La sicurezza informatica diventa una priorità: il 24% degli attacchi ransomware colpisce strutture sanitarie.
I dati personali raccolti dalle strutture sanitarie sono particolarmente sensibili, come riconosciuto dalle norme in materia di privacy, e l’arresto o il malfunzionamento della struttura ospedaliera può causare gravissimi danni alle persone che ne dipendono. La sanità è una facile preda di attacchi informatici e deve con urgenza organizzare un sistema di sicurezza informatica che tenga conto della compliance al Regolamento Europeo in materia di protezione dei dati personali (GDPR) e alla Legge Gelli.
Rischio hacker in crescita
Secondo McAfee, azienda che fornisce soluzioni di sicurezza informatica, nel 2017 i cyber attacchi sferrati a strutture sanitarie sono triplicati e il Data Breach Investigations 2018 di Verizon, provider di telecomunicazioni, registra come il 24% degli attacchi "a ricatto" (ransomware) riguardi la sanità, in forte crescita rispetto al 17% dell’anno precedente.
Già molti ospedali sono rimasti paralizzati nel 2017 e gli analisti prevedono altri attacchi su larga scala. I dati più a rischio sono quelli conservati nei Pacs, i sistemi che archiviano i risultati degli esami medici e li rendono disponibili su internet.
La digitalizzazione crea nuove vulnerabilità e il settore della sanità se ne sta purtroppo accorgendo in ritardo. Le strutture ICT sanitarie sono spesso obsolete, eppure anche il nostro Paese sta andando nella direzione di una Sanità 4.0, a partire dal Fascicolo sanitario elettronico e dalla Cartella clinica elettronica. C’è il rischio che i sistemi informatici non siano pronti ad affrontare tentativi di intrusioni o anche semplici errori operativi.
L’impegno verso la compliance normativa è ancora una volta il volano degli investimenti in sicurezza informatica. Idc, società di ricerca di mercato, prevede che nel 2018 le aziende sanitarie spenderanno circa 26 milioni di euro in sicurezza IT, con un tasso annuo di crescita dell’8,3% tra il 2016 e il 2021. Gli investimenti direttamente legati all’adeguamento al GDPR registrano un tasso di crescita ancora maggiore del 19,5% nel periodo tra il 2017 e il 2021. Gli investimenti in sicurezza informatica trainati dal Regolamento arriveranno a un picco di 3,7 miliardi di dollari nel 2019. Anche in Italia, le aziende investiranno maggiormente l’anno prossimo, fino ai 230 milioni di dollari. Idc prevede comunque una spesa di 200 milioni di dollari anche per il 2018.
Legge Gelli: l’impatto del GDPR sulla gestione del rischio clinico
In aggiunta agli adempimenti legati al GDPR e alla sicurezza informatica, la sanità è tenuta a gestire rischi specifici del settore, come i contenziosi legali relativi alla responsabilità medica, che hanno forti ricadute sulla reputazione della struttura sanitaria, profondamente danneggiata anche da una possibile violazione di dati sensibili.
La Legge Gelli, entrata in vigore nel 2017, mira a chiarire le responsabilità in capo alle strutture sanitarie e prescrive obblighi che vanno di pari passo con la protezione dei sistemi informativi e dei dati personali.
Per ottemperare agli obblighi della normativa sulla responsabilità sanitaria e gestire correttamente il rischio clinico, ogni professionista sanitario si trova a trasferire per via digitale un’importante quantità di informazioni. Per questo, soprattutto nelle strutture sanitarie, è fondamentale un’adeguata formazione di tutto il personale: ogni operatore può interfacciarsi con il paziente e dover raccogliere e gestire dati sensibili.
Il Regolamento Europeo sulla Privacy presta particolare attenzione alla gestione dei dati sanitari, annoverati nella categoria di dati “sensibilissimi”. Tutte le strutture sanitarie, anche quelle private, sono obbligate a nominare un Data Protection Officer (DPO), che funge da referente diretto del Garante e aiuta l’azienda a mantenere sotto controllo il rischio.
Sarà poi importante per le aziende sanitarie istituire un registro delle attività di trattamento dei dati personali e organizzare una procedura di gestione del data breach.
L’esposizione al rischio cyber e compliance è alta: la telemedicina, insieme di tecniche mediche ed informatiche che permettono di fornire servizi sanitari a distanza, è citata dalla Legge Gelli come particolarmente fragile, ma semplici errori nella consegna del dato, nella sua pubblicazione o distruzione, in ambito sanitario possono essere gravi. Registrare o copiare dati sensibili tramite device personali come chiavette usb per finire a casa il lavoro, ad esempio, comporta già una violazione del Regolamento: secondo il Clusit, si tratta anzi di una delle più comuni cause di violazione di dati sanitari in Italia.
La violazione del GDPR, oltre a infliggere pesanti sanzioni, rischia di comportare l’interruzione dell’attività, dato che il Garante è autorizzato a emanare misure interdittive, temporanee o definitive, fino alla revoca delle autorizzazioni.
Urge l’adeguamento delle normative nazionali
Il GDPR comporta uno stravolgimento nelle attività delle strutture sanitarie e le parti sociali attendono da tempo le specifiche nazionali per l’adeguamento alle normative. Cambiano ad esempio le regole per quanto riguarda il consenso al trattamento dei dati personali, obbligatorio per tutti i dati sanitari secondo il Codice della Privacy in vigore nel nostro Paese.
L’articolo 9 del Regolamento Europeo prevede infatti alcune eccezioni: non è necessario il consenso “per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità”. Ai singoli Stati resta la possibilità di prevedere obblighi ulteriori “con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute, ma il decreto legislativo di attuazione della legge delega 163/2017 per l’adeguamento della normativa al GDPR manterrà le distinzioni individuate a livello europeo. Nello specifico, il trattamento di questa particolare categoria di dati dovrà osservare regole stabilite ogni due anni dal Garante per la protezione dei dati personali previa consultazione pubblica.
L’ultima bozza del decreto sembra, in definitiva, omogeneizzare la normativa sulla privacy mantenendo gli aspetti del Codice italiano che possono coesistere con il nuovo Regolamento Europeo. Il 10 maggio, il decreto è passato al Parlamento e al Garante, che dovranno esprimere il loro parere entro il 21 dello stesso mese, termine della delega assegnata dalla legge europea. I tempi sono strettissimi, perché il 25 maggio il Regolamento Europeo sulla privacy sarà pienamente operativo e, con esso, le pesanti sanzioni previste per la sua inosservanza.