Gestione del GDPR per le strutture sanitarie: come proteggere i dati dei pazienti

Il GDPR (General Data Protection Regulation) è una normativa europea entrata in vigore nel 2018, il cui obiettivo principale è la protezione dei dati personali dei cittadini europei. Tale normativa si applica a tutti i dati sensibili, tra cui quelli sanitari, e ha importanti implicazioni per le strutture che gestiscono i dati dei pazienti (anche con la tecnologia cloud), come studi medici, poliambulatori e ospedali.

Le strutture sanitarie sono, infatti, responsabili del trattamento dei dati dei pazienti che raccolgono.

Il principio di responsabilizzazione previsto dal GDPR

Secondo il Rapporto Clusit 2022, il rischio di attacchi informatici è in aumento anche in Italia e il settore sanitario è tra i principali obiettivi. Il 13% dei cyber-attacchi registrati nel 2021 hanno avuto, infatti, come target una struttura sanitaria: è il 24,8% in più rispetto al 2020.

Quali sono le cause principali di un data breach?

Esistono diverse cause che possono portare a una violazione dei dati sensibili di cui una struttura sanitaria è responsabile:

• errore umano,
• attacco informatico (phishing, malware, hacking, ransomware),
• vulnerabilità dei sistemi di sicurezza e dei siti web di supporto,
• furto o smarrimento di archivi di dati,
• software non aggiornati,
• valutazione del rischio imprecisa,
• mancanza di misure di sicurezza adeguate (crittografia dei dati, accesso limitato ai dati, password sicure, sistemi di autenticazione in due fattori…).

La compromissione dei dati sensibili dei pazienti è uno scenario sempre più realistico: nel 2022 abbiamo assistito ad attacchi ransomware contro i server delle infrastrutture informatiche di presidi ospedalieri che hanno causato gravi problemi tecnici e disservizi ai pazienti, ma soprattutto abbiamo presenziato, impotenti, alla diffusione online di dati sanitari di USL e scoperto che i dati di cartelle cliniche di pazienti venivano venduti nel dark web.

La controffensiva degli studi medici e delle strutture sanitarie deve passare per una pianificazione anticipata della strategia di protezione dei dati sanitari, con norme, ruoli e strumenti idonei allo scopo e tecniche organizzative adeguate.

Una soluzione avanzata per la gestione del GDPR nel settore sanitario

Le strutture sanitarie hanno bisogno di strumenti che siano di supporto nella gestione e trattamento dei dati sensibili dei pazienti, nel pieno rispetto della privacy e in conformità con i principi del regolamento europeo GDPR.

CGM DATA-PROTECT è un software web-based che CGM ha sviluppato per i professionisti della sanità con l’obiettivo di offrire indicazioni chiare e precise su come rispettare le prescrizioni del GDPR e limitare il rischio di sanzioni in caso di controllo.

CGM DATA-PROTECT: protezione dei dati e conformità al GDPR

CGM DATA-PROTECT aiuta medici, farmacisti e altri operatori sanitari a realizzare un’autovalutazione dei loro sistemi di sicurezza riguardo al trattamento dei dati personali e sensibili dei loro pazienti, dotando il professionista di una checklist dinamica semplice ed efficace.

L’analisi delle misure tecniche e organizzative dei sistemi di protezione dei dati avviene attraverso questionari dinamici, che consentono di:

• verificare la conformità rispetto alle disposizioni del GDPR,
• ricevere indicazioni specifiche sui punti di attenzione in tema GDPR, sia dal punto di vista organizzativo/procedurale che tecnologico,
• predisporre automaticamente la documentazione necessaria in termini di deleghe e consensi, anche interfacciandosi con i software CGM per farmacisti e medici,
• conservare tale documentazione in modo sicuro e facile da consultare,
• gestire in maniera proattiva il registro dei trattamenti, in conformità con le prescrizioni del GDPR.

In base alle risposte ai questionari, CGM DATA-PROTECT segnala i punti critici dove è necessario intervenire per migliorare le procedure di sicurezza dei dati relativi alla salute dei pazienti, proponendo moduli di delega o autorizzazione al trattamento pronti per la stampa.

Prima di stampare i documenti, la funzione analizza tutte le risposte fornite e mostra un elenco di errori e/o incongruenze, permettendo eventuali correzioni attraverso un'analisi dei gap.

Dati protetti, professionisti della sanità più consapevoli

CGM DATA-PROTECT è un valido strumento che semplifica il monitoraggio degli obblighi delle strutture sanitarie in materia di sicurezza dei dati sensibili e personali dei pazienti.

Il sistema rispetta i principi cardine del GDPR:

• accountability e approccio basato sul rischio (attraverso analisi, autovalutazione e proattività),
• compliance (fornendo documenti e indicando punti critici e azioni da intraprendere),
• reporting (offrendo un Data breach report).

Usare un approccio basato sul rischio (come suggerisce la normativa del GDPR) è sicuramente una sfida per le strutture sanitarie, ma in prospettiva è un'opportunità per proteggersi da danni reputazionali e sanzioni economiche, nonché per costruire la fiducia dei pazienti dimostrando di proteggere i loro dati sanitari con le tecnologie più avanzate ed efficaci.