle conseguenze sulla protezione dei dati e consultazioni preliminari. In caso di un disservizio del trattamento o di una violazione dei dati, il responsabile del trattamento deve adottare immediatamente tutte le misure adeguate e necessarie per la sicurezza dei dati e per ridurre un eventuale danno agli Interessati, del Committente e del Titolare del trattamento. EGS si impegna a comunicare immediatamente al Committente eventuali violazioni delle norme sulla protezione dei dati personali o delle disposizioni previste dal presente accordo. Ciò vale anche nel caso di gravi disservizi nelle operazioni, in caso di altre sospette violazioni di norme per la protezione di dati personali o altre irregolarità nella gestione dei dati personali del Committente, che potrebbero comportare conseguenze per gli Interessati o per il Committente o potrebbero causare dei danni; ad esempio, i casi di pignoramento, sequestro, procedura di insolvenza o amministrazione controllata o altre misure adottate da terzi. Nelle violazioni dei dati rientrano, in particolare, la perdita della riservatezza e la perdita, la distruzione o la violazione dell’integrità dei dati del Committente o di altre informazioni riservate ai sensi del MSA o del presente accordo sul trattamento dei dati su incarico. Il Committente deve informare immediatamente EGS di ogni possibile abuso dei propri account o dei suoi dati di autenticazione o di qualsiasi problema di sicurezza in relazione all’utilizzo dei suoi servizi. La Parte responsabile della violazione dei dati personali deve eseguire immediatamente un’indagine sulla violazione dei dati personali e tenere l’altra Parte al corrente dei progressi dell’indagine, adottando inoltre misure atte a ridurne al minimo le conseguenze. Entrambe le parti convengono di cooperare tra loro incondizionatamente nell’ambito di questa indagine e di prestarsi reciproca assistenza nel rispetto di eventuali requisiti e procedure di notifica. L’obbligo a carico di una Parte di notificare una violazione dei dati personali o di reagire a tale violazione non può e non deve essere interpretato come un’ammissione di un errore o di una responsabilità in relazione alla violazione dei dati personali di tale parte.
11. Diritto di impartire istruzioni del Committente
EGS tratta i dati personali solo conformemente alle istruzioni del Committente. Il Committente può stabilire in qualsiasi momento il tipo, l’ambito e la procedura del trattamento dei dati. Tali istruzioni devono sempre essere fornite per iscritto. Qualsiasi modifica concernente l’oggetto o la procedura generale del trattamento deve essere decisa d’intesa tra le parti. EGS informerà immediatamente il Committente qualora ritenga che un’istruzione violi le norme sulla protezione dei dati. Fino alla conferma o alla modifica dell’istruzione controversa da parte del Committente, EGS è autorizzata a sospendere l’applicazione di tale istruzione.
12. Cancellazione e restituzione dei dati personali
Una volta venute meno tutte le condizioni di cui all’articolo 6 del RGPD, per prima cosa EGS procederà all’anonimizzazione dei dati trasmessi ed entro sei (6) mesi dal decadere delle motivazioni di cui all’articolo 6 del RGPD, fatti salvi eventuali archivi di backup, li cancellerà o, a richiesta del Committente, li restituirà a quest’ultimo; in nessun caso continuerà a utilizzarli. EGS confermerà la cancellazione per iscritto su richiesta scritta del Committente.
13. Responsabilità
Conformemente a quanto disposto dall’articolo 82 del RGPD, le parti hanno una responsabilità nei confronti degli interessati e una responsabilità reciproca.
14. Responsabile della protezione dei dati
Conformemente all’articolo 37 del RGPD, EGS ha nominato un responsabile della protezione dei dati che coordina il monitoraggio del rispetto dei requisiti previsti dalla normativa sulla protezione dei dati e la collaborazione con le autorità di controllo. I dati di contatto del responsabile della protezione dei dati sono i seguenti:
Kulzer GmbH
Data Privacy Officer
Leipziger Straße 2 63450 Hanau, Germania
e-mail: legal@kulzer-dental.com
15. Segretezza
Le parti convengono che tutti i dati commerciali di cui la controparte verrà a conoscenza nell’ambito del contratto saranno considerati “riservati” e che l’obbligo di segretezza permarrà anche dopo la fine del periodo di validità del Contratto per quanto attiene a questi dati. EGS mantiene l’obbligo di segretezza del Committente o del Titolare del trattamento in qualità di professionista.
16. Varie
Il presente Accordo sostituisce tutti gli accordi già in essere in materia di protezione dei dati. Il foro competente per tutte le controversie derivanti dal presente Accordo è quello di Bologna, Italia
Allegato 1: Dettagli relativi al trattamento di dati personali
I. Interessati Nell’ambito dell’esecuzione del MSA, EGS sottoporrà al trattamento dei dati personali le seguenti categorie di Interessati:
- Committente (ove necessario) Titolare del trattamento
- Dipendenti del Committente/Partner contrattuale/Titolare del trattamento
- Pazienti del Committente/Partner contrattuale/Titolare del trattamento
II. Categorie di dati personali L’esecuzione del contratto può comprendere il trattamento delle seguenti categorie di dati personali: nomi, indirizzi, dati di contatto (e-mail, numeri di telefono), dati contrattuali, dati sulla salute
III. Finalità del trattamento I dati personali trasmessi riguardano tutte le informazioni necessarie per l’erogazione dei servizi, incluse le seguenti categorie di dati:
- Esecuzione del contratto, inclusi i servizi di assistenza e informazione
- Ricerca e sviluppo
- Finalità statistiche
IV. Sub-fornitori Ai fini dell’esecuzione del contratto, EGS si avvale delle seguenti categorie di aziende:
- Odontotecnici
- Supporto hardware/software
- Servizi informatici
Allegato 2: Misure tecniche e organizzative secondo l’articolo 32 del RGPD
Sono istituite e si considerano convenute le misure tecniche e organizzative seguenti:
Controllo degli accessi
Vengono creati singoli utenti e password. La password deve essere modificata dall’autorizzato stesso dopo il primo accesso, e comunque non oltre 90 giorni. Le password sono soggette alle seguenti regole:
- Una password iniziale viene assegnata quando viene creato un utente.
- Deve essere modificata al primo accesso.
- La password deve essere composta da almeno 8 cifre e deve soddisfare almeno tre dei quattro criteri di complessità seguenti: maiuscole, minuscole, numeri e caratteri speciali.
- La password decade dopo 90 giorni e deve essere modificata.
- Dopo 10 tentativi di accesso falliti, l’account dell’utente viene bloccato dal servizio di assistenza informatica (IT Service Desk) competente o dal Password Self Service di EGS.
- Dopo 15 minuti di inattività, lo schermo viene bloccato e per sbloccarlo è necessaria una password.
Controllo degli accessi fisici
L’accesso ai locali aziendali e ai server è consentito solo ai collaboratori di EGS e ai prestatori di servizi di cui EGS si avvale per adempiere alla finalità aziendale. L’accesso ai locali aziendali è controllato mediante un sistema elettronico. I collaboratori ricevono una tessera per l’accesso che viene bloccata in caso di perdita. Le tessere per l’accesso vengono ritirate immediatamente in caso di cessazione del rapporto di lavoro. Nei locali degli uffici è in funzione un sistema di monitoraggio video degli accessi. L’ingresso allo stabilimento e agli uffici è sorvegliato da personale. L’edificio è protetto mediante un impianto di allarme. L’accesso alla sala server è protetto mediante misure tecniche e organizzative per il controllo degli accessi fisici, in particolare anche per il controllo dell’identità degli autorizzati. Inoltre, sono state adottate misure tecniche e organizzative per l’identificazione e l’autenticazione degli utenti.
Controllo degli accessi telematici
L’autenticazione avviene tramite nome utente e password. Ogni collaboratore ha accesso soltanto ai dati che gli sono necessari a svolgere la propria funzione. L’account dell’utente viene bloccato immediatamente se l’autorizzazione decade: ad esempio, in caso di licenziamento di un collaboratore o di cessazione dell’ autorizzazione. Tutti gli accessi a Internet sono protetti mediante firewall. Porte di default verso l’esterno: http, https, ftp, smtp, dns. Porte di default verso l’interno: smtp, dns. Porte di default per la DMZ: http, https, ftp, smtp, dns. L’accesso ai servizi interni avviene esclusivamente mediante opportuni dispositivi di sicurezza quali soluzioni reverse proxy, in linea con l’attuale livello di conoscenze tecnologiche. Altre porte vengono aperte solo su richiesta e previa analisi di sicurezza e autorizzazione da parte del dipartimento di informatica di EGS.
Controllo della separazione
Sistemi separati per compiti diversi. Base dati separati per ogni applicazione sulla quale si può accedere con autorizzazioni diverse.
Controllo dei trasferimenti
Tutte le connessioni dati sulla rete di Kulzer sono cifrate su Internet. Ciò vale sia per le connessioni di rete (VPN di Kulzer) sia per la connessione di dispositivi mobili (NetScaler, O365). Il livello di cifratura viene stabilito in base all’attuale livello di conoscenze tecnologiche per ogni assistenza informatica. Per inviare e ricevere e-mail riservate, il dipartimento di informatica di EGS mette a disposizione una soluzione centralizzata, che si basa sullo standard di cifratura S/MIME. Lo smaltimento di supporti di memoria non più necessari e stampe errate avviene nel rispetto delle regole per la protezione dei dati. I supporti di memoria vengono cancellati prima di essere smaltiti dal prestatore di servizi. I supporti di memoria su dispositivi mobili (cellulari, computer portatili, unità disco portatili) sono cifrati.
Controllo degli ingressi telematici
Le modifiche di dati, applicazioni e sistemi vengono registrate insieme a data, ora, user e dati interessati. La registrazione comprende anche le attività dell’amministratore. I dati registrati vengono memorizzati e protetti da perdite o modifiche.
Controllo della disponibilità
Per proteggere i dati dalla distruzione accidentale o intenzionale, Kulzer adotta le seguenti soluzioni:
- Backup Esiste un sistema di back-up e ripristino. In caso di contrattempi, è possibile ripristinare l’ultimo backup.
- Gruppi di continuità (UPS) con spegnimento controllato in caso di bassa carica residua degli accumulatori – Protezione antivirus (amministrata centralmente)
- Firewall
- Impianto di climatizzazione
- Impianto anti-incendio
- Impianto di allarme
Controllo degli incarichi
Mediante contratti scritti sul trattamento di dati su incarico, tutti i fornitori di servizi di cui EGS si avvale per l’esecuzione del MSA, sono vincolati a rispettare i principi definiti nel presente accordo. Tutti i collaboratori autorizzati ad accedere ai dati sono tenuti a rispettare la riservatezza dei dati. Vengono organizzate periodicamente giornate di formazione sui temi della normativa per la protezione dei dati e della gestione di informazioni riservate. È quindi presente una concezione di sicurezza dei dati in riferimento alle misure tecniche e organizzative adottate per la protezione dei dati.
Gestione della protezione dei dati
Sono in vigore direttive interne, che riguardano, tra l’altro, la gestione dei dati personali e delle informazioni riservate e la sicurezza aziendale in generale. Tenuta di un registro di trattamento dei dati per tutte le operazioni pertinenti.
Gestione della sicurezza informatica in caso di incidente (Incident Response Management)
Formazione di tutti i dipendenti per la gestione di casi vincolati alla violazioni dei dati e disservizi; in particolare, formazione sull’obbligo di notifica immediata.
Monitoraggio di sistemi informatici
Creazione di un’organizzazione di sicurezza interna informatica a cui è affidata, tra l’altro, la valutazione di incidenti di sicurezza, lacune di sicurezza e rischi e la valutazione dei nuovi requisiti di sicurezza informatica.