Rischi privacy relativi all’obsolescenza tecnologica ed organizzativa in ambito sanitario

di | 29 December 2016

Il dato sanitario è l’insieme delle informazioni utili a rivelare lo stato di salute di una persona ed è costituito da informazioni anamnestiche, risultati di esami strumentali o di laboratorio, immagini diagnostiche, referti ed altre informazioni sensibili. Esso, per sua stessa natura, rappresenta il fulcro delle attività delle strutture sanitarie. Le organizzazioni sanitarie, in un’ottica di miglioramento continuo, devono fornire al cittadino un dato di qualità, ovvero affidabile, sicuro e facilmente fruibile. Gli obiettivi sopraindicati vanno inoltre perseguiti con scarse risorse, all’interno di un quadro normativo ed uno scenario tecnologico in continuo cambiamento.

Le organizzazioni sanitarie sono pertanto chiamate a standardizzare e a semplificare i processi, individuando chiari obiettivi specifici, perseguibili e monitorabili nel tempo. Uno di questi è sicuramente l’individuazione e la dismissione di tecnologie e di processi obsoleti. Questi ultimi, infatti, non solo ostacolano la standardizzazione e la semplificazione dei processi, ma aggiungono inevitabilmente complessità, eccezioni e ridondanze nelle organizzazioni sanitarie con conseguente aumento di rischi e costi.
Il quadro di ristrettezze economiche sopracitato tende a prolungare il ciclo di vita dei software e di tutte le attrezzature sanitarie elettromedicali che gestiscono dati personali sensibili.

Oltre ai casi di obsolescenza tecnologica sopra riportati, vanno anche ricordati quelli di natura organizzativa. Un tipico esempio in tal senso è dato dalla gestione della sicurezza del dato sanitario, materia più volte riesaminata dal legislatore. Il quadro normativo in continuo cambiamento rende difficoltosa la gestione organica e a lungo termine del dato clinico. Come conseguenza, i singoli professionisti che operano all’interno delle organizzazioni sanitarie, spesso considerano la protezione dei dati degli assistiti un ostacolo all’erogazione tempestiva delle procedure cliniche. Gran parte delle strutture sanitarie nazionali delegano quindi al solo CIO la responsabilità delle politiche di sicurezza delle informazioni. Il CIO, tuttavia, non è in grado di svolgere da solo questo compito: la sua missione consiste nell’assicurare l’erogazione dei servizi in termini di automazione, innovazione ed efficienza, e non nel definire, da solo, le politiche aziendali sulla sicurezza del dato. Affidare al solo Chief Information Officer (CIO) la gestione della sicurezza del dato sanitario è in palese contraddizione con lo standard di sicurezza ISO27001 e con il General Data Protection Regulation 2016/679 (Art. 38, comma 6) che vietano espressamente di delegare la protezione del dato a figure soggette a potenziali conflitti di interessi, secondo il principio della Separazione dei Compiti (Segregation of Duties).
Il raggruppamento di compiti e responsabilità di diversa natura in capo ad un’unica persona od unità organizzativa, infatti, potrebbe permettere allo stesso attore di compiere errori, frodi e violazioni sui dati, trovandosi nella condizione di poter occultare l’atto compiuto ed esponendo l’azienda a gravi rischi.

Categoria: Data Protection Officer Impatti Rischi e Misure Tag:, ,

Informazioni su Giampaolo Franco

Giampaolo Franco, degree in Computer Science, Certified Information Security Manager (CISM). Dr. Franco has more than 10 years of experience in governance, risk management, and compliance at Azienda Provinciale per i Servizi Sanitari (APSS, the main healthcare provider of the Autonomous Province of Trento). He is involved in several activities at APSS, including business continuity and disaster recovery, risk analysis, privacy compliance, awareness, internal / external audits, incident management, optimization and quality control of IT processes. Previous work experiences include project management, analysis and programming for several financial institutions. He has also been a consultant for the University of Trento, working in a project aimed to define organizational and security aspects related to the introduction of integrated models of digital teaching in school. Dr. Franco continues to pursue research, education and awareness activities related to information security for the Public Administration with remarkable passion and leadership. He is a member of the ISACA VENICE Chapter, Oracle Community for Security and contributor of Europrivacy. In 2016 he's the winner of the European Institute of Innovation & Technology - EIT Digital pre-incubation programme with a project on Art&Technology.

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.