Home Blog Protezione di base IT: guadagnare fiducia grazie a dati sicuri dei pazienti

Protezione di base IT: guadagnare fiducia grazie a dati sicuri dei pazienti

Daniel Huser

11.10.2024 - Instagram, Protezione dei dati & sicurezza

I dati dei pazienti sono un obiettivo redditizio per i criminali informatici. Il modo in cui il medico delinea le responsabilità e le procedure relative ai dati influisce notevolmente sulla vulnerabilità del relativo studio medico. Grazie ai nostri consigli potrete garantire una maggiore sicurezza e rafforzare il legame di fiducia con le vostre pazienti e i vostri pazienti.
I medici sono uno dei gruppi professionali che godono di maggiore fiducia da parte della popolazione. Gli psicologi dell’Università di Basilea sono riusciti a dimostrare addirittura che questa fiducia influisce positivamente sulla soddisfazione, sul comportamento in materia di salute, sulla qualità della vita e sui disturbi percepiti soggettivamente dalle pazienti e dai pazienti.Nel processo di digitalizzazione, i dati dei pazienti non sono più conservati direttamente nel cassetto del medico di fiducia ma, in formato digitale, nel sistema dello studio medico. Tuttavia, i dati medici personali, altamente sensibili sono un obiettivo lucrativo per i criminali informatici e richiedono, pertanto, particolare protezione. Vi illustreremo le misure organizzative principali per proteggere adeguatamente questi dati e guadagnare la fiducia dei vostri pazienti nei vostri confronti e nel vostro studio medico anche nell’era digitale.

Chiarite questi due ruoli nell’organizzazione del vostro studio medico

Con la nuova Legge sulla protezione dei dati, dal 1° settembre 2023 sono entrati in vigore nuovi obblighi di legge che richiedono alcuni adeguamenti o ampliamenti rispetto alle precedenti linee guida e procedure di trattamento dei dati personali. La Direzione – ovvero la titolare o il titolare dello studio medico – rimane il principale Responsabile della sicurezza dei dati, della protezione dei dati e delle tecnologie di informazione e comunicazione (ICT) disponibili. Tuttavia è consigliabile definire chiaramente due ruoli nell’organizzazione dello studio medico, soprattutto alla luce dei nuovi e più severi requisiti di sicurezza: il ruolo del Responsabile della protezione e della sicurezza dei dati (R-PSD) e il ruolo del Responsabile dell’esercizio ICT.
Il Responsabile della protezione e della sicurezza dei dati definisce

Il Responsabile della protezione e della sicurezza dei dati definisce i requisiti di sicurezza e ne verifica l’attuazione e l’osservanza. Stabilisce chi può accedere a quali dati e risorse nonché gestisce le corrispettive autorizzazioni.

Responsabile IT

Il Responsabile dell’esercizio ICT si occupa della strutturazione, dell’esercizio e della manutenzione dell’ambiente ICT all’interno dell’azienda. È responsabile dell’implementazione dei requisiti in materia di protezione e sicurezza dei dati a livello tecnico.

Se questi compiti non sono chiaramente delegati, la titolare o il titolare dello studio medico funge da Responsabile della protezione e della sicurezza dei dati e da Responsabile dell’esercizio ICT.

Per evitare conflitti di interesse, la posizione del Responsabile della protezione dei dati non dovrebbe idealmente essere ricoperta dal Responsabile IT o HR poiché, in questo doppio ruolo, dovrebbe verificare essa stessa le proprie decisioni. Questa definizione delle responsabilità fa sì che la protezione e la sicurezza dei dati vengano affrontate dallo studio medico come argomento interno ma anche che sia disponibile un referente per le sfide e i relativi quesiti. Un rispettivo accordo scritto riguardante questa attività viene stipulato con il prescelto Responsabile della protezione dei dati.

Scaricate a tale riguardo il nostro modello di accordo.

Riservatezza o segretezza: classificate i vostri dati

Le ragioni per proteggere i dati possono essere diverse. I dati personali vanno, ad esempio, trattati con riservatezza sulla base di requisiti legali. Lo scopo della classificazione dei dati è quello di definire e categorizzare la necessità di protezione dei dati esistenti. Le varie categorie determinano quanto e come determinate informazioni debbano essere protette e gestite. Questo aspetto deve essere preso in considerazione anche nell’archiviazione dei dati.
Le quattro classi di informazioni

PUBBLICO
I dati e le informazioni classificati come pubblici sono pubblicati o destinati alla pubblicazione. Ad esempio Rapporti di gestione pubblici, materiale pubblicitario o contenuti di un sito web esterno.

INTERNO
Sebbene questi dati e queste informazioni siano interni e non destinati alla pubblicazione, la loro pubblicazione non avrebbe alcuna conseguenza negativa o ne avrebbe solo una minima. Ad esempio la corrispondenza con i fornitori ma anche modelli o piani e vari altri documenti.

RISERVATO
La pubblicazione di informazioni rientranti nella classe di dati «Riservato» comporta conseguenze legali, finanziarie o reputazionali. La pubblicazione involontaria deve quindi essere impedita. Ad esempio informazioni sui clienti e sul personale, dati finanziari interni o informazioni sugli stipendi.

SEGRETO
I dati e le informazioni segreti richiedono particolare protezione. Se dovessero cadere in mani sbagliate, le conseguenze potrebbero essere di vasta portata. Ad esempio dati sulla salute e sui pazienti.

La protezione delle informazioni può essere illimitata o limitata nel tempo oppure può cambiare in modo permanente, ad esempio in caso di pubblicazione di informazioni riservate. La verifica periodica della classe di informazioni e il suo eventuale adeguamento spettano in via esclusiva all’R-PSD o alla titolare o al titolare dello studio medico.La classe corrispondente (SEGRETO o RISERVATO) deve essere chiaramente visibile su ogni pagina dei documenti. La nota deve essere apposta su altri supporti di dati in modo tale da non poter essere trascurata. I documenti non classificati ottengono automaticamente lo stato INTERNO. La tiratura di documenti segreti deve essere ridotta al minimo.

Corretto smaltimento di informazioni sensibili

Nel caso di informazioni SEGRETE e RISERVATE si deve garantire che venga adottato un metodo di smaltimento che renda impossibile, in modo permanente, il relativo recupero. Le presenti informazioni si applicano per analogia anche ai dispositivi che devono essere riparati. Se possibile, i dati devono essere cancellati prima della riparazione. In caso contrario è necessario rimuovere il disco rigido o addirittura distruggere l’intero dispositivo. Per motivi di sicurezza si consiglia di non vendere apparecchiature informatiche non più necessarie e contenenti dati sensibili. A tal fine è possibile scaricare il nostro Foglio informativo «Smaltimento dati».

L’elenco d’inventario IT come guida nel panorama informatico

L’elenco d’inventario IT costituisce la base dell’organizzazione dello studio medico in termini informatici. Questo perché solo i sistemi conosciuti dallo studio medico possono essere protetti. L’elenco d’inventario IT serve come panoramica di tutti i dispositivi: dai computer e supporti di dati ai dispositivi medici e di laboratorio nonché sistemi operativi e diritti di accesso. La definizione delle procedure è altrettanto importante. Responsabilità non assegnate o assenze per ferie o malattia possono comportare rapidamente un quadro incompleto o non aggiornato del panorama informatico.

Scaricate il nostro modello dell’elenco d’inventario IT.

Abbiamo pubblicato già tre articoli sul Blog riguardo alla protezione di base IT. Il primo riguarda il backup, il secondo è inerente alla protezione della rete e il terzo verte sulla protezione degli accessi. Gli articoli vi aiuteranno a creare il vostro elenco d’inventario IT e a mantenerlo aggiornato.

Considerate anche la sicurezza fisica del vostro studio medico

Il tema della sicurezza dei dati è spesso limitato alla sfera digitale. Tuttavia, un approccio olistico comprende anche la progettazione dei locali – un prerequisito essenziale per l’esercizio sicuro di uno studio medico. Gli ambienti devono essere allestiti in modo che le persone che entrano siano immediatamente riconoscibili. I dati fisici devono essere chiusi a chiave o distrutti – e gli schermi devono essere posizionati in modo tale che solo le persone autorizzate possano vederli. I server, i componenti di rete, gli archivi digitali e i dischi rigidi esterni devono essere utilizzati e conservati, per quanto possibile, in un locale non accessibile a terzi. Anche questo locale deve essere chiuso a chiave. Se non è disponibile un locale separato, questi componenti devono essere collocati in un apposito armadio serrabile a chiave.

Le procedure hanno finalità preventive

Definendo responsabilità, procedure e misure sarete in grado di reagire rapidamente in caso di richieste critiche o di emergenza – e sarete soggetti a meno perdite di dati o di reputazione. Occuparsi attivamente della sicurezza dei dati è quindi un lavoro preventivo che ripaga. Con l’attuazione delle nostre raccomandazioni e dei Requisiti minimi della FMH per la protezione di base IT creerete un clima di fiducia e tranquillità per voi e i vostri dipendenti. E fornirete alle vostre pazienti e ai vostri pazienti la certezza che i loro dati sono in mani sicure.
Ulteriori informazioni

Health Info Net SA: Modello di accordo Responsabile della protezione dei dati

Health Info Net SA: Foglio informativo «Smaltimento dati»

Health Info Net SA: Modello d’inventario IT

Autor: Daniel Huser - Membro della Direzione estesa, Responsabile gestione progetti & architettura informatica

In qualità di esperto di soluzioni e progetti innovativi, informo in merito a nuovi prodotti, nuovi servizi ma anche su collegamenti a nuove applicazioni di fornitori terzi. Vi offro inoltre la possibilità di dare un’occhiata in anteprima alle soluzioni in arrivo. Con me farete un tuffo nello straordinario mondo dell’ingegneria e scoprirete in che modo è possibile creare le soluzioni ancor prima che nascano i problemi.

Per saperne di più su Daniel