E-health: condivisione e privacy dei pazienti
Secondo un recente sondaggio curato da EPSON che ha coinvolto professionisti del settore e-health e sanitario, dai medici di medicina generale agli specialisti agli infermieri, il 72% degli intervistati dichiara che un maggiore accesso ai dati dei pazienti migliorerebbe l’erogazione delle cure. Secondo il 76% degli intervistati, inoltre, la maggiore disponibilità di dati favorirebbe anche la condivisione di competenze sul campo, grazie alle opportunità offerte dall’accesso remoto e dalla collaborazione virtuale.
Sempre dallo stesso sondaggio, emergono anche alcuni aspetti potenzialmente critici:
- il 67% degli operatori ritiene che la tutela della privacy dei pazienti potrebbe ostacolare l’implementazione di tecnologie per la condivisione di dati;
- il 47% pensa che una minore riservatezza dei dati sia accettabile al fine di garantire cure migliori e più efficaci;
- il 70% degli intervistati ritiene inoltre che il problema principale potrebbe essere l’imputazione della responsabilità, soprattutto in caso di violazione dei dati personali.
Risulta evidente come la maggioranza degli operatori del settore sanitario spinga per un più ampio accesso ai dati dei pazienti, anche a discapito della loro privacy. Una richiesta comprensibile dal punto di vista operativo che non tiene però conto del costante aumento di attacchi informatici e violazioni della privacy al quale stiamo assistendo. Lo confermano i dati Clusit 2016: gli attacchi informatici compiuti con tecniche di Phishing /Social Engineering sono cresciuti del 1166%. Anche gli attacchi malware, che comprendono anche ransomware, sono aumentati del 116% e tra i settori più colpiti vi è proprio la sanità.
E-health e risposte ai rischi di attacco informatico: la General Data Protection Regulation
Per facilitare lo scambio di informazioni in ambito sanitario ed avere un accesso e una condivisione dei dati del paziente più sicuri, la GDPR (General Data Protection Regulation), ossia Il nuovo regolamento europeo sulla protezione dei dati (Reg. UE 2016/679), può venire in aiuto.
Per valutare i pericoli connessi al trattamento dei dati sensibili – quali quelli trattati in ambito sanitario – è fondamentale il cosiddetto PIA (Privacy Impact Assessment). Esso contiene un’attenta e precisa analisi del rischio, con lo scopo di prevenirlo e minimizzarlo nonché le misure previste per affrontarlo, includendo garanzie, misure di sicurezza e meccanismi adottati per garantire la protezione dei dati personali e dimostrare la compliance alla GDPR. Contiene inoltre la valutazione in merito alla necessità e proporzionalità dei trattamenti in relazione alle finalità perseguite.
Tra i sistemi che possono essere adottati per ridurre incidenti e accessi abusivi ai dati del paziente vi sono tecniche di cifratura, anonimizzazione e pseudonomizzazione. Quest’ultima fa sì che
“i dati personali non possano essere più attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile” (art.4 comma 1, punto 5, Reg. UE 2016/679).
Si tratta di una soluzione utile ed efficace rendendo nulla la possibilità di correlare i dati dell’interessato alla sua identità, così che ciascun operatore autorizzato al trattamento dati – nel caso di specie il personale medico-sanitario – non avrà accesso a quelli considerati eccedenti rispetto alle sue funzioni.
Già in fase di progettazione di un trattamento è d’obbligo adottare accorgimenti tecnici e organizzativi adeguati come precisato dal principio della privacy by design. Essi dovranno essere adottati durante l’intero ciclo di vita del dato personale – dal momento della sua acquisizione fino alla cancellazione – garantendo l’esattezza, la riservatezza, nonché l’integrità del dato stesso.
La GDPR introduce anche il concetto di privacy by default, il quale stabilisce che devono essere trattati solo quei dati personali necessari alle finalità perseguite. Inoltre l’accesso a tali dati non può essere concesso ad un numero indefinito di persone. Pertanto, secondo quanto stabilito da questo principio, è importante, analizzare i differenti processi aziendali al fine di garantire un percorso coerente dei dati raccolti rendendoli disponibili in misura e modalità differenziata in base alle finalità e ai ruoli aziendali preposti. Una condivisione a fini cooperativi è dunque possibile, richiede tuttavia un’attenta fase di progettazione nel rispetto dei dettami normativi.
Reagire agli incidenti
Oltre alle disposizioni sopra citate, la GDPR prevede anche un piano di disaster recovery (art.32 GDPR). Quest’ultimo consiste in una serie di misure tecnologiche e logistico/organizzative che hanno l’obiettivo di ripristinare sistemi, dati e infrastrutture in caso di eventi che intacchino o blocchino il sistema informativo aziendale. Questa misura risulterà di fondamentale importanza per garantire la sicurezza dei dati personali, vista la sempre maggiore richiesta di condivisione e accesso.
Un accesso e una condivisione più sicura dei dati: la blockchain
Oltre ai parametri di sicurezza forniti dal Regolamento Europeo le nuove tecnologie stesse possono venire in aiuto per garantire accesso e condivisione di dati e informazioni più sicuri. Tra queste rientra sicuramente quella denominata blockchain.
Si tratta di un registro di transazioni condiviso tra più parti che operano all’interno di una determinata rete. Nel registro vengono inserite e archiviate tutte le transazioni avvenute all’interno della rete, ovviamente in forma cifrata. Una volta inserite le informazioni, queste ultime non possono essere modificate o cancellate. Tramite blockchain è possibile tener traccia di qualsiasi tipo dato, dalle transazioni finanziarie (settore al quale viene di norma associata) fino ad un contratto. Tutto in modo indelebile e praticamente immodificabile.
Questa architettura potrebbe essere utile – grazie alle sue peculiarità – al fine di consentire una gestione e una condivisione sicure, anche su larga scala, in caso di e-health e dati dei pazienti.