• Nessun prodotto nel carrello.

  • ACCEDI

“DATA BREACH” IN AMBITO SANITARIO: ECCO COME PREVENIRLO

Da recenti indagini condotte fra medici e operatori sanitari mi sto rendendo conto di quanto sia ancora poco avvertito il rischio legato a una cattiva gestione della privacy dei propri pazienti.

Molti tuoi colleghi non ancora riescono a identificare il significato dell’acronimo G.D.P.R., per quanto se ne sia parlato fino alla nausea, altri fanno spallucce e girano i tacchi.

Bene, anzi, male, già che tali “pericoli” sono tutt’altro che da sottovalutare.

Il primo, oltre a quelli di cui già ti abbiamo parlato, prende il nome di Data Breach e, probabilmente, è il più subdolo di tutti

Letteralmente il Data Breach è la violazione dei dati personali da parte di terzi e avviene il più delle volte in modo accidentale, quantomeno, non per tua volontà.

Le cause possono essere svariate, dettate da negligenza, da forza maggiore o volute da terze parti appositamente per danneggiarti.

Un esempio?

Beh, prova a pensare ai tentativi di truffa effettuati da certi “hacker” che “rapiscono” i tuoi dati e ti costringono a versare somme ingenti di denaro per riaverli indietro o, peggio ancora, non essere denunciati alle autorità garanti perché non hai saputo tutelarli a dovere.

Senza pensare all’effettivo rischio a cui sono sottoposte le informazioni dei tuoi pazienti.

Bene, a questo fenomeno sempre più diffuso, chiamato Data Breach sono dedicati specifici articoli del G.D.P.R.

A illustrarteli in modo più chiaro è sempre l’avv. Giovanni Di Nunno, consulente legale di Subito in Regola.

Ecco dunque in cosa consiste il Data Breach in ambito sanitario e come poterlo prevenire.

****

Innanzi tutto partiamo dalla definizione. Data breach è il termine inglese utilizzato per le violazioni dei dati personali.

In altre parole si tratta di un incidente in cui sono coinvolti i dati delle persone fisiche.

La natura dell’incidente può essere dolosa (es. attacco informatico ai server dello studio medico o dell’ospedale), colposa (es. negligenza da parte del medico, dei suoi collaboratori o del personale incaricato del trattamento dati) o anche dovuta a cause eccezionali o imprevedibili (es. calamità naturale).

Il G.D.P.R. prescrive al medico-titolare di adottare delle misure di sicurezza utili a evitare o di limitare i danni che ne conseguono.

L’art. 32 del Regolamento UE n. 679/2016 elenca alcuni esempi di misure di sicurezza utili ad eludere un data breach:

  • la pseudonimizzazione, la conservazione dei dati personali in modo da impedire l’identificazione dell’interessato a terzi non autorizzati;

  • la cifratura degli stessi che comporta la loro codificazione mediante sistema cifrato fino a renderli rende illegibili ai non autorizzati;

  • la predisposizione di accorgimenti utili ad assicurare permanentemente la riservatezza, l’integrità e la disponibilità dei sistemi in cui viene effettuato il trattamento; pensiamo in questo caso alla predisposizione di chiavi di accesso sia per i devices informatici che per i programmi software e i database utilizzati dal titolare;

  • l’adeguata vigilanza e protezione fisica dell’ufficio in cui sono materialmente custoditi sia gli archivi cartacei che quelli digitali;

  • la capacità di ripristino immediato dell’accesso ai dati personali in caso di incidente;

  • la predisposizione di una procedura di test per verificare l’efficacia delle misure di sicurezza adottate.

Ovviamente la programmazione di misure atte a prevenire o limitare i danni di un data breach non sono prescritte in modo assoluto e identico per tutti i titolari.

Devono essere proporzionate e adeguate alla tipologia dei dati trattati, ai rischi sottesi, e ai costi di attuazione previsti.

Per prevenire un Data Breach in ambito sanitario è palese che un ospedale dovrà dotarsi di tutte le più importanti misure di sicurezza, avendo anche da parte sua una certa disponibilità economica e una mole notevole di dati da proteggere.

Diversamente il singolo medico, non sarà tenuto ad adottare le stesse misure di sicurezza di un ospedale, anche perché ciò sarebbe antieconomico.

Tuttavia il singolo medico dovrà sicuramente garantire in modo adeguato i dati personali dei pazienti con delle misure proporzionate alle proprie dimensioni.

Ad esempio è buona prassi:

  • dotare tutti i supporti informatici di password,

  • stipulare con una società di vigilanza privata un contratto per la protezione dello studio,

  • dotare tutti i P.C. di apposito programma anti-virus,

  • effettuare dei backup periodici degli archivi informatici e tenere sotto chiave e in luogo riservato gli archivi cartacei.

Questi sono solo alcuni degli esempi elementari e non esaustivi, di come il singolo medico può proteggere i dati personali dei suoi pazienti da un data breach in ambito sanitario.

Oltre ai suddetti adempimenti deflattivi, il G.D.P.R. prevede anche che in caso di avvenuta violazione dei dati personali, il medico-titolare sia obbligato a comunicare tale violazione senza ritardo, o al massimo entro le successive 72 ore, al Garante della Privacy.

In essa dovrà descrivere:

  • la natura della violazione,

  • il numero di soggetti interessati,

  • le tipologie di dati oggetto di violazione,

  • le probabili conseguenze della violazione e le misure adottate per ovviare alla stessa.

La norma prevede, inoltre, che in caso di data breach in ambito sanitario sia data notizia della violazione anche al soggetto interessato.

In definitiva, è palese che il verificarsi di un data breach in ambito sanitario costituirebbe un danno molto rilevante per i pazienti, che si ripercuoterebbe inevitabilmente sul titolare (soggetto pubblico o privato) del trattamento.

Per questo motivo si consiglia a tutti i medici e ai responsabili di strutture sanitarie di dotarsi dei migliori strumenti e procedure atte a prevenire tale eventualità e soprattutto di essere adeguatamente formati per fronteggiare tali circostanze spiacevoli.

Avv. Giovanni Di Nunno

****

A questo punto, la mia domanda è: sei già attrezzato e formato per far fronte all’eventualità di un Data Breach in ambito sanitario?

Immagino la risposta…

Non hai tempo per dedicarti anche a questo.

D’altronde perché dovrebbe succedere proprio a te, con la miriade di dati già in giro?

Beh, questo non te lo auguriamo di certo, anzi.

Il nostro auspicio è che tu abbia fatto già tutto il possibile per metterti in regola.

Se così non fosse, allora sarebbe il caso di rivolgerti a esperti in grado di seguirti in modo completo, preciso e personalizzato.

Per quanto ormai si sia riempito il mondo di servizi di assistenza per allineare chiunque al G.D.P.R., sento di doverti rammentare che il ruolo che ricopri è ben diverso da quello investito dalla maggior parte degli altri settori.

I dati che tratti tu sono particolari e meritano un’attenzione speciale.

Per tale ragione noi di Subito in Regola abbiamo scelto di dedicare tutto le nostre forze all’ambito sanitario.

Perché, mentre tu ritieni possa essere superfluo e persino inutile correre ai ripari, in realtà c’è già chi lavora sottobanco, minacciando quotidianamente la tua banca dati, o, di più, attivando i famosi controlli a tappeto.

Per prevenire tutto ciò e stare tutti più tranquilli, allora, non aspettare il caso limite.

Registra un account gratuito sul portale Subito in Regola e consulta tutto il materiale gratuito già a tua disposizione.

Ti aspetto.

Paola – Responsabile Comunicazione Subito in Regola

0 responses on "“DATA BREACH” IN AMBITO SANITARIO: ECCO COME PREVENIRLO"

Leave a Message

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

©Subito-in-regola.it

Setup Menus in Admin Panel