Decret 2/2018, de 23 de febrer, pel qual s’aprova la política de seguretat de la informació del Servei de Salut de les Illes Balears
| Sección | I. Disposicions generals |
| Emisor | CONSELL DE GOVERN |
| Rango de Ley | Decret |
El Servei de Salut de les Illes Balears és un ens públic de caràcter autònom, adscrit a la Conselleria de Salut del Govern de les Illes Balears, dotat de personalitat jurídica i patrimoni propis, amb plena capacitat d’obrar per complir les seves finalitats, al qual es confia la gestió dels serveis públics sanitaris de caràcter assistencial. De conformitat amb la Llei 5/2003, de 4 d’abril, de salut de les Illes Balears, els objectius fonamentals del Servei de Salut consisteixen a participar en la definició de les prioritats de l’atenció sanitària a partir de les necessitats de salut de la població i donar efectivitat al catàleg de prestacions i serveis que es posa al servei de la població amb la finalitat de protegir la salut; distribuir de manera òptima els mitjans econòmics assignats al finançament dels serveis i de les prestacions sanitàries; garantir que les prestacions es gestionin de manera eficient; garantir, avaluar i millorar la qualitat del servei al ciutadà, tant en l’assistència com en el tracte; promoure la participació dels professionals en la gestió del sistema sanitari balear i fomentar la motivació professional, i promoure la formació, la docència i la recerca en l’àmbit de la salut.
S’ha de considerar que la informació que recull i gestiona el Servei de Salut en l’exercici de les seves competències constitueix un actiu essencial per complir adequadament els objectius ressenyats, i que el funcionament correcte dels sistemes d’informació que acullen i gestionen aquestes dades és imprescindible per a l’exercici adequat, eficaç i eficient de les obligacions atribuïdes en matèria d’assistència i de gestió sanitària. Per tant, assumeix la responsabilitat associada a la protecció d’aquestes dades davant les amenaces que puguin afectar-ne la seguretat.
Els beneficis de la implantació de les tecnologies de la informació en els entorns sanitaris són més que evidents, ja que faciliten la prestació de serveis sanitaris amb coherència i cohesió des dels diferents nivells assistencials, en especial en un àmbit geogràfic caracteritzat per la insularitat, la qual cosa no fa sinó potenciar encara més els beneficis d’aquestes tecnologies. No obstant això, en aquest entorn la seguretat de la informació és clarament un imperatiu, ja que la informació gestionada en aquest àmbit està sotmesa a uns requisits de seguretat molt exigents.
L’article 11 del Reial decret 3/2010, de 8 de gener, pel qual es regula l’Esquema Nacional de Seguretat en l’àmbit de l’administració electrònica, estableix que tots els òrgans superiors de les administracions públiques han de tenir una política de seguretat de la informació, aprovada pel titular de l’òrgan superior corresponent.
Per la seva banda, el Decret 97/2006, de 24 de novembre, regula les comissions per a la millora contínua de la seguretat de la informació en l’Administració de la Comunitat Autònoma de les Illes Balears. D’acord amb aquest Decret, la Comissió Directora de Seguretat de la Informació va emetre l’informe corresponent sobre el Decret present.
Atesa la matèria que es regula, que afecta la seguretat de la informació, moltes vegades referida a dades protegides especialment, és convenient que la regulació d’aquesta política de seguretat de la informació es faci per la via del decret, tenint en compte, a més, que encara no s’ha aprovat la política de seguretat de la informació per a la resta de l’Administració de la Comunitat Autònoma.
Aquest Decret té per objecte desplegar un aspecte específic de l’accés electrònic dels ciutadans als serveis públics, que és el de la seguretat.
D’acord amb el Decret 24/2015, de 7 d’agost, de la presidenta de les Illes Balears, pel qual s’estableixen les competències i l’estructura orgànica bàsica de les conselleries de l’Administració de la Comunitat Autònoma de les Illes Balears, la Vicepresidència i Conselleria d’Innovació, Investigació i Turisme —a través de la Direcció General de Desenvolupament Tecnològic— té competència en matèria de seguretat de la informació dels recursos tecnològics. D’altra banda, el Servei de Salut està adscrit a la Conselleria de Salut i ha d’organitzar la planificació de la seguretat de la informació en el seu àmbit. Aquesta Conselleria —mitjançant la Direcció General de Planificació, Avaluació i Farmàcia— s’encarrega de la planificació i l’ordenació de l’assistència sanitària, un dels aspectes de la qual és la seguretat de la informació que es maneja.
En conseqüència, a proposta de la consellera d’Innovació, Investigació i Turisme i de la consellera de Salut, oït el Consell Consultiu de les Illes Balears i havent-ho considerat prèviament el Consell de Govern en la sessió del 23 de febrer de 2018,
DECRET
Capítol I
Aspectes generals
Objecte
Aquest Decret té per objecte definir la política de seguretat de la informació del Servei de Salut de les Illes Balears.
Àmbit d’aplicació
-
La política de seguretat de la informació del Servei de Salut és aplicable amb caràcter obligatori a totes les unitats administratives i a tots els òrgans del Servei de Salut, i també als ens que —si n’hi ha— hi estiguin adscrits, per la qual cosa l’ha d’observar tot el personal que hi presti servei.
-
Així mateix, és aplicable als centres privats que estiguin incorporats al sistema sanitari públic de les Illes Balears per mitjà d’acords, convenis o altres fórmules de gestió integrada o compartida. Aquesta política de seguretat ha de ser observada pel seu personal.
-
La política de seguretat de la informació també és aplicable i de compliment obligat per a les persones que, encara que no prestin servei directament en el Servei de Salut o en algun ens que hi estigui adscrit, tenguin accés a la informació o als sistemes que gestionen aquesta informació.
-
La política de seguretat de la informació inclou tots els sistemes d’informació que gestiona el Servei de Salut.
Definicions
Als efectes de la política de seguretat de la informació del Servei de Salut, són aplicables les definicions que estableix el Reial decret 3/2010, de 8 de gener, pel qual es regula l’Esquema Nacional de Seguretat en l’àmbit de l’administració electrònica. Així mateix, es defineixen els conceptes següents:
-
Responsable de la informació: persona que té la potestat d’establir els requisits d’una informació en matèria de seguretat.
-
Responsable de la seguretat de la informació: persona que determina les decisions per satisfer els requisits de seguretat de la informació i dels serveis.
-
Responsable del servei: persona que té la potestat d’establir els requisits d’un servei en matèria de seguretat.
-
Responsable del sistema: persona que s’encarrega de l’explotació del sistema d’informació.
Missió
Als efectes d’aquest Decret, el Servei de Salut actua d’acord amb la Llei 5/2003, de 4 d’abril, de salut de les Illes Balears, i té per missió mantenir uns nivells adequats de seguretat i de protecció davant amenaces a la informació que gestiona, la qual cosa és l’actiu fonamental per complir els seus objectius.
Objectius
El Servei de Salut assumeix els objectius següents en matèria de seguretat de la informació:
1) Establir les pautes necessàries per garantir sempre la seguretat de la informació a través de directrius per tal de preservar, protegir i consolidar la seguretat dels serveis i els actius d’informació amb l’objectiu de millorar la qualitat dels serveis que es presten als ciutadans.
2) Garantir la implantació de les mesures i dels mecanismes de seguretat apropiats per protegir els serveis prestats, els sistemes d’informació emprats per prestar-los i la informació processada, emmagatzemada o transmesa per aquests, de manera coherent amb els riscs afrontats.
3) Assegurar que es compleixi la normativa vigent en matèria de seguretat i protecció de dades a què el Servei de Salut s’hagi de sotmetre.
4) Garantir l’eficàcia de les mesures de seguretat implantades per mitjà d’avaluacions i auditories.
5) Establir una estructura organitzativa adequada per a la gestió de la seguretat de la informació definint els rols i els comitès necessaris, a més de les funcions i les responsabilitats respectives.
6) Garantir l’operació continuada i adequada dels serveis i dels sistemes i actuar per prevenir, detectar, reaccionar i operar de manera oportuna davant els incidents de seguretat que es produeixin, a més de vetlar per la implantació dels mecanismes necessaris que assegurin la continuïtat de les activitats crítiques permetent que es recuperin en un període de temps acceptable.
7) Impulsar i fomentar la formació, la conscienciació i el compliment de les obligacions en matèria de seguretat de la informació del personal al servei de l’organització, a fi de garantir el coneixement de les polítiques i les normatives aprovades i de les pràctiques recomanades, amb l’objectiu últim d’aconseguir que la seguretat de la informació es converteixi en un factor inherent al desenvolupament de les funcions i de les operatives quotidianes.
8) Promoure que les activitats destinades a aconseguir els nivells de seguretat requerits s’estructurin i es concebin com un procés de millora contínua, i no com a accions o esforços puntuals, sustentant-ho en l’anàlisi i la gestió sistematitzades dels riscs.
Marc normatiu
-
El disseny, l’operació, l’ús i l’administració de la informació, dels sistemes d’informació i dels serveis del Servei de Salut han de complir les normes següents, les quals s’esmenten amb caràcter enunciatiu i no limitador:
-
Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal.
-
Llei 39/2015, d’1 d’octubre, del...
-
Para continuar leyendo
Solicita tu prueba