OGGETTO: MANDATO DI AFFIDAMENTO DELLE ATTIVITA’ DEL PROCEDIMENTO DI CONSERVAZIONE
Spett.le
Xxxxx Xxx
Xxx Xxxxxxx, 00 Xxxxxx - Xxxxxx
OGGETTO: MANDATO DI AFFIDAMENTO DELLE ATTIVITA’ DEL PROCEDIMENTO DI CONSERVAZIONE
Il Xxxx. Xxxxx Xxxxx Xxxx, in qualità di Responsabile della Conservazione (di seguito anche indicato brevemente con l’acronimo “RdC”) della Azienda Ospedaliera Humanitas Istituto Clinico Catanese anche indicata con “AZIENDA”), giusta Deliberazione del Direttore Generale del 07 Marzo 2022, avvalendosi della facoltà conferitagli ai sensi del par. 4.3 delle Linee guida sulla formazione, gestione e conservazione dei documenti informatici emanate da AgID, di affidare in tutto o in parte lo svolgimento delle proprie attività a terzi che possiedono i requisiti di qualità, di sicurezza e organizzazione individuati nelle Linee guida
PREMESSO CHE
1) Humanitas e Medas hanno sottoscritto a Novembre 2021 un contratto di servizi per la conservazione in outsourcing degli studi immagini DICOM e dei documenti clinici elettronici (DCE) prodotti dalle società Committenti, per il periodo 01/01/2021-31/12/2023.
2) L’Azienda ha quindi affidato a Medas la conservazione a norma dei DCE e degli Studi Immagine DICOM prodotti dai sistemi informatici ospedalieri e archiviati sui repository aziendali;
3) il servizio di cui al punto precedente è basato sul “Sistema di conservazione Scryba” della società Medas srl di Milano.
4) il RdC ha appurato che la ditta Medas srl (di seguito “MEDAS”) dispone dei requisiti di qualità, sicurezza e organizzazione individuati nelle Linee guida e constatato dall’esperienza pluriennale presentata dalla ditta che la stessa ha la struttura e le competenze idonee a gestire il procedimento di conservazione ed in particolare le attività a lei affidate con il presente mandato;
5) la ditta Medas Srl, ha preventivamente valutato il ricevimento dell’incarico di affidamento dell’attività di conservazione, ai sensi e per gli effetti del par. 4.3 delle Linee guida, e la possibilità di espletare tali compiti con propri collaboratori;
AFFIDA
alla ditta Medas srl per il periodo contrattuale il servizio di Conservazione in outsourcing. In particolare nella tabella sottostante sono elencate con responsabilità “Medas” le attività a lei affidate. Per maggior chiarezza nella tabella sono state indicate tutte le attività anche quelle gestite direttamente dal RdC o delegati.
ATTIVITA’ DEL PROCEDIMENTO DI CONSERVAZIONE | RESPONSABILITA’ |
1. Definizione delle politiche di conservazione e dei requisiti funzionali del sistema di conservazione in ragione delle specificità degli oggetti digitali da conservare, della natura delle attività che il titolare dell’oggetto di conservazione svolge e delle caratteristiche dei sistemi di gestione informatica dei documenti adottati, in conformità alla normativa vigente, agli standard internazionali, al Manuale della Conservazione (MdC) e allegati tra cui in particolare il documento “Accordi di versamento” che specifica le tipologie documentarie, i formati dei documenti inviati al sistema di conservazione e i relativi flussi di versamento ( Linee guida AgID par. 4.5 lettera a) | RdC o Delegato |
2. Supporto al RdC per la definizione delle politiche di conservazione e dei requisiti funzionali del sistema di conservazione la cui evidenza è contenuta nel MdC ed allegati. | Medas |
3. Gestione del processo di conservazione con garanzia di mantenere nel tempo la conformità alla normativa vigente (Linee guida AgID par. 4.5 lettera b), nelle modalità indicate nel MdC e declinato nelle seguenti attività: | |
a) acquisizione da parte del sistema di conservazione del pacchetto di versamento per la sua presa in carico (Linee guida AgID par. 4.7, lettera a); | Medas |
b) verifica che il pacchetto di versamento e gli oggetti contenuti siano coerenti con le modalità previste dal manuale di conservazione e con quanto indicato nell’allegato 2 “Formati di file e riversamento” (Linee guida AgID par. 4.7, lettera b); | Medas |
c) rifiuto del pacchetto di versamento, nel caso in cui le verifiche di cui alla lettera b) o le regole di presa in carico definite negli Accordi di versamento abbiano evidenziato delle anomalie (Linee guida AgID par. 4.7, lettera c); | Medas |
d) generazione, anche in modo automatico, del rapporto di versamento relativo ad uno o più pacchetti di versamento, univocamente identificato dal sistema di conservazione e contenente un riferimento temporale, specificato con riferimento al Tempo universale coordinato (UTC), e una o più impronte, calcolate sull’intero contenuto del pacchetto di versamento, secondo le modalità descritte nel manuale di conservazione (Linee guida AgID par. 4.5 lettera c e par. 4.7, lettera d); | Medas |
e) sottoscrizione del Rapporto di versamento con firma digitale (Linee guida AgID par. 4.5 lettera c e par. 4.7, lettera e); | Medas/RdC |
f) preparazione, sottoscrizione con firma digitale o firma elettronica qualificata del responsabile della conservazione e gestione del pacchetto di archiviazione sulla base delle specifiche della struttura dati indicate dallo standard UNI 11386:2020 e secondo le modalità riportate nel Manuale della conservazione (Linee guida AgID par. 4.7, lettera f); | Medas |
g) scarto del pacchetto di archiviazione dal sistema di conservazione alla scadenza dei termini di conservazione previsti dalla norma e concordati e secondo le procedure descritte nel par. 4.11 (Linee guida AgID par. 4.7, lettera k); | RdC o Delegato |
h) supporto al RdC per l’espletamento della procedura di scarto del pacchetto di archiviazione dal sistema di conservazione alla scadenza dei termini di conservazione previsti dalla norma e concordati (Linee guida AgID par. 4.7, lettera k); | Medas |
4. Generazione di pacchetti di distribuzione contenenti documenti informatici clinici (Linee guida AgID par. 4.5 lettera d e capitolo 4.7 lettera g). Tale attività viene svolta attraverso specifiche funzionalità dell’applicazione Scryba, accessibili ai soli delegati del RdC dotati di opportune credenziali di accesso. | RdC o Delegato |
5. Sottoscrizione con firma digitale o firma elettronica qualificata, ove prevista nel MdC del pacchetto di distribuzione (Linee guida AgID par. 4.5 lettera d e par. 4.7 lettera g). Tale attività viene svolta attraverso specifiche funzionalità dell’applicazione Scryba, accessibili ai soli delegati del RdC dotati di opportune credenziali di accesso. | RdC o Delegato |
6. Trasmissione dei pacchetti di distribuzione (Linee guida AgID par. 4.5 lettera d, par. 4.7 lettera g, par. 4.9). Tale attività viene svolta attraverso specifiche funzionalità dell’applicazione Scryba, accessibili ai soli delegati del RdC dotati di opportune credenziali di accesso. | RdC o Delegato |
7. Supporto alla generazione, firma e trasmissione dei Pacchetti di Distribuzione. | Medas |
8. Monitoraggio della corretta funzionalità del sistema di conservazione (Linee guida AgID par. 4.5 lettera e) secondo le seguenti attività: | |
a) approvvigionamento dei supporti di memorizzazione; | Medas |
b) stoccaggio supporti removibili; | Medas |
c) monitoraggio dell'infrastruttura hardware del sistema di conservazione e reti trasmissione dati, lato server farm remota del conservatore; | Medas |
d) monitoraggio dell'infrastruttura di rete locale geografica e reti trasmissione dati che collegano i sistemi submitter al sistema di conservazione sito remotamente presso la server farm del conservatore, lato AZIENDA; | RdC o Delegato |
e) monitoraggio del corretto funzionamento di submission da parte dei sistemi informatici che sottopongono i pacchetti di versamento al sistema di conservazione Scryba, lato AZIENDA e supervisione dell’attività del conservatore relativa alla ricezione dei pacchetti da parte di Scryba; | RdC o Delegato |
f) manutenzione e aggiornamento del SW del sistema di conservazione Scryba; | Medas |
g) monitoraggio dei flussi documentali e rendicontazione periodica | Medas |
9. Verifica periodica, con cadenza non superiore ai cinque anni, dell'integrità e della leggibilità dei documenti informatici, secondo quanto previsto dal MdC e allegati (Linee guida AgID par. 4.5 lettera f). | RdC o Delegato |
10. Supporto alla verifica periodica con cadenza non superiore ai cinque anni, dell'integrità degli archivi e della leggibilità degli stessi. | Medas |
11. Adozione di misure per rilevare tempestivamente l'eventuale degrado dei sistemi di memorizzazione e delle registrazioni e ove necessario per ripristinare la corretta funzionalità (Linee guida AgID par. 4.5 lettera g). Le evidenze sono date da eventuali comunicazioni di anomalia inviate al RdC a mezzo PEC. | Medas |
12. Attività di duplicazione o copia (riversamento) dei documenti informatici in relazione all'evolversi del contesto tecnologico secondo quanto previsto dal MdC e allegati (Linee guida AgID capitolo 4.5 lettera h e capitolo 4.7 lettera j). | RdC o Delegato |
13. Supporto alla duplicazione o copia (riversamento) dei documenti informatici. | Medas |
14. Adozione di misure necessarie per la sicurezza fisica e logica del sistema di conservazione come previsto dal paragrafo 4.10 (Linee guida AgID capitolo 4.5 lettera i), la cui evidenza è data dalla certificazione ISO 27001 e dal Piano di sicurezza del conservatore Medas. | Medas |
15. Assicurare la presenza di un pubblico ufficiale nei casi in cui sia richiesto il suo intervento, garantendo allo stesso l’assistenza e le risorse necessarie per l’espletamento delle attività al medesimo attribuite (Linee guida AgID capitolo 4.5 lettera j). | RdC o Delegato |
16. Assicurare agli organismi competenti previsti dalle norme vigenti l’assistenza e le risorse necessarie per l’espletamento delle attività di verifica e di vigilanza (Linee guida AgID capitolo 4.5 lettera k): | |
a) assicurare agli organismi competenti previsti dalle norme vigenti l’assistenza e le risorse necessarie per l’espletamento delle attività di verifica e di vigilanza; | RdC o Delegato |
b) supporto al RdC in caso di attività di verifica e vigilanza; | Medas |
c) assicurare agli organismi competenti previsti dalle norme vigenti l’assistenza e le risorse necessarie per l’espletamento delle attività di verifica e di vigilanza per quanto riguarda aspetti specifici delle attività affidate a Medas. | Medas |
17. Predisporre del Manuale di conservazione di cui al par. 4.6 e aggiornamento periodico in presenza di cambiamenti normativi, organizzativi, procedurali o tecnologici rilevanti (Linee guida AgID capitolo 4.5 lettera m). | RdC o Delegato |
18. Supporto alla predisposizione del Manuale di conservazione e aggiornamento periodico. | Medas |
CONDIZIONI DI AFFIDAMENTO
1. MEDAS accettando l’incarico di affidamento assume, in ottemperanza al par. 4.10 delle Linee guida, anche il ruolo di responsabile del trattamento dei dati come previsto dall’art. 28 del Regolamento UE 679/2016.
2. Nello svolgimento delle attività, MEDAS dovrà ottemperare a tutti i regolamenti e direttive dell’AZIENDA, oltre che a tutta la normativa vigente.
3. MEDAS é tenuta a segnalare tempestivamente tramite opportune relazioni, eventuali malfunzionamenti o anomalie del procedimento di conservazione rispetto a quanto definito nel Manuale di Conservazione e alle attività a lei affidate.
4. XXXXX xxxx responsabile della corretta e tempestiva esecuzione delle attività a lei affidate e delle eventuali ulteriori istruzioni/direttive del RdC purché comunicate per iscritto e pertinenti all’oggetto contrattuale.
5. XXXXX xxxx responsabile per qualsiasi atto che esorbiti dal presente incarico.
6. MEDAS rende disponibili al RdC, contestualmente alla sottoscrizione per accettazione del presente incarico, l’elenco dei suoi collaboratori, aggiornandolo quando necessario, che svolgeranno le attività affidate, individuati quali soggetti che agiscono sotto l’autorità del titolare o responsabile ai sensi dell’art. 29 del Regolamento UE 679/2016.
7. La responsabilità generale inerente la conservazione dei documenti prodotti dalla AZIENDA e la responsabilità diretta e indiretta derivante da dovere di direzione e vigilanza sull’affidatario rimarranno in capo al RdC.
XXXXX XXXXX XXXX' 26.05.2022
15:49:24
GMT+01:00
8. L’AZIENDA è inoltre informata che nel caso di scadenza del contratto, MEDAS non ha più alcun titolo per poter trattare i dati e documenti conservati; pertanto, procederà con le attività di exit eventualmente concordate contrattualmente e comunque alla dismissione del sistema di conservazione trascorsi 30 giorni dalla scadenza. Nei casi in cui l’AZIENDA fosse una pubblica amministrazione o privato convenzionato con il servizio pubblico, MEDAS, nel caso in cui non si abbia riscontro dall’AZIENDA circa la procedura di exit e MEDAS sia nella condizione di non poter trattare i dati, procederà a darne comunicazione anche alla Soprintendenza Archivistica competente per territorio, soggetto che da norma è deputato alle attività di sorveglianza sugli archivi degli enti pubblici non statali e ad AgID in qualità di soggetto deputato alla sorveglianza dei conservatori.
Misterbianco, 26/05/2022
Xxxx. Xxxxx Xxxxx Xxxx
Responsabile della Conservazione
della Azienda Ospedaliera Humanitas Istituto Clinico Catanese
(Documento informatico sottoscritto con firma digitale)
DICHIARAZIONE DI ACCETTAZIONE DEL MANDATO DI AFFIDAMENTO
Il xxxx. Xxxxxxxx Xxxxx, in qualità di legale rappresentante della società Medas srl e responsabile del servizio di conservazione, dichiara di accettare il presente mandato.
Amministratori di sistema e tecnici esperti
Ai sensi del Provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008 recante prescrizioni ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni di amministratore di sistema e proroga dei termini per il loro adempimento (modificato con Provvedimento del 25 giugno 2009) gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite sono riportati in un documento interno a Medas, mantenuto aggiornato e disponibile in caso di accertamenti da parte del Garante.
Medas, inoltre, si avvale di tecnici esperti, formalmente designati, i quali possono intervenire sugli impianti in fase di installazione, configurazione, risoluzione di problemi, incidenti o in fase di exit (DS01 – Piano della Sicurezza – ISO 27001). L’elenco è un documento interno a Medas costantemente tenuto aggiornato e disponibile in caso di accertamenti da parte del Garante.
Milano, 26/05/2022
XXXXXXXX XXXXX MEDAS S.r.l.
13.06.2022 12:55:04 GMT+00:00
Xxxx. Xxxxxxxx Xxxxx
CEO e GMMedas srl e
(Documento informatico sottoscritto con firma digitale)