Menu Chiudi

Il recente provvedimento del Garante per la Protezione dei Dati Personali nei confronti della Regione Molise, della Società Molise Dati e di Engineering Ingegneria Informatica S.p.A. ha riportato all’attenzione l’importanza della sicurezza informatica nella gestione dei dati sanitari. L’intrusione nel Portale regionale del Fascicolo Sanitario Elettronico (FSE), avvenuta tra novembre e dicembre 2022, ha evidenziato vulnerabilità che ogni struttura sanitaria deve considerare attentamente per prevenire rischi simili.

Il Caso: Un Data Breach Evitabile

L’incidente è stato causato da una falla nel sistema di autenticazione, che ha permesso a un utente autenticato con ruolo di “assistito” di manipolare la URL e accedere ai dati anagrafici, di residenza e domicilio, nonché ai referti sanitari di altri utenti. Il Garante ha ritenuto responsabili:

  • Regione Molise, titolare del trattamento, per non aver garantito adeguati controlli di sicurezza;
  • Molise Dati, responsabile dell’implementazione tecnica, per non aver verificato eventuali errori nel software;
  • Engineering S.p.A., sviluppatore del sistema, per non aver adottato misure adeguate a limitare l’accesso ai soli dati pertinenti all’utente autenticato.

Per tali violazioni, sono state comminate tre sanzioni da 10.000 euro ciascuna.

Come Proteggere i Dati Sanitari?

Questo caso dimostra quanto sia essenziale adottare un approccio proattivo alla sicurezza informatica. Ecco alcune misure fondamentali per proteggere i dati sanitari:

  1. Valutazione Periodica della Sicurezza Informatica
    Effettuare test di vulnerabilità e penetration test sui sistemi informatici per individuare e correggere eventuali falle di sicurezza.
  2. Adozione del Principio di Minimizzazione e Controllo degli Accessi
    Implementare rigorose politiche di accesso basate sui ruoli, garantendo che ogni utente possa accedere esclusivamente ai dati necessari alla sua funzione.
  3. Monitoraggio e Logging delle Attività
    Tracciare e analizzare i log degli accessi per identificare attività sospette o tentativi di accesso non autorizzati.
  4. Audit e Due Diligence sui Fornitori IT
    Verificare che i fornitori di software e servizi IT adottino standard di sicurezza adeguati e rispettino le normative vigenti in materia di protezione dei dati personali.
  5. Formazione e Sensibilizzazione del Personale
    Educare i dipendenti sulla gestione sicura dei dati e sulle migliori pratiche per prevenire attacchi informatici, come phishing e social engineering.
  6. Piano di Gestione e Risposta agli Incidenti
    Definire procedure chiare per la gestione degli incidenti di sicurezza, assicurandosi di poter intervenire tempestivamente per limitare i danni in caso di data breach.

 

La protezione dei dati sanitari è una priorità per ogni struttura che tratta informazioni sensibili. Il caso   relativo al Data breach  inerente il FSE Molise dimostra come errori di progettazione e mancate verifiche possano portare a gravi violazioni, con conseguenze economiche e reputazionali.

Se desiderate un’analisi approfondita dei vostri sistemi informatici e delle politiche di sicurezza, contattateci per una consulenza personalizzata. Proteggere i dati significa tutelare i vostri pazienti e garantire la conformità normativa.

Contattaci per una consulenza sulla sicurezza dei dati!