giovedì 23 settembre 2010

USA: le violazioni dei dati piagano le istituzioni sanitarie. E in Europa?

Tipologia: analisi e prevenzione
Ambito: assistenza sanitaria/healthcare

La legislazione di tutti gli stati degli Stati Uniti, con l'eccezione di Alabama, Kentucky, New Mexico e South Dakota, prevede l'esistenza da alcuni anni di una legge che dispone la notifica alle autorità di ogni violazione della sicurezza che abbia avuto come risultato la compromissione di dati personali.
Nonostante la presenza di tali normative, molte istituzioni sanitarie sono state vittima della compromissione di dati dei loro pazienti: da quando, infatti, lo U.S. Department of Health & Human Services ha cominciato a raccogliere notizie sulle violazioni di sicurezza lo scorso anno, sono state più di 150 le strutture che hanno riportato fughe di dati che hanno coinvolto almeno 500 pazienti.
Un recente studio della FairWarning, azienda specializzata nell'auditing e nella gestione della sicurezza delle aziende sanitarie, ha evidenziato alcune interessanti caratteristiche degli incidenti analizzati negli ultimi anni. Gli esempi evidenziati di seguito costituiscono, purtroppo, quasi una norma degli incidenti di sicurezza nell'azienda media:

* ospedale da 200 posti, in contesto rurale: 24 incidenti per mese;
* struttura medica con 20 cliniche metropolitane e in aree rurali: 29 incidenti al mese;
* ospedale universitario inglese in grande città con sedi sussidiarie in provincia: 130 incidenti al mese;
* una delle principali catene ospedaliere statunitensi con diversi ospedali e cliniche affiliate nelle maggiori città: 125 incidenti al mese.

E' di particolare interesse il fatto che il rapporto mostra come lo staff di ospedali, cliniche e aziende sanitarie utilizzi i sistemi di gestione dei dati sanitari per impadronirsi delle identità di persone decedute.
Esistono poi tutta una serie di episodi che sembrano godere di una certa eccezionalità, ma che, se analizzati a fondo, possono effetivamente trovare spazio in ogni ambiente che graviti intorno al sistema sanitario di ogni paese. Eccone alcuni:

* un impiegato di un ospedale specializzato possedeva una struttura di assistenza ai malati come lavoro parallelo e ricercava potenziali clienti nel sistema informativo sanitario;
* esiste un vero interesse nei confronti delle star sportive, in particolar modo prima o dopo eventi sportivi importanti;
* in un importante ospedale, dove é stato commesso un omicidio, i sospettatti avevano esaminato le cartelle elettroniche di alcune persone che nei giorni successivi sono state dichiarate morte;
* alcune strutture sanitarie cittadine e di provincia hanno individuato l'utilizzo dei sistemi informativi da parte del proprio staff che ha utilizzato record EHR per impadronirsi delle identità dei pazienti deceduti e commettere crimini finanziari;
* migliaia di dati sono stati l'obiettivo dell'accesso da parte di dipendenti delle strutture sanitarie che hanno poi passato le informazioni a membri della propria famiglia e amici.

E' logico supporre che queste tipologie di incidenti non accadano solo negli Stati Uniti, ma il fatto che se ne parli è indotto dalla presenza di normative stringenti in grado di sanzionare l'azienda che non ha dato comunicazione tempestiva ai propri pazienti/clienti di una violazione di sicurezza.
La normativa italiana (Decreto legislativo 30 giugno 2003, n. 196) e quella Svizzera (Legge federale sulla protezione dei dati (LPD) del 19 giugno 1992) non richiedono tale azione da parte dell'azienda vittima di violazione.
In Europa, solo il Regno Unito ha adottato una normativa del tutto simile a quelle in vigore negli Stati Uniti, attraverso il Data Protection Act.
L'Unione Europea si è fino ad ora focalizzata solo sul versante digitale del trattamento delle informazioni: attraverso il suo Parlamento, la UE ha emanato nel 2002 la direttiva 2002/58/EC denominata E-Privacy Directive, con lo scopo di regolamentare la protezione dei dati e la provacy nell'era digitale. Nel 2009 tale direttiva è stata ampliata introducendo il nuovo concetto di notifica obbligatoria di violazione dei dati personali da parte dei fornitori di servizi ditigali e di rete.
Purtroppo non si parla di tutte le altre entità che gestiscono dati personali e l'ambito viene circoscritto unicamente al settore della comunicazione elettronica.
La Commissione è comunque cosciente di questo vuoto legislativo ed elaborerà una proposta concreta entro la fine del 2011.

Nessun commento:

Posta un commento