HOME

/

DIRITTO

/

PRIVACY 2024

/

LA PREVENZIONE DAI RISCHI DI CYBER IN AMBITO SANITARIO

La prevenzione dai rischi di cyber in ambito sanitario

Le principali normative europee che contengono indicazioni e principi declinati sulle strutture ospedaliere.

Ascolta la versione audio dell'articolo

La Sanità è uno dei settori più a rischio dal punto di vista della data protection, in quanto ogni struttura ospedaliera effettua una raccolta di dati di elevatissima sensibilità a cui le normative, sia a tema privacy che a tema cyber security, prestano particolare attenzione. Enisa, Agenzia dell’Unione europea per la cibersicurezza, è un centro di competenze in materia di sicurezza informatica in Europa. 

Aiuta l’UE e i paesi membri dell’UE a essere meglio attrezzati e preparati a prevenire, rilevare e reagire ai problemi di sicurezza dell’informazione.

Ha individuato delle soluzioni per evitare rischi e a febbraio 2020 è stato pubblicato il documento “Procurement guidelines for cyber security in hospitals”, ossia un rapporto che contiene le linee guida sulla sicurezza informatica per gli ospedali nelle varie fasi di approvvigionamento dei servizi, prodotti e infrastrutture. 

Le buone pratiche sono collegate ai tipi di approvvigionamento e alle minacce che possono mitigare, fornendo un insieme di pratiche facili da filtrare per gli ospedali che vogliono concentrarsi su aspetti particolari.

1) Le normative europee applicabili

Vediamo le principali normative europee che contengono indicazioni e principi declinati sulle strutture ospedaliere

NISD (Direttiva 2016/1148/EU, o Network and Information Security Directive)

La direttiva, recepita in Italia con il D.lgs. 18 maggio 2018, n. 65, stabilisce le misure volte a conseguire un livello comune elevato di sicurezza della rete e dei sistemi informativi nell'Unione così da migliorare il funzionamento del mercato interno.

Essa obbliga gli Stati membri ad adottare una strategia nazionale in materia di sicurezza della rete e dei sistemi informativi e, a tale proposito, istituisce un gruppo di cooperazione al fine di sostenere e agevolare la cooperazione strategica e lo scambio di informazioni tra gli Stati membri. La direttiva richiede, inoltre, che le misure di sicurezza adottate, sia a livello tecnico che organizzativo, siano proporzionate al rischio oltre che adeguate a prevenire e ridurre l’impatto che ogni incidente informatico potrebbe avere sulle reti e sui sistemi informatici in uso, garantendo la continuità del servizio offerto. 

Si prevede altresì un obbligo di notifica a carico degli OSE al Computer Security Incident Response team (CSIRT) italiano e all’autorità pubblica NIS di riferimento (il Ministero della Salute nel caso delle strutture ospedaliere) a carico degli OSE, qualora l’incidente abbia un impatto rilevante sulla continuità del servizio;

MDR (Medical Device Regulation)

Trattasi del Regolamento (Ue) 2017/745 del Parlamento Europeo e del Consiglio del 5 aprile 2017 sui dispositivi medici, che modifica la direttiva 2001/83 / CE, il regolamento (CE) n. 178/2002 e il regolamento (CE) n. 1223/2009 e che abroga Direttive del Consiglio 90/385 / CEE e 93/42 / CEE.  Questo regolamento, in vigore dal 25 maggio 2017, mira a garantire il buon funzionamento del mercato interno per quanto riguarda i dispositivi medici, prendendo come base un livello elevato di protezione della salute per i pazienti e gli utenti e tenendo conto delle piccole e medie imprese che sono attive in questo settore. Allo stesso tempo, il presente regolamento stabilisce standard elevati di qualità e sicurezza per i dispositivi medici al fine di rispondere alle preoccupazioni comuni in materia di sicurezza di tali prodotti. Entrambi gli obiettivi vengono perseguiti simultaneamente e sono inscindibilmente legati mentre l'uno non è secondario rispetto all'altro. Per quanto riguarda l'articolo 114 del trattato sul funzionamento dell'Unione europea (TFUE), il presente regolamento armonizza le norme per l'immissione sul mercato e la messa in servizio dei dispositivi medici e dei loro accessori sul mercato dell'Unione, consentendo loro di beneficiare del principio della libera circolazione delle merci.

GDPR (Regolamento UE 679/2016, o General Data Protection Regulation)

Il regolamento presta particolare attenzione ai dati sanitari in quanto appartenenti ad una categoria naturalmente sensibile, richiedendo ai Titolari e ai Responsabili del trattamento di fornire misure di sicurezza maggiori. Non solo, il Regolamento si occupa anche di responsabilizzare il Titolare chiedendogli di condurre una valutazione del rischio analitica e approfondita per parametrare meglio le relative misure tecniche ed organizzative da adottare, ossia la DPIA (data protection impact assessment). Di particolare rilevanza anche i principi, della privacy by design e by default, fondamentali nella fase di progettazione di ogni prodotto e/o servizio che riguardi il trattamento di dati.

Tra i sistemi e/o dispositivi cui prestare maggior attenzione nel processo di ricerca e selezione, Enisa individua, in particolare:

Sistemi di Informazione Clinica (Clinical Information systems): ogni tipo di software utilizzato dall’ospedale per fornire cure mediche, dai sistemi di radiologia agli archivi dei farmaci; I sistemi di informazione clinica (CIS) hanno generato opportunità per miglioramenti significativi sia nella cura del paziente che nel flusso di lavoro, ma la strada verso la perfezione è ancora lunga. Gli operatori sanitari devono ancora affrontare le sfide dello scambio, della gestione e dell'integrazione dei dati a causa della mancanza di funzionalità tra questi sistemi.

Dispositivi medici (Medical devices): con tale espressione si vuole indicare ogni tipo di hardware destinato al trattamento, al controllo o alla diagnosi (tra cui figurano anche dispositivi impiantabili largamente utilizzati come il pacemaker o i defibrillatori); Il vigente   regolamento europeo  mira a garantire il buon funzionamento del mercato interno per quanto riguarda i dispositivi medici, prendendo come base un livello elevato di protezione della salute dei pazienti e degli utilizzatori e tenendo conto delle piccole e medie imprese attive in questo settore. Nel contempo, esso fissa standard elevati di qualità e sicurezza dei dispositivi medici al fine di rispondere alle esigenze comuni di sicurezza relative a tali prodotti. Entrambi gli obiettivi sono perseguiti contemporaneamente e sono indissolubilmente legati, senza che uno sia secondario rispetto all'altro. Per quanto riguarda l'articolo 114 del trattato sul funzionamento dell'Unione europea (TFUE), il presente regolamento armonizza le norme per l'immissione sul mercato e la messa in servizio sul mercato dell'Unione dei dispositivi medici e dei relativi accessori, consentendo loro di beneficiare del principio della libera circolazione delle merci. Per quanto riguarda l'articolo 168, paragrafo 4, lettera c), TFUE, il presente regolamento fissa parametri elevati di qualità e di sicurezza per i dispositivi medici garantendo, tra l'altro, che i dati ricavati dalle indagini cliniche siano affidabili e solidi e che la sicurezza dei soggetti che partecipano a tali indagini sia tutelata.

Sistemi di assistenza remota (Remote care systems): trattasi di dispositivi che consentono di accedere all’assistenza medica da remoto, come i dispositivi SOS utilizzati per gli anziani; si tratta di un servizio di telemedicina, che consente il monitoraggio costante delle condizioni del paziente e lo svolgimento dei controlli preventivi e di controllo al di fuori delle strutture mediche. Questa forma di cura è resa possibile dall'utilizzo di dispositivi mobili che misurano i segni vitali. I risultati vengono trasmessi al Remote Medical Care Center, dove vengono analizzati automaticamente. Se vengono rilevate anomalie, il personale medico contatta il paziente e chiama un'ambulanza in caso di emergenza.

2) Cosa devono fare le aziende sanitarie

Il recepimento di quanto succintamente esposto richiede un committment forte da parte del titolare del trattamento al fine di riuscire a creare un coordinamento aziendale tra le varie funzioni, riconducibili all’ambito legale per gli aspetti formali e normativi, all’ambito organizzativo-gestionale per la ri-progettazione dei flussi informativi interni e il coinvolgimento del personale, all’ambito IT per la cyber-security.

Ciascuna di esse, per quanto di competenza, dovrà contribuire ad individuare, pianificare realizzare e monitorare non solo misure tecniche di sicurezza attuate in modo specifico al perimetro dei dati personali, in ottemperanza al GDPR, ma anche misure di sicurezza organizzative, procedurali e tecniche, tutte insieme, capaci di ridurre il rischio di compromissione di tutte le informazioni “critiche” aziendali, all’interno di un sistema di governance della sicurezza aziendale centrata sui dati come fulcro della strategia e della tattica difensiva.

Per rimanere sempre aggiornato segui il nostro Dossier gratuito sulla Privacy

La tua opinione ci interessa

Accedi per poter inserire un commento

Sei già utente di FISCOeTASSE.com?
ENTRA

Registrarsi, conviene.

Tanti vantaggi subito accessibili.
1

Download gratuito dei tuoi articoli preferiti in formato pdf

2

Possibilità di scaricare tutti i prodotti gratuiti, modulistica compresa

3

Possibilità di sospendere la pubblicità dagli articoli del portale

4

Iscrizione al network dei professionisti di Fisco e Tasse

5

Ricevi le newsletter con le nostre Rassegne fiscali

I nostri PODCAST

Le novità della settimana in formato audio. Un approfondimento indispensabile per commercialisti e professionisti del fisco

Leggi anche

LA RUBRICA DEL LAVORO · 29/10/2024 Fascicolo informatico d'impresa: pubblicate le linee guida

Le linee guida per la creazione, gestione e accesso al fascicolo informatico d'impresa presso i SUAP . Cos'è, a cosa serve, modalità di accesso

Fascicolo informatico d'impresa: pubblicate le linee guida

Le linee guida per la creazione, gestione e accesso al fascicolo informatico d'impresa presso i SUAP . Cos'è, a cosa serve, modalità di accesso

Controllo mail dipendenti: nuove sanzioni dal Garante

Ancora una sanzione significativa dal Garante per la privacy per utilizzo di un software di controllo e back up delle mail dei dipendenti

Cybersicurezza: Direttiva UE 2022/2557 CER e decreto attuativo

Cos'è la direttiva UE 2022/2557 CER (Critical entities resilience) per la sicurezza fisica e cibernetica dell'Unione europea da attuare entro il 18 ottobre. Il decreto attuativo

L'abbonamento adatto
alla tua professione

L'abbonamento adatto alla tua professione

Fisco e Tasse ti offre una vasta scelta di abbonamenti, pensati per figure professionali diverse, subito accessibili e facili da consultare per ottimizzare i tempi di ricerca ed essere sempre aggiornati.

L'abbonamento adatto alla tua professione

Fisco e Tasse ti offre una vasta scelta di abbonamenti, pensati per figure professionali diverse, subito accessibili e facili da consultare per ottimizzare i tempi di ricerca ed essere sempre aggiornati.

Maggioli Editore

Copyright 2000-2024 FiscoeTasse è un marchio Maggioli SPA - Galleria del Pincio 1, Bologna - P.Iva 02066400405 - Iscritta al R.E.A. di Rimini al n. 219107- Periodico Telematico Tribunale di Rimini numero R.G. 2179/2020 Registro stampa n. 12 - Direttore responsabile: Luigia Lumia.

Pagamenti via: Pagamenti Follow us on:

Follow us on:

Pagamenti via: Pagamenti

Maggioli Editore

Copyright 2000-2021 FiscoeTasse è un marchio Maggioli SPA - Galleria del Pincio 1, Bologna - P.Iva 02066400405 - Iscritta al R.E.A. di Rimini al n. 219107- Periodico Telematico Tribunale di Rimini numero R.G. 2179/2020 Registro stampa n. 12 - Direttore responsabile: Luigia Lumia.