Sanità digitale, soggetti e strumenti per la data protection

cartella clinica

Il Ministero della Salute ha avviato politiche di sanità digitale (e promosso una conseguente eHealth Information Strategy) per avviare l'utilizzo di strumenti basati sulle tecnologie dell'informazione e della comunicazione finalizzati a sostenere e promuovere la prevenzione, la diagnosi, il trattamento e il monitoraggio delle malattie e la gestione della salute e dello stile di vita.

In Italia, attualmente, le iniziative di sanità digitale interessano i seguenti aspetti:

• Centro Unico di Prenotazione (CUP)
• Fascicolo Sanitario Elettronico (FSE)
• Certificati telematici di malattia
• ePrescription (ricetta medica elettronica) e
• Telemedicina

Presupposti comuni alla loro realizzazione sono l’armonizzazione delle soluzioni di Sanità in rete e la dematerializzazione dei documenti sanitari.
Per quanto concerne il primo punto, il Ministero della Salute ha individuato tre direttrici strategiche di intervento, il cui obiettivo è quello di supportare la realizzazione di sistemi informativi sul territorio che possano essere concretamente di supporto alla cura del paziente oltre che al governo del Sistema Sanitario Nazionale.

La prima è la definizione di linee guida per i sistemi informativi sul territorio, la seconda è la definizione di “linguaggi comuni” e, infine, la creazione dei fattori abilitanti tra cui un ruolo primario riguarda privacy e sicurezza.

Per quanto riguarda la dematerializzazione dei documenti sanitari, il Ministero della Salute sta conducendo una serie di attività e ha elaborato un documento recante “Linee guida per la dematerializzazione della documentazione clinica in diagnostica per immagini”. Inoltre, già dal 2013 (articolo 13 comma 5 del decreto legge del 18 ottobre 2012, n.179) è stato sancito che la conservazione delle cartelle cliniche possa essere effettuata anche solo in forma digitale.
Questa spinta verso la dematerializzazione amplifica le tematiche di data protection.

I requisiti per la data protection dei pazienti

Mantenere la sicurezza dei dati dei pazienti è un compito complesso che interessa: ogni dipendente della struttura sanitaria, tutti i sistemi informatici che utilizza, ogni componente dell'ecosistema IoT sanitario e tutti i fornitori, i partner e gli assicuratori che lavorano con il provider di assistenza sanitaria.

Il conseguimento di tale obiettivo richiede di predisporre le misure per garantire uno scambio in sicurezza delle informazioni dei pazienti, proteggere l'integrità delle applicazioni mediche, controllare dipendenti, clienti, fornitori, pazienti e partner che accedono alle applicazioni e ai sistemi sanitari.

Si tratta di una portata di intervento molto ampia che oggi difficilmente è coperta nella sua totale interezza. Tra gli errori più grossolani vi è quello di concentrare le misure di sicurezza IT sui sistemi interni evitando di sottoporre ad adeguate verifiche le misure di sicurezza di fornitori e terze parti che potrebbero avere legittimo accesso a dati riservati.

Un altro aspetto è di predisporre le misure di sicurezza per resistere agli attacchi provenienti dall’esterno trascurando a volte i più elementari metodi preventivi per gli attacchi che arrivano da dipendenti e operatori interni.

I soggetti interessati

Le esigenze di sicurezza dei dati sanitari e della privacy interessano diversi ambiti e soggetti: gli utenti, gli erogatori di servizi, la salute pubblica e le strutture intra-sanitarie.
A ognuna di queste aree corrispondono specifiche esigenze di protezione dei dati.

Utenti del sistema sanitario

L’aspetto della sicurezza che interessa gli utilizzatori del sistema di assistenza sanitaria è legato, essenzialmente, alla gestione dei dati sensibili, personali e sanitari.
I temi di sicurezza intervengono in aspetti quali la gestione delle cartelle cliniche personali e dei sistemi basati su Web di cartella elettronica. Le conseguenze della mancata protezione dei dati possono portare al furto di identità medica e anche a ripercussioni economiche sull’utente.
Altri temi che interessano gli utilizzatori riguardano il trattamento delle informazioni che li riguardano in caso di partecipazione a test clinici e quelli legati ai processi di consenso informato e di autorizzazione volontaria alla diffusione dei propri dati.
In questo contesto le tecnologie di sicurezza da adottare sono essenzialmente quelle di garanzia della privacy, in accordo a tutti i requisiti normativi (GDPR in cima a tutti). Vanno però considerati anche strumenti per la gestione dei rischi finanziari che sono associati alla violazione della privacy e indirizzati a inibire il possibile furto di identità medica.

Fornitori di prestazioni sanitarie

Per chi eroga prestazioni sanitarie, i driver dell'adozione di soluzioni di sicurezza IT si estendono all'impatto che le tecnologie informatiche possono avere sugli errori medici, sulla telemedicina, sul “pervasive computing” nell’assistenza sanitaria, sulla gestione operativa e sull’adozione di nuove tecnologie come RFID e IoT.
Altri temi riguardano aspetti quali la progettazione e lo sviluppo dei sistemi di controllo degli accessi, la garanzia di integrità delle informazioni, la sicurezza della rete, la gestione delle policy sulla privacy, i processi di assessment e il risk management.

Salute pubblica

Le policy di sicurezza hanno una rilevanza in relazione al tema della Salute Pubblica, relativamente ad aspetti quali la ricerca medica, le reti sanitarie informative, i meccanismi di risposta alle epidemie e alle emergenze sanitarie e il tema dei pagamenti delle cure mediche.
In questo contesto sono pertinenti, per esempio, lo sviluppo di standard di interoperabilità dei dati, le soluzioni per controllare e garantire nel tempo la conformità ai requisiti normativi, i programmi di social welfare e la predisposizione di modalità di accesso sicuro ai dati.

Strutture intra-sanitarie

Gli aspetti inter-organizzativi nella gestione dei dati sanitari riguardano, per esempio, la subfornitura di servizi sanitari, la progettazione e lo sviluppo di reti intra-sanitarie e l'adozione di soluzioni di Enterprise Data Integration.
Da questi hanno origine problemi di sicurezza e privacy come il controllo degli accessi e dei privilegi, l'interoperabilità dei dati, la sicurezza a livello di rete multi istituzionale e il controllo antifrode.

Violazione dei dati sanitari

Uno studio di Ponemon Institute (Sixth Annual Benchmark Study on Privacy & Security of Healthcare Data, maggio 2016) mostra che quasi il 90% delle organizzazioni sanitarie ha subito violazioni dei dati negli ultimi due anni e, di queste, il 45 % ne ha avute più di cinque.

Le stime basate sui risultati di questo studio suggeriscono che il costo medio consolidato delle violazioni dei dati nel settore sanitario è pari a 6,2 miliardi di dollari
I principali punti problematici per le organizzazioni sanitarie si confermano i dipendenti negligenti o incauti (69% degli intervistati), gli attacchi dall’esterno da parte del cyber crimine (45% degli intervistati) e l'utilizzo insicuro dei dispositivi mobili (30%).Tra le altre cause di violazioni figurano anche le carenze delle terze parti, gli attacchi dolosi da parte di insider e il furto.

Un altro studio pubblicato a luglio 2017 sui rischi IT nella Sanità da The Netwrix Corporation, individua le due principali cause degli incidenti sulla sicurezza dei dati in malware (spesso installato come risultato delle azioni dei dipendenti) ed errore umano.

Lo studio del 2017 ha rivelato che esistono alcune aree chiave in cui mancano adeguate misure di protezione dei dati: ben il 38% degli intervistati ha dichiarato che i dati non strutturati nei data center di terze parti rappresentavano un grave rischio per la sicurezza dei dati. Altre aree importanti, spesso trascurate, sono risultate il tema del BYOD (29%) e dello Shadow IT (21%).

Le minacce per la privacy

Le minacce alla privacy in ambito sanitario possono essere di tipo organizzativo e sistemico.
Le minacce organizzative derivano dall'accesso non autorizzato ai dati dei pazienti da parte di soggetti esterni che sfruttano le vulnerabilità dei sistemi di informazione oppure di soggetti interni che abusano dei loro privilegi.

La violazione della privacy legata a minacce di tipo organizzativo è molto diversificata. Può essere causata in modo accidentale (dando luogo a una divulgazione dei dati) o a motivazioni di curiosità del personale interno. I fenomeni di violazione possono avvenire per profitto o per vendetta, da parte di insider o estranei, a seguito di un’intrusione fisica o un’infiltrazione nella rete informatica, per ottenere accesso alle informazioni dei pazienti o per rendere il sistema inutilizzabile.

Le minacce sistemiche si manifestano, invece, quando un soggetto che rientra all’interno del flusso di informazioni sanitarie ovvero che ha legalmente un accesso privilegiato a questi dati, li sfrutta con modalità che eccedono la loro destinazione d'uso. Un esempio può essere quello di una compagnia di assicurazioni che decida di negare l'assicurazione sulla vita a un paziente in base alle sue condizioni mediche oppure di un datore di lavoro che abbia accesso alle cartelle cliniche dei dipendenti e che decida, in base alle condizioni mediche, di negare una promozione o di interrompere un rapporto di lavoro.

Il controllo dell'accesso

Il controllo dell'accesso nel settore sanitario ha molti requisiti a seconda del contesto legale, delle persone e delle risorse coinvolte, all’interno di uno scenario articolato di elaborazione dei dati e di valutazione degli obiettivi di sicurezza.

L’approccio tecnologico nell’affrontare i temi di controllo dell’accesso dovrebbe, innanzitutto, essere preventivo ovvero indirizzato a minimizzare gli oneri di gestione dei privilegi, riducendo il numero di autorizzazioni e ruoli a una dimensione gestibile: un approccio che non solo migliora il livello di protezione, ma che riduce anche i costi amministrativi.

All’interno del tema del controllo dell'accesso alle informazioni, gli aspetti operativi rappresentano una sfida impegnativa. La complessità dei flussi di lavoro sanitari prevede una miriade di possibili scenari differenti, che spesso prevedono modalità di accesso più ampie del dovuto e consentono possibilità di aggiramento dei privilegi di accesso: per esempio per facilitare un'assistenza tempestiva in condizioni di emergenza.

Un primo obiettivo da perseguire (di fatto richiesto anche esplicitamente dalla normativa) è di restringere l’accesso ai dati medici di un paziente, all’interno di una struttura ospedaliera, unicamente al personale correlato al suo trattamento medico e alle corrispondenti attività amministrative (come la fatturazione). L'accesso a determinate informazioni sensibili deve poi essere limitato a specifici ruoli funzionali per garantire che tali informazioni vengano divulgate solo alle persone che hanno bisogno di conoscerle per una specifica finalità.

Il consenso alla privacy del paziente deve garantirgli di poter scegliere a quali organizzazioni consentire l’accesso ai suoi dati sanitari. In ogni caso, le regole di accesso vanno estese anche agli utilizzi secondari: per esempio un paziente potrebbe concedere l'accesso ad alcuni dei suoi dati medici a una struttura di ricerca a condizione che tutti i dati siano resi anonimi prima dell'uso.

Un altro tema legato all’accesso riguarda le condizioni in cui è possibile ignorare le restrizioni di accesso richieste dal paziente e le regole di sicurezza al fine di poter fornire assistenza in condizioni di emergenza, fornendo al medico l’immediata disponibilità dei dati medici del paziente.

La casistica è molto vasta e può comprendere esempi ancora più specifici. Si pensi alla situazione di un operatore sanitario che deve subire un intervento chirurgico nell'ospedale in cui lavora e che non desidera che membri dello staff che lavorano nello stesso reparto possano ottenere informazioni sui suoi dati medici o amministrativi.

Gli esempi riportati suggeriscono l’opportunità di affrontare l’applicazione dei principi di sicurezza già a livello di progettazione dei sistemi di controllo degli accessi e non come una serie di funzionalità da aggiungere a posteriori.

Inoltre, si evidenzia come la gestione del controllo degli accessi non sia un tema da affrontare unicamente sul piano tecnico. Fornire una protezione informatica efficace richiede, infatti, una presa di coscienza dei processi lavorativi, della struttura organizzativa e della cultura aziendale sulla sicurezza.

Integrità delle informazioni

I rischi per la sicurezza delle informazioni sono spesso associati ai temi della riservatezza e della disponibilità, messi a rischio da violazione dei dati, dagli attacchi degli hacker o dai furti. Tuttavia, uno dei concetti chiave della sicurezza delle informazioni è quello di garantire la loro integrità.

Mano a mano che si vanno creando archivi molto grandi di dati clinici dei pazienti a supporto del processo decisionale medico; la qualità e affidabilità di questi dati, diventa fondamentale per garantire processi decisionale efficaci.

Parlare di integrità dei dati sanitari significa poter garantire la completa accuratezza della cartella clinica elettronica durante il suo intero ciclo di vita ovvero predisporre policy e procedure per proteggere le informazioni sanitarie elettroniche da alterazioni o distruzioni improprie e non autorizzate.

Questo richiede la governance delle informazioni, l'identificazione dei pazienti, la convalida del proprietario dei dati, le correzioni dei log nonché l’auditing della documentazione di riferimento nel momento della presentazione delle richieste di rimborso. Nel settore sanitario, problemi di progettazione dei sistemi potrebbero trasformarsi in una seria minaccia interna all’integrità dei dati sanitari, non sempre di immediata evidenza.

Per esempio, l'integrità delle cartelle cliniche potrebbe risultare compromessa da un sistema di alerting progettato male. Recenti ricerche hanno dimostrato che un eccesso di avvisi di sicurezza può causare negli operatori un effetto da “Pierino e il lupo” ovvero una sorta di affaticamento da allarme legato all’eccesso di avviso che induce i medici a impostare meccanismi di aggiramento degli avvisi, con un conseguente impatto sulla sicurezza dei pazienti. La cartella clinica che ne consegue potrebbe non riportare tracciati di importanza significativa, omessi insieme a dati non rilevanti.

Rischio finanziario e controllo antifrode

È tristemente noto che una cifra notevole della spesa sanitaria è legata a servizi e pratiche di fatturazione fraudolenti.

I tipi più comuni di frodi commessi da fornitori di prestazioni sanitarie disonesti includono:
• esecuzione di servizi non necessari dal punto di vista medico esclusivamente allo scopo di generare rimborsi assicurativi (spesso associata a test diagnostici);
• fatturazione per servizi che non sono mai stati resi, utilizzando informazioni autentiche sui pazienti, talvolta ottenute tramite furto di identità;
• rappresentazione di trattamenti non coperti dall’assicurazione come trattamenti coperti: per esempio interventi di chirurgia estetica al naso rappresentati come interventi di ripristino del setto deviato;
• fatturazione per servizi o procedure più costosi rispetto a quelli erogati ovvero caratterizzati da codici relativi a condizioni più gravi (upcoding);
• falsificazione della diagnosi per giustificare test o interventi chirurgici;
• “spacchettamento” di servizi fatturando ogni fase di una procedura come se fosse una procedura separata.

L'uso di soluzioni IT per la sicurezza delle informazioni è in grado di migliorare ed espandere le attività anti-frode nel settore sanitario, riducendo i rischi economici per molteplici parti interessate, tra cui pazienti, organizzazioni sanitarie, Sanità Pubblica e assicurazioni.

Le misure da implementare

La legislazione sulla sicurezza dei dati sanitari e le best practice del settore richiedono alle organizzazioni sanitarie di integrare misure di sicurezza fisica, logica e di compliance.
I controlli tecnici di base per ridurre al minimo i rischi di sicurezza e conformità dovrebbero includere soluzioni software per contrastare il malware, per prevenire la perdita di dati (DLP), per l’autenticazione forte, la gestione delle patch, la cifratura, il logging e il monitoraggio delle attività.

Come è stato dimostrato in altri settori aziendali, anche e soprattutto in Sanità le sole misure tecniche non possono fornire da sole un livello di data protection adeguato in mancanza di adeguati controlli operativi.

Innanzitutto, diventa sempre più evidente la necessità di predisporre in ambito sanitario una figura aziendale o, meglio, un comitato, dedicato a controllare la sicurezza e la conformità normativa.

Inoltre, un assessment della sicurezza va previsto non in modo occasionale, ma come un processo formale e continuativo nel tempo.
Sulla base dell’assessment vanno, quindi, organizzate opportune procedure di backup, un piano di risposta agli incidenti di sicurezza, predisposta una classificazione delle informazioni, implementate policy di sicurezza periodicamente riviste e programmata un’attività costante di formazione degli operatori.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato sulle novità tecnologiche iscriviti alla newsletter gratuita.

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here