Vuoi ricevere i nostri aggiornamenti?

Registrati per accedere ai contenuti riservati e iscriverti alla nostra newsletter
Registrati
Back

GDPR: Considerazioni in ambito IT e organizzazione, a valle della multa di 400mila euro ad un ospedale

17/12/2018
Silvia Stefanelli
Luigi Zampetti

La prima multa (di cui si ha notizia) in area sanitaria è quella di 400 mila euro applicata dall’Authority portoghese (a Comissão Nacional de Protecção de Dados-CNPD) all’ospedale Barreiro Montijo, vicino a Lisbona.

Fonte italiana
Fonte portoghese

La notizia, di cui abbiamo commentato il provvedimento del Garante portoghese, merita un approfondimento anche dal punto di vista delle misure IT e organizzative.

Come già chiarito, infatti, la sanzione è stata applicata in ragione del non corretto accesso ai dati dei pazienti da parte di dipendenti interni che (invece) non avrebbero dovuto essere autorizzati.

La domanda allora è: quali sono le misure tecniche ed organizzative da porre in essere per non violare il GDPR?

Queste le nostre considerazioni

Nelle strutture sanitarie sono in genere presenti molteplici sistemi di gestione informatizzata dei processi - e delle relative categorie di dati - che mappano il ciclo di vita delle attività svolte a favore dei Pazienti.

Sinteticamente possiamo riferirci ai sistemi di supporto alle attività di:

  1. prenotazione, accettazione, trasferimento e dimissione (denominati ADT);
  2. diagnostica tramite esami di laboratorio (1), anatomia patologica, produzione di immagini fisse e in movimento (2);
  3. erogazione di prestazioni ambulatoriali;
  4. cura in degenza (3);
  5. amministrazione dei servizi erogati.

La collocazione in un ciclo di vita richiederebbe che i diversi sistemi di gestione fossero tra loro integrati, cioè che potessero scambiare i dati che innescano un processo (es. gli esami diagnostici determinano la scelta di una terapia o di una cura) oppure che lo alimentano (es. i servizi erogati si trasformano in informazioni amministrative, costi sostenuti e prestazioni da fatturare): allo stato, l’integrazione è ancora un obiettivo ambizioso.

Partendo da queste evidenze ed assunto che l’utenza ha la necessità operativa di accedere continuamente ai diversi sistemi e di operare sui dati (es. consultazione, adattamento o modifica, registrazione, uso), la questione del corretto accesso ai dati personali dei Pazienti (4) può essere affrontata sia sotto l’aspetto organizzativo che tecnico.

Riguardo al profilo organizzativo, la struttura sanitaria dovrebbe avere sotto controllo il personale attivo, indipendentemente che si tratti di subordinati, consulenti o dipendenti dei Fornitori: il che significa conoscerne l’identità ed il ruolo che ricopre (es. amministrativo, operatore sanitario, controllo clinico e di gestione, ecc).

Si tratta di un’attività che la struttura sanitaria è chiamata a svolgere in maniera continuativa nel tempo, con il coinvolgimento dell’Ufficio del Personale, della Direzione Sanitaria e dell’Ufficio IT.

Da questa misura organizzativa ne discende che:

  1. l’accesso agli armadi/locali dove sono conservati i documenti cartacei è filtrato (es. le chiavi sono in gestione solo ad alcune persone);
  2. le operazioni compiute in archivio (es. consultazione, copia, estrazione, restituzione) sono annotate sul registro degli accessi (es. nome, ora e data, operazione, documento);
  3. l’accesso agli archivi informatizzati gestiti dai diversi applicativi software è consentito solo alle persone il cui ruolo è coerente con il processo aziendale supportato dai sistemi;
  4. le operazioni compiute con i diversi applicativi software sono tracciate e registrate (5).

Relativamente poi al profilo tecnico, si possono presentare queste due diverse soluzioni:

  1. ogni applicativo software gestisce gli accessi attraverso
    • l’identificazione dell’utente che inserisce la coppia di credenziali di cui è in possesso, tipicamente composta da “mailbox e password”, “ID e password”, “token”, “biometria”,
    • il meccanismo di autenticazione che verifica l’identità presentata dall'utente (password, PIN, dato biometrico) e concede l’accesso alle risorse (sistemi, applicazioni, funzionalità e dati),
    • il meccanismo di autorizzazione che filtra l’accesso alle risorse secondo i privilegi accordati all’utente autenticato, in base al profilo che gli è stato attribuito; la profilazione può arrivare a determinare quali operazioni informatiche di trattamento dei dati l’utente può compiere o meno: registrazione, adattamento o modifica, consultazione, stampa, estrazione, cancellazione;
  2. la struttura sanitaria è dotata di un sistema centralizzato (e unico) di gestione degli accessi ai diversi applicativi software (6).

La differenza tra le due soluzioni è significativa:

  • nel primo caso ogni utente dovrà utilizzare una coppia di credenziali per ogni applicativo software che intende utilizzare; inoltre, se correttamente impostata, la funzionalità di gestione degli accessi obbligherà l’utente, in base al livello di sensibilità dei dati, ad usare una nomenclatura della password adeguata (es. almeno otto caratteri, di cui almeno un numero, un carattere minuscolo ed uno maiuscolo, un segno speciale) e a cambiare la password entro il periodo stabilito (es. almeno ogni tre mesi); infine, l’amministratore di sistema dovrà attribuire ad ogni utente il profilo coerente con il ruolo in ogni applicativo software, questo in sincronia con le risultanze dell’Ufficio del personale e della Direzione sanitaria;
  • nel secondo caso, invece, l’amministratore di sistema definisce a quali applicativi software ogni utente può accedere e quali operazioni può compiere (es. solo consultazione, estrazione e stampa inibita, ecc); l’utente userà una sola coppia di credenziali per accedere agli applicativi software, anche se la password sarà soggetta alle regole di una adeguata nomenclatura e periodo di rinnovo.

In conclusione, l’ospedale sanzionato aveva circa il 70% del personale che, pur non essendo autorizzato, accedeva ai dati personali e sensibili dei Pazienti, probabilmente per l’insufficiente conoscenza delle mansioni che giustificavano l’accesso ai dati e la mancanza di politiche di accounting sostenute da meccanismi automatici.

Ma, come abbiamo visto, il corretto accesso ai dati non è un problema insolubile, richiede soprattutto uno sforzo organizzativo e l’adozione di strumenti tecnologici in grado di apportare sicurezza in maniera efficace, cioè semplificando l’uso delle misure tecniche, togliendo l’alibi che la “sicurezza ostacola l’operatività”.

Due ultimi esempi di efficacia in grado di proteggere i dati senza rallentare l’operatività:

  • la profilazione di gruppi di utenti (es. personale dell’amministrazione) che possono accedere in sola consultazione ad una specifica sezioni di dati (es. contabili) quando l’applicativo software è di tipo ERP (Enterprise Resource Planning), e quindi gestisce in modo integrato dati anagrafici, di contatto, di salute ed economici dei Pazienti;
  • il login facilitato da dati biometrici (es. lettore di impronta) che compensa il logout dall’applicazione temporizzato, per cui dopo un numero di minuti stabilito avviene la disconnessione che rende impossibile vedere i dati richiamati.


NOTE

Sono denominati Laboratory Information System (LIS), e sono composti da un modulo di controllo del processo di esame fisico del materiale umano, e da un altro di gestione dei dati del Paziente, degli esami richiesti e dei risultati prodotti.

2 Sono denominati Radiology Information System (RIS) usati per gestire i dati delle richieste e la refertazione, e Picture Archiving and Communication System (PACS) per la gestione e l’interpretazione delle immagini prodotte.

3 Sono denominati Cartella clinica informatizzata (produzione assistita dall’IT del documento cartaceo) e Cartella clinica elettronica (documento nativo informatico).

4 Compresi quelli delle categorie particolari quali i genetici, i biometrici, relativi alla salute o alla vita sessuale

5 Automatismo di registrazione sequenziale, in un file sempre aperto in scrittura, dei tentativi di accesso al sistema (autorizzati e non) e delle operazioni, in particolare di quelle più critiche, quali adattamento o modifica, estrazione, cancellazione, comunicazione mediante trasmissione, compiute dal singolo utente (Logging & tracking registration).

6 Identity and Access Management (IAM) e “Single Sign On” (SSO).

Privacy Nuove Tecnologie
Share