Telemedicina: come proteggere i dati sanitari
Per una telemedicina che tuteli i dati sanitari, tutti i requisiti coinvolti nell’acquisizione, gestione e utilizzo dei dati sensibili dei pazienti, devono essere coordinati tra loro.
Quali misure adottare per una telemedicina che tuteli i dati sanitari
È necessario ampliare il perimetro della sicurezza informatica affinché includa i diversi livelli sui quali il rischio può manifestarsi, così da poterlo mitigare, sia all’interno che all’esterno delle strutture ospedaliere. Questi livelli spaziano dalle case e dalla sensibilità dei pazienti, fino alla programmazione dei device medicali, dalla formazione dei professionisti sanitari alla stipula di un’assicurazione cyber che copra il rischio residuo dopo gli interventi di prevenzione e assicuri un supporto tecnico attivo nel momento della necessità. Nello specifico, vanno analizzati tre punti chiave.
Tecnologia
Non tutti i pazienti sono provvisti di una connessione stabile a Internet o sono in grado di utilizzare gli strumenti tecnologici necessari. La rete da cui il paziente si connette è solitamente la rete domestica, con bassi livelli di protezione. Pertanto, dal punto di vista tecnologico occorre capire se ci sono i prerequisiti fondamentali per attuare i servizi di assistenza a distanza.
Bisogna predisporre un’infrastruttura tecnologica sicura che risponda alle esigenze della singola prestazione. Nelle visite online, per esempio, sarà necessaria una piattaforma web securizzata, in modo tale da garantire un accesso facile e sicuro, mentre nel caso del telemonitoraggio, la complessità aumenta perché sono più numerosi i dati scambiati e da proteggere. Il sistema utilizzato per la comunicazione medico-paziente, per esempio, deve garantire la sicurezza della chiamata e delle informazioni coinvolte. Questa comunicazione si basa in un modo o nell’altro su sistemi esterni non controllati dalla struttura sanitaria, per cui occorre considerare la possibilità di accesso di terzi alle comunicazioni.
Anche il rapporto con i produttori dei device è fondamentale. La sicurezza dei dati sanitari è un valore da tutelare sia dal punto di vista tecnologico che legale, in particolare definendo le obbligazioni contrattuali tra le parti coinvolte nell’erogazione dei servizi. Attualmente, per esempio, vediamo come le informazioni raccolte dai dispositivi medicali vengano gestite da piattaforme proprietarie dei fornitori, spesso all’insaputa del responsabile della protezione dei dati (DPO) del centro sanitario. È necessario garantire aspetti legali quali il trattamento a cui sono sottoposte le informazioni da parte del fornitore, l’adeguatezza di eventuali trasferimenti internazionali di dati e il periodo di conservazione dei dati nei sistemi esterni al centro sanitario.
In questa fase è necessario instaurare un dialogo con tutti i produttori per capire come monitorare il rischio e rendere queste infrastrutture tecnologiche sicure.
Formazione
La formazione dei professionisti è un processo importante per costruire una sanità valida e performante a livello tecnologico. Nel caso della telemedicina, prima di avviare qualsiasi prestazione, è necessario formare gli operatori e i pazienti sul rischio cyber e su come riconoscere e gestire un attacco informatico prima che si diffonda all’interno dell’ospedale.
Riservatezza, integrità e disponibilità devono essere garantite da qualsiasi piattaforma di telemedicina e implementate da personale formato periodicamente.
Assicurazione
Poiché nella pratica sanitaria usiamo sempre più strumenti elettromedicali e facciamo ricorso alla telemedicina, per quanto sia possibile mitigare i danni e prevenire gli attacchi cyber, c’è sempre una componente di rischio residuo che non può essere evitata.
Gli attacchi informatici sono sempre più frequenti: per essere pronti ad affrontare anche questi rischi, le strutture ospedaliere possono ricorrere a una polizza assicurativa contro i danni informatici che non solo copra il danno finanziario e il rischio di danni a terzi, ma che preveda anche un supporto tecnico attivo per il cliente, in caso di necessità.
La percezione del rischio cyber è in aumento tra il personale sanitario. Nonostante ciò, la percezione della necessità di sottoscrivere una polizza cyber è ancora molto bassa. Non è sufficientemente diffusa la cultura dell’assicurazione per il rischio cyber, né è percepito particolarmente il bisogno o il vantaggio della sottoscrizione di una copertura adeguata.
Relyens è in prima linea nell’azione contro i rischi informatici, in particolare con l’offerta del suo partner tecnologico CyberMDX. Occorre diffondere consapevolezza sui rischi reali e sul costo dei danni che potrebbero insorgere all’interno delle strutture ospedaliere qualora i rischi cyber venissero trascurati.
Per una telemedicina che tuteli i dati sanitari, tutti i requisiti coinvolti nell’acquisizione, gestione e utilizzo dei dati sensibili dei pazienti, devono essere coordinati tra loro.
Telemedicina e rischi cyber, gli aspetti da monitorare
Uno dei cambiamenti più importanti a cui stiamo assistendo nella prestazione di servizi sanitari è l’assistenza a distanza. La creazione dell’infrastruttura tecnologica e organizzativa necessaria per la diffusione della teleassistenza è stata fortemente accelerata dalla pandemia e rappresenta, per la sanità, uno dei capisaldi del PNRR.
Dal punto di vista della cyber security, la telemedicina presenta rischi significativi che richiedono un’analisi specifica, poiché coinvolgono i dati sanitari dei pazienti. I rischi correlati possono incidere non solo sulla loro riservatezza, ma anche sull’aggiornamento dei dati anamnestici. Inoltre, potrebbero compromettere il funzionamento delle sempre più diffuse apparecchiature elettromedicali e la correttezza della diagnosi e del trattamento.
La connessione e lo scambio dei dati sanitari tra dispositivi in rete, all’interno e all’esterno della struttura, presenta diverse vulnerabilità. A causa della pressione della pandemia, questi rischi non sempre sono stati gestiti adeguatamente. La connessione delle reti sanitarie ai sistemi di telemedicina, infatti, può diventare un nuovo vettore di attacco per la rete ospedaliera, che deve quindi essere protetta con le misure necessarie per tutelare i dati dei pazienti e il funzionamento della struttura.
Ora, con la pubblicazione delle linee guida del Ministero della Salute e i Fondi del PNRR, l’Italia ha un’occasione unica per la creazione di una telemedicina secure by design fin dalla sua concezione.