Trasparenza nel trattamento dei dati sanitari

Cloud Temple fornisce servizi di hosting e di gestione delle strutture certificati HDS e specificamente adattati alle sfide del settore sanitario.

In applicazione del requisito 31 dello standard ANS HDS V2, questa sezione illustra le procedure per il trasferimento dei dati sanitari personali (PHCD) gestiti da Cloud Temple, sia all'interno che all'esterno dello Spazio Economico Europeo.

Mappatura degli accessi
Attività certificate HDS Qualificazione di SecNumCloud 3.2 Attività certificate HDS Descrizione Accesso di un paese terzo SEE Rischio di accesso forzato Dichiarazione di conformità
2,3,4,6 Hosting e outsourcing dei backup No No Nessun rischio di accesso imposto dalla legislazione di un Paese terzo in violazione del diritto dell'Unione europea.
5 No Outsourcing effettuato esclusivamente dalla Francia No (solo in Francia) No Nessun trasferimento di dati sanitari personali in un paese al di fuori dello Spazio economico europeo.
5 No Outsourcing realizzato da team misti, tra cui personale con sede in Francia e ingegneri freelance con sede in Tunisia. Natura dei dati : Dati personali ospitati sui sistemi informativi dei clienti in outsourcing.

Categorie di dati: tutte le categorie di dati personali memorizzati dai clienti nei loro sistemi informatici.

Soggetti interessati: Clienti, dipendenti, fornitori o altri contatti dei clienti dei servizi gestiti.

Luogo di stoccaggio: Francia

Scopo del trasferimento: Servizi gestiti

Base giuridica per il trasferimento: Clausole contrattuali standard (SCC)

Accesso ai dati: Diritti di amministrazione tecnica delle infrastrutture. Nessun accesso operativo ai dati sanitari, tranne che per le azioni di manutenzione critica debitamente documentate.

Ambito di intervento: accesso limitato all'infrastruttura di archiviazione e tecnica che ospita i dati, senza elaborazione del contenuto.		 La legge tunisina pone restrizioni all'accesso del governo ai dati personali.

L'articolo 76 della Legge organica n. 2004-63 vieta il trasferimento di dati che possano compromettere la sicurezza pubblica o gli interessi vitali della Tunisia.

Tuttavia, esistono eccezioni per motivi di sicurezza nazionale, difesa o relazioni internazionali. In questi casi l'ente pubblico può rifiutare l'accesso alle informazioni.

L'Instance Nationale de Protection des Données à Caractère Personnel (INPDP) ha la facoltà di accedere ai dati personali in corso di trattamento per verificarli.

Rischio residuo: accesso potenziale da parte delle autorità tunisine strettamente limitato ai casi di sicurezza nazionale o di difesa citati dalla legge.

Misure di protezione e garanzie adeguate

Misure contrattuali

Clausole contrattuali standard (SCC) :

  • Utilizzo dei CCT adottato dalla Commissione europea il 4 giugno 2021, sulla base del modello raccomandato dal CNIL
  • Queste clausole forniscono un quadro giuridico per il trasferimento di dati personali al di fuori dell'UE.
  • Essi incorporano i requisiti dell'RGPD e le raccomandazioni derivanti dalla sentenza Schrems II.

Misure tecniche

  • Forte crittografia dei dati durante il trasferimento e l'elaborazione
  • Implementazione di controlli di accesso rigorosi e di un'autenticazione forte.
  • Segmentazione della rete e partizionamento dei dati
  • Registrazione e monitoraggio dell'accesso ai dati
  • Aggiornamento regolare dei sistemi e delle applicazioni di sicurezza
  • Backup criptato e test di ripristino regolari

Misure organizzative

  • Controlli sul background del personale
  • Certificazione ISO 27001 per le attività di outsourcing
  • Formazione continua del personale del fornitore di servizi sulla protezione dei dati e sulla sicurezza delle informazioni.
  • Procedura di notifica rapida per le richieste di accesso da parte delle autorità tunisine
  • Implementazione di una politica di sicurezza delle informazioni documentata e regolarmente aggiornata.
  • Procedure per la gestione degli incidenti di sicurezza e delle violazioni dei dati.
  • Valutazioni periodiche dei rischi per la sicurezza delle informazioni
  • Impostazione di un piano di continuità operativa e di disaster recovery

Responsabile della protezione dei dati

Contatto: dpd@cloud-temple.com

Politica sui cookie

Utilizziamo i cookie per offrirvi la migliore esperienza possibile sul nostro sito, ma non raccogliamo alcun dato personale.

I servizi di misurazione dell'audience, necessari per il funzionamento e il miglioramento del nostro sito, non consentono di identificarvi personalmente. Tuttavia, avete la possibilità di opporvi al loro utilizzo.

Per ulteriori informazioni, consultare il nostro Informativa sulla privacy.

Autorizzare Rifiuto