E-health: condivisione e privacy dei pazienti

30/03/2017
di Edoardo Gabbrielli

Secondo un recente sondaggio curato da EPSON che ha coinvolto professionisti del settore e-health e sanitario, dai medici di medicina generale agli specialisti agli infermieri, il 72% degli intervistati dichiara che un maggiore accesso ai dati dei pazienti migliorerebbe l’erogazione delle cure. Secondo il 76% degli intervistati, inoltre, la maggiore disponibilità di dati favorirebbe anche la condivisione di competenze sul campo, grazie alle opportunità offerte dall’accesso remoto e dalla collaborazione virtuale.

e-healthSempre dallo stesso sondaggio, emergono anche alcuni aspetti potenzialmente critici:

  • il 67% degli operatori ritiene che la tutela della privacy dei pazienti potrebbe ostacolare l’implementazione di tecnologie per la condivisione di dati;
  • il 47% pensa che una minore riservatezza dei dati sia accettabile al fine di garantire cure migliori e più efficaci;
  • il 70% degli intervistati ritiene inoltre che il problema principale potrebbe essere l’imputazione della responsabilità, soprattutto in caso di violazione dei dati personali.

Risulta evidente come la maggioranza degli operatori del settore sanitario spinga per un più ampio accesso ai dati dei pazienti, anche a discapito della loro privacy. Una richiesta comprensibile dal punto di vista operativo che non tiene però conto del costante aumento di attacchi informatici e violazioni della privacy al quale stiamo assistendo. Lo confermano i dati Clusit 2016: gli attacchi informatici compiuti con tecniche di Phishing /Social Engineering sono cresciuti del 1166%. Anche gli attacchi malware, che comprendono anche ransomware, sono aumentati del 116% e tra i settori più colpiti vi è proprio la sanità.

E-health e risposte ai rischi di attacco informatico: la General Data Protection Regulation

Per facilitare lo scambio di informazioni in ambito sanitario ed avere un accesso e una condivisione dei dati del paziente più sicuri, la GDPR (General Data Protection Regulation), ossia Il nuovo regolamento europeo sulla protezione dei dati (Reg. UE 2016/679), può venire in aiuto.

Per valutare i pericoli connessi al trattamento dei dati sensibili – quali quelli trattati in ambito sanitario – è fondamentale il cosiddetto PIA (Privacy Impact Assessment). Esso contiene un’attenta e precisa analisi del rischio, con lo scopo di prevenirlo e minimizzarlo nonché le misure previste per affrontarlo, includendo garanzie, misure di sicurezza e meccanismi adottati per garantire la protezione dei dati personali e dimostrare la compliance alla GDPR. Contiene inoltre la valutazione in merito alla necessità e proporzionalità dei trattamenti in relazione alle finalità perseguite.

Tra i sistemi che possono essere adottati per ridurre incidenti e accessi abusivi ai dati del paziente vi sono tecniche di cifratura, anonimizzazione e pseudonomizzazione. Quest’ultima fa sì che

i dati personali non possano essere più attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile” (art.4 comma 1, punto 5, Reg. UE 2016/679).

medical_24903434_lSi tratta di una soluzione utile ed efficace rendendo nulla la possibilità di correlare i dati dell’interessato alla sua identità, così che ciascun operatore autorizzato al trattamento dati – nel caso di specie il personale medico-sanitario – non avrà accesso a quelli considerati eccedenti rispetto alle sue funzioni.

Già in fase di progettazione di un trattamento è d’obbligo adottare accorgimenti tecnici e organizzativi adeguati come precisato dal principio della privacy by design. Essi dovranno essere adottati durante l’intero ciclo di vita del dato personale – dal momento della sua acquisizione fino alla cancellazione – garantendo l’esattezza, la riservatezza, nonché l’integrità del dato stesso.

La GDPR introduce anche il concetto di privacy by default, il quale stabilisce che devono essere trattati solo quei dati personali necessari alle finalità perseguite. Inoltre l’accesso a tali dati non può essere concesso ad un numero indefinito di persone. Pertanto, secondo quanto stabilito da questo principio, è importante, analizzare i differenti processi aziendali al fine di garantire un percorso coerente dei dati raccolti rendendoli disponibili in misura e modalità differenziata in base alle finalità e ai ruoli aziendali preposti. Una condivisione a fini cooperativi è dunque possibile, richiede tuttavia un’attenta fase di progettazione nel rispetto dei dettami normativi.

Reagire agli incidenti

Oltre alle disposizioni sopra citate, la GDPR prevede anche un piano di disaster recovery (art.32 GDPR).  Quest’ultimo consiste in una serie di misure tecnologiche e logistico/organizzative che hanno l’obiettivo di ripristinare sistemi, dati e infrastrutture in caso di eventi che intacchino o blocchino il sistema informativo aziendale. Questa misura risulterà di fondamentale importanza per garantire la sicurezza dei dati personali, vista la sempre maggiore richiesta di condivisione e accesso.

Un accesso e una condivisione più sicura dei dati: la blockchain

Oltre ai parametri di sicurezza forniti dal Regolamento Europeo le nuove tecnologie stesse possono venire in aiuto per garantire accesso e condivisione di dati e informazioni più sicuri. Tra queste rientra sicuramente quella denominata blockchain.

Si tratta di un registro di transazioni condiviso tra più parti che operano all’interno di una determinata rete. Nel registro vengono inserite e archiviate tutte le transazioni avvenute all’interno della rete, ovviamente in forma cifrata. Una volta inserite le informazioni, queste ultime non possono essere modificate o cancellate. Tramite blockchain è possibile tener traccia di qualsiasi tipo dato, dalle transazioni finanziarie (settore al quale viene di norma associata) fino ad un contratto. Tutto in modo indelebile e praticamente immodificabile.

Questa architettura potrebbe essere utile – grazie alle sue peculiarità –  al fine di consentire una gestione e una condivisione sicure, anche su larga scala, in caso di e-health e dati dei pazienti.

Riproduzione riservata ©

ALTRE NEWS

Anche per i privati il riconoscimento della posta elettronica certificata

In questi giorni è stato approvato il Regolamento concernente le disposizioni per l’utilizzo della posta elettronica certificata: ciò comporta l’attribuzione di valore giuridico alla trasmissione… Leggi Tutto

EU Data Protection: il commento dell’Avv. Frediani

Ieri, 17 dicembre, la Commissione Libertà Civili a Bruxelles ha votato un primo accordo informale sul nuovo testo del Regolamento europeo Data Protection. Cor.Com e… Leggi Tutto

I rivenditori PEC e Firma digitale svolgono funzioni pubbliche?

L’esercizio privato di una pubblica funzione si concretizza nell’esercizio di talune potestà pubbliche da parte di soggetti privati estranei all’amministrazione statale e discende da specifiche… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






Utilizzando questo modulo accetti la memorizzazione e la gestione dei tuoi dati da questo sito web.