Skip Navigation
 
   

Aperta la consultazione dei membri sulle modifiche alle procedure di certificazione

15 gennaio 2014

È possibile esprimere i propri commenti online alle modifiche che verranno introdotte nel 2014 al Programma di certificazione “NAID AAA”: clicca qui per approfondire i contenuti di dette migliorie e per fare le tue annotazioni. Devi disporre di un nome utente e una password per accedere a questa pagina. Se non conosci le tue credenziali di accesso, le puoi richiedere inviando un’e-mail a: admin@naidonline.org. Il periodo entro il quale potrai esprimere i tuoi commenti si concluderà il 1° febbraio 2014. Segue una sintesi dei nuovi requisiti 2014 per il Programma di certificazione, come approvato dal Consiglio di amministrazione NAID:

Valutazione del rischio HIPAA(Health Insurance Portability and Accountability Act): a seguito delle recenti modifiche introdotte all’HITECH (Health Information Technology for Economic and Clinical Health) è importante, ora più che mai, che le società che forniscono servizi di distruzione delle informazioni mantengano e verifichino la propria conformità alle leggi in qualità di soci in affari (business associate, BA) in merito all’HIPAA, soprattutto, in fatto di valutazione del rischio. Di conseguenza, il NAID ha aggiunto diversi nuovi requisiti nel tentativo di rendere la propria procedura di certificazione a prova di conformità all’HIPAA, sia per i BA, sia per le entità coinvolte (covered entities, CE).

Report sugli audit disponibili su richiesta: le aziende certificate possono richiedere dettagliati report sugli audit. L’azienda potrà decidere se tenerli agli atti, oppure renderli pubblici a conferma della relativa conformità ai criteri di certificazione NAID e HIPAA. Il NAID fornirà i report sugli audit solo ai membri certificati a cui si riferiscono.

Notifica al NAID sulla violazione dei dati (Clausola 20, Sezione 2.1 c): nel caso in cui un’azienda certificata dovesse subire una violazione nella sicurezza dei propri dati che impone alla stessa di notificare l’accaduto al/i proprio/propri cliente/i in base alle leggi nazionali e regionali pertinenti, la stessa dovrà comunicare le stesse informazioni anche al NAID. In questo modo l’associazione potrà garantire che eventuali difficoltà legate alla non conformità ai criteri di certificazione e/o al codice etico NAID vengano risolte in modo tempestivo.

Piano di risposta in caso di violazione della sicurezza dei dati (Sezione 2.1 d): l’azienda dispone di un piano di risposta scritto per la gestione degli eventi in caso di violazione della sicurezza dei dati. Questo piano deve prevedere un’analisi post-incidente dell’impatto sull’azienda e una procedura di documentazione di tutti gli eventi e dei relativi esiti, in conformità alle norme di sicurezza HIPAA previste al paragrafo 164.308(a)(6)(ii).   

I dipendenti con diritto di accesso devono essere addestrati (Sezione 2.1 g): i dipendenti con diritto di accesso devono essere addestrati a soddisfare i requisiti della certificazione NAID AAA. I percorsi di formazione devono soddisfare i requisiti delle norme di sicurezza HIPAA previste al paragrafo 164.308(a)(d)(i).

Audit di acquisizione e trasferimento (Clausole 25 e 26): fin dalla sua istituzione, la certificazione NAID prevedeva che le aziende che avevano subito modifiche rispetto a elementi, quali la proprietà o la delocalizzazione delle operazioni entro l’impianto di riferimento, si dovessero sottoporre ad una verifica entro sei mesi dall’avvenuto cambiamento. Per fugare eventuali dubbi, la suddetta strategia si va ad aggiungere alla richiesta di certificazione come accordo da firmare durante la procedura stessa.

Notificare al NAID eventuali problemi con il sistema CCTV (Sezione 2.15): se si dovesse verificare un problema con il sistema di CCTV da cui dovesse derivare una perdita di dati, le aziende certificate dovranno notificare l’accaduto al NAID entro 48 ore. In questo modo il NAID potrà fornire loro indicazioni e verificare che il sistema torni allo stato di conformità entro un lasso di tempo ragionevole. Ciò è di giovamento alle aziende certificate, perché assicura oltretutto che, se si dovesse effettuare un audit durante il periodo di inattività del sistema CCTV, la compagnia non ne sarà ritenuta responsabile, purché l’accaduto sia stato notificato al NAID entro i termini richiesti e che l’azienda abbia provveduto a risolvere il problema.

Invitiamo gli utenti a ricordare che un’impresa già certificata è tenuta a rispettare gli accordi sottoscritti durante l’ultima procedura di richiesta presentata al NAID; pertanto, l’associazione non richiederà alla stessa di aderire ai nuovi criteri fino a quando non provvederà ad inoltrare una nuova richiesta di rinnovo. Tuttavia, è buona norma iniziare ad attuare quanto prima le suddette modifiche, poiché sono state introdotte per allineare i criteri di certificazione ai recenti cambiamenti subiti dalle norme HITECH/HIPAA che si applicano alle aziende che forniscono dei servizi nel settore.

Per domande o dubbi si possono inviare commenti in merito alle suddette modifiche al programma al NAID chiamando il numero 602 788 6.243 o scrivendo a: certification@naidonline.org.