Le soluzioni di archiviazione su cloud possono far risparmiare sforzi e costi all’IT. Ma quali risvolti hanno in termini di protezione e sicurezza dei dati? A cosa devono prestare attenzione le professioniste e i professionisti della salute per garantire che i dati sensibili siano adeguatamente protetti anche nel cloud?
Questo articolo è stato pubblicato il 10 gennaio 2024 nella rivista Schweizerische Ärztezeitung.
Anche voi archiviate i vostri documenti personali in Google Drive, OneDrive, Dropbox, iCloud o con una soluzione simile di archiviazione su cloud? Sì, questa opzione di archiviazione dei dati presenta alcuni vantaggi. Ad esempio, l’accesso alle informazioni è possibile indipendentemente dal luogo in cui ci si trova e dal dispositivo che si sta utilizzando, non è richiesto alcun hardware aggiuntivo e non è necessario creare manualmente i backup. Non sorprende quindi che le soluzioni cloud stiano diventando sempre più popolari anche in ambito professionale.
Dati sanitari nel cloud?
Secondo la Legge sulla protezione dei dati, i dati sanitari sono considerati degni di particolare protezione e non c’è bisogno di rammentarvelo dal momento che siete professionisti della salute. Di conseguenza, questi dati devono essere accuratamente protetti contro l’uso improprio e l’accesso da parte di terzi, anche in caso di archiviazione o scambio tramite un cloud. L’utilizzo del cloud non è vietato e non è un male. Tuttavia, prima di utilizzare soluzioni cloud è essenziale valutarle attentamente e analizzarne i rischi. Infatti, chi ha poca responsabilità – un vantaggio del cloud – purtroppo spesso ha anche poco controllo. Se si caricano i dati su un cloud è difficile controllare cosa succede in seguito: dove sono conservati? Chi può visualizzarli ed eventualmente trattarli?
Garantire la protezione e la sicurezza dei dati
In linea di principio è necessario rispettare tre punti quando si archiviano dati sensibili: i dati devono essere protetti da furti, trattamenti non autorizzati e fughe di dati; devono essere protetti da accessi non autorizzati e da attacchi informatici; deve essere garantita la conformità alle disposizioni legali e normative. Le soluzioni cloud nel settore sanitario devono quindi essere in grado di garantire tutto questo. Di conseguenza, quando si valuta un fornitore di cloud idoneo è necessario verificare una serie di criteri. Alcuni esempi: il fornitore deve utilizzare un buon Web Application Firewall, effettuare backup regolari e disporre di un sistema di gestione degli accessi ben congegnato con le relative restrizioni.
Attenzione alle certificazioni
Controllare e confrontare un intero catalogo di criteri per diversi fornitori è complesso e richiede molto tempo. Per avere una visione d’insieme della qualità e dell’affidabilità di un fornitore ritengo che le sue certificazioni rappresentino un indicatore importante. Scoprite se le linee guida e le procedure di sicurezza del fornitore si basano su standard di sicurezza generalmente riconosciuti, come ISO 27001 o NIST (National Institute of Standards and Technology): se sì, è già garantito un buono standard di sicurezza. Inoltre, consiglio di chiedere al fornitore se rispetta i requisiti della Legge sulla protezione dei dati (LPD) e delle disposizioni esecutive dell’Ordinanza sulla protezione dei dati (OPDa).
Paese che vai, usanze che trovi
Non tutti i Paesi attribuiscono alla protezione e alla sicurezza dei dati la stessa importanza di cui godono in Svizzera. Negli Stati Uniti, ad esempio, il Patriot Act e il FISA (Foreign Intelligence Surveillance Act) non consentono di garantire una protezione dei dati conforme agli standard europei. Le aziende – e di conseguenza anche i fornitori di soluzioni cloud – sono soggette alla situazione giuridica del Paese in cui hanno sede legale. Di conseguenza, se non volete documentarvi in dettaglio sulle disposizioni in materia di protezione dei dati di altri Paesi, vi consiglio di utilizzare una soluzione cloud di un provider svizzero che mantenga sempre i vostri dati in Svizzera.
Agire con diligenza
Quello che spesso accade per la protezione e la sicurezza dei dati, vale anche per le soluzioni cloud: la diligenza è l’elemento fondamentale. Utilizzare soluzioni gratuite e non verificare prima cosa succede ai dati caricati non è certo una buona idea. Tenete sempre presente la sensibilità dei dati sanitari e scegliete con cura la vostra soluzione cloud. In caso di dubbi rivolgetevi a uno specialista informatico per ricevere assistenza.
Lucas Schult è Direttore Generale di HIN. In questa sede scrive regolarmente in materia di sicurezza digitale e protezione dei dati.