Il recente provvedimento del Garante per la Protezione dei Dati Personali nei confronti della Regione Molise, della Società Molise Dati e di Engineering Ingegneria Informatica S.p.A. ha riportato all’attenzione l’importanza della sicurezza informatica nella gestione dei dati sanitari. L’intrusione nel Portale regionale del Fascicolo Sanitario Elettronico (FSE), avvenuta tra novembre e dicembre 2022, ha evidenziato vulnerabilità che ogni struttura sanitaria deve considerare attentamente per prevenire rischi simili.
Il Caso: Un Data Breach Evitabile
L’incidente è stato causato da una falla nel sistema di autenticazione, che ha permesso a un utente autenticato con ruolo di “assistito” di manipolare la URL e accedere ai dati anagrafici, di residenza e domicilio, nonché ai referti sanitari di altri utenti. Il Garante ha ritenuto responsabili:
- Regione Molise, titolare del trattamento, per non aver garantito adeguati controlli di sicurezza;
- Molise Dati, responsabile dell’implementazione tecnica, per non aver verificato eventuali errori nel software;
- Engineering S.p.A., sviluppatore del sistema, per non aver adottato misure adeguate a limitare l’accesso ai soli dati pertinenti all’utente autenticato.
Per tali violazioni, sono state comminate tre sanzioni da 10.000 euro ciascuna.
Come Proteggere i Dati Sanitari?
Questo caso dimostra quanto sia essenziale adottare un approccio proattivo alla sicurezza informatica. Ecco alcune misure fondamentali per proteggere i dati sanitari:
- Valutazione Periodica della Sicurezza Informatica
Effettuare test di vulnerabilità e penetration test sui sistemi informatici per individuare e correggere eventuali falle di sicurezza. - Adozione del Principio di Minimizzazione e Controllo degli Accessi
Implementare rigorose politiche di accesso basate sui ruoli, garantendo che ogni utente possa accedere esclusivamente ai dati necessari alla sua funzione. - Monitoraggio e Logging delle Attività
Tracciare e analizzare i log degli accessi per identificare attività sospette o tentativi di accesso non autorizzati. - Audit e Due Diligence sui Fornitori IT
Verificare che i fornitori di software e servizi IT adottino standard di sicurezza adeguati e rispettino le normative vigenti in materia di protezione dei dati personali. - Formazione e Sensibilizzazione del Personale
Educare i dipendenti sulla gestione sicura dei dati e sulle migliori pratiche per prevenire attacchi informatici, come phishing e social engineering. - Piano di Gestione e Risposta agli Incidenti
Definire procedure chiare per la gestione degli incidenti di sicurezza, assicurandosi di poter intervenire tempestivamente per limitare i danni in caso di data breach.
La protezione dei dati sanitari è una priorità per ogni struttura che tratta informazioni sensibili. Il caso relativo al Data breach inerente il FSE Molise dimostra come errori di progettazione e mancate verifiche possano portare a gravi violazioni, con conseguenze economiche e reputazionali.
Se desiderate un’analisi approfondita dei vostri sistemi informatici e delle politiche di sicurezza, contattateci per una consulenza personalizzata. Proteggere i dati significa tutelare i vostri pazienti e garantire la conformità normativa.
Contattaci per una consulenza sulla sicurezza dei dati!