GDPR in sanità: criticità e possibili soluzioni

di | 20 August 2016

Il nuovo Regolamento UE sulla Protezione dei Dati personali è sicuramente innovativo ed in linea con le attuali esigenze di protezione delle informazioni. E’ strutturato in modo tale da garantire coerenza, bilanciamento e controllo dei poteri degli stakeholders coinvolti. Mira a raggiungere, nel breve e medio periodo, degli obiettivi “difficili”.
La maggior parte delle aziende sanitarie pubbliche e private, ad oggi, non possiede le caratteristiche e le risorse per adeguarsi: molte problematiche sono rimaste irrisolte dall’entrata in vigore della Direttiva 95/46/EC.
Pochi soggetti, negli anni, hanno investito in una strategia mirata al raggiungimento degli obiettivi di sicurezza del dato, in quanto, la protezione delle informazioni, viene ancora considerata un problema esclusivamente informatico: la tematica viene esaminata solo a seguito di una problematica, a danno avvenuto.
I recenti episodi di sorveglianza massiva dei cittadini da parte delle Nazioni leader in ambito informatico, hanno rivelato come la popolazione sia stata “spiata” con strumenti illeciti e lesivi della libertà personale. La fiducia del cittadino nelle Istituzioni sta diminuendo, così come la sua percezione di sicurezza in ambito informatico.
Preoccupa come il grado di sensibilità degli operatori e dei fornitori ICT non sia conseguentemente aumentato.
L’applicazione delle privacy policies nei processi aziendali è spesso considerata un’attività burocratica che frena le attività e non apporta alcun valore aggiunto.
Il drive principale delle aziende rimane il business: la sicurezza dei dati viene spesso considerata solo un costo. E’ anche per questo motivo che non possiedono piani di continuità, disaster recovery e personale dedicato alla sicurezza informatica.
Il General Data Protection Regulation prevede che business e protezione del dato procedano parallelamente, di pari passo, e infligge onerose sanzioni a chi non si adegua.
Nonostante ciò la struttura organizzativa di molti enti pubblici e soggetti privati è verticalizzata in silos che non si interfacciano. La condivisione delle informazioni e l’approccio multidisciplinare, componenti indispensabili per una corretta applicazione di una information security governance, si scontrano con la “vecchia scuola” di pensiero.

Categoria: Impatti Rischi e Misure Tag: , , ,

Informazioni su Giampaolo Franco

Giampaolo Franco, degree in Computer Science, Certified Information Security Manager (CISM). Dr. Franco has more than 10 years of experience in governance, risk management, and compliance at Azienda Provinciale per i Servizi Sanitari (APSS, the main healthcare provider of the Autonomous Province of Trento). He is involved in several activities at APSS, including business continuity and disaster recovery, risk analysis, privacy compliance, awareness, internal / external audits, incident management, optimization and quality control of IT processes. Previous work experiences include project management, analysis and programming for several financial institutions. He has also been a consultant for the University of Trento, working in a project aimed to define organizational and security aspects related to the introduction of integrated models of digital teaching in school. Dr. Franco continues to pursue research, education and awareness activities related to information security for the Public Administration with remarkable passion and leadership. He is a member of the ISACA VENICE Chapter, Oracle Community for Security and contributor of Europrivacy. In 2016 he's the winner of the European Institute of Innovation & Technology - EIT Digital pre-incubation programme with a project on Art&Technology.

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.