Molte aziende private che svolgono attività nell’ambito sanitario (laboratori di analisi, studi medici, ambulatori, etc…) fanno utilizzo di soluzioni cloud per memorizzare e proteggere i loro dati ma non sempre questa scelta viene eseguita con la dovuta attenzione. Cerchiamo di capire cosa serve per la corretta gestione dei dati sanitari.
Il primo aspetto da prendere in esame è la tipologia di dato: il dato sanitario appartiene alla categoria dei “dati particolari”, ossia quei dati che sono oggetto di misure di sicurezza elevate perché ritenuti di particolare importanza e delicatezza. Questo significa che, immaginando di voler salvare questi dati all’interno di un comune server, le misure di sicurezza da adottare dovranno essere particolarmente robuste. Nel mondo cloud è possibile affidare questi dati ai provider più conosciuti quali, a mero titolo di esempio, Microsoft, Google, DropBox, OVH, ma a patto di stringere con questi un particolare tipo di contratto.
Strumenti normativi HIPAA e HITECH
Le infrastrutture incaricate di mantenere le informazioni di tipo sanitario, infatti, dovrebbero rispettare la conformità almeno di due leggi denominati HIPAA/HITECH. HIPAA è un acronimo per Health Insurance Portability and Accountability Act ed è stato approvato nell’ormai lontano 1996. HITEC invece è un acronimo per Health Information Technology for Economic and Clinical Health Act ed è stato approvato nel 2009. Questi due strumenti normativi hanno essenzialmente due scopi: il primo è quello di garantire un’espansione del mercato tecnologico legato alla gestione delle informazioni sanitarie mentre il secondo è quello di garantire sicurezza e privacy di tali informazioni. Ne consegue che tutti i principali fornitori sono impegnati quantomeno al rispetto di questi due strumenti normativi. Affrontiamo ora alcuni aspetti rilevanti legati a questi strumenti normativi.
È molto importante capire che non esiste una certificazione HIPAA/HITECH ma è possibile comunque sapere come i fornitori stanno ottemperando ai vincoli contenuti nella norma; in molti casi queste informazioni sono pubbliche, in altri casi si possono richiedere dei documenti informativi che abbiano la funzione di garanzia.
Aspetti legati alle informazioni sanitari
Le informazioni sanitarie di cui si sta parlando sono di ogni tipologia e natura (condizioni mediche, condizioni psicologiche, prestazioni di servizi medici, anche informazioni legate ai pagamenti per servizi medici) e si fa riferimento ad un periodo temporale passato, presente e futuro. I dati sanitari sono comunemente identificati con l’acronimo PHI (Protected Health Information). Le caratteristiche tecniche legate al trattamento dei dati sanitari, prevedono l’implementazione di alcune misure specifiche quali.
- Configurazione della condivisione: le informazioni sanitarie potrebbero essere condivise con soggetti preposti ma la funzione deve essere gestibile in modo capillare e tracciabile.
- Disattivazione delle eliminazioni definitive: le informazioni non possono essere più completamente cancellate per evitare fenomeni di errore accidentale o dolosi. La necessità di ricostruire propriamente lo stato ex-ante l’incidente diventa un elemento fondante.
- Monitoraggio delle attività e dell’accesso all’account: ogni azione eseguita dai membri autorizzati ad accedere alle informazioni viene registrata all’interno di un LOG inalterabile con pieno valore legale.
- Descrizione del ruolo delle applicazioni di terze parti: In alcuni casi i servizi cloud consentono l’integrazione con applicazioni di terze parti quali, a titolo esemplificativo, strumenti gestionali, plug-in specifici, etc… È chiaro quindi che vi è un potenziale rischio nel far accedere questi strumenti ai dati sanitari contenuti all’interno della piattaforma cloud. Un esempio è quello legato ai SIEM (Security Information and Event Management), gli strumenti per il monitoraggio degli eventi.
Aspetti legati agli attori coinvolti
La HIIPA/HITEC individua alcuni attori specifici che sono a coinvolti nella gestione e nel trattamento dei dati sanitari, per avere maggiore chiarezza in merito alla definizione dei soggetti si farà riferimento alla definizione riportata dal fornitore DropBox su questa pagina:
- Entità inclusa (covered entity): è un fornitore di piani sanitari, un centro di raccolta e smistamento delle pratiche sanitarie o un fornitore di servizi medici. Queste categorie comprendono ospedali, cliniche, medici e altri che creano, ricevono o trasmettono PHI. A causa del loro contatto con PHI, le entità incluse sono responsabili della privacy e della sicurezza di tali dati in conformità con le norme HIPAA/HITECH.
- Socio (Business Associate): è un’entità che crea, riceve, conserva o trasmette PHI per conto di un’entità inclusa ed è quindi soggetta alle norme HIPAA/HITECH.
- Contratto Business Associate Agreement (BAA): è una garanzia contrattuale, che il socio in affari rilascia all’entità inclusa, di attenersi ai requisiti delle norme HIPAA. Questo contratto deve essere stipulato prima del trasferimento delle PHI dall’entità inclusa al socio in affari.
Volendo provare a ricostruire il rapporto tra i principali soggetti coinvolti nella HIPAA/HITECH è possibile fare riferimento l’immagine seguente.
L’attrito con il GDPR
Nonostante la normativa HIPAA/HITECH sia orientata specificamente al trattamento dei dati sanitari, è anche vero che nel panorama europeo il punto di contatto con il GDPR non è scontato. La prima fonte di problema è il Cloud Act di cui abbiamo parlato più approfonditamente in questo articolo. Sinteticamente possiamo dire che il Cloud Act prevede che in caso di reati penali gravi, un giudice possa autorizzare il fornitore di servizi cloud a rendere disponibili i dati oggetto d’inchiesta alle autorità americane, pur riconoscendo il diritto dei provider di contestare le richieste che entrano in conflitto con le leggi o con gli interessi nazionali di altri Paesi. Il problema è che il Cloud Act è incompatibile con il percorso giuridico che l’Europa sta intraprendendo per la tutale a dei dati personali, aprendo una spaccatura molto seria tra gli specialisti del settore. Ne consegue che i fornitori statunitensi che si sono adeguati all’HIPAA/HITEC potrebbero incorrere in problemi di sottoscrizione da parte di potenziali clienti residenti all’interno dell’Unione Europea.
Conclusioni
La gestione in cloud dei dati sanitari è un passo cruciale del processo di digitalizzazione delle strutture private e pubbliche: il punto di contatto tra diritti dell’utente, doveri del responsabile e del titolare e obblighi del fornitore è molto complesso; in aggiunta a questo c’è il quadro normativo dei vari stati che deve anche integrarsi con quello europeo. Diventa quindi essenziale riuscire a scegliere in modo adeguato il tipo di servizio cloud a cui affidare i dati sanitari: la scelta non dovrà essere esclusivamente tecnologica ma anche e soprattutto di compatibilità normativa.
2 risposte
A proposito della disattivazione delle eliminazioni definitive, mi sorge un dubbio: se, per errore, i dati sanitari di un soggetto X venissero registrati e quindi attribuiti ad un soggetto Y, a quel punto come si potrebbe ovviare ad un simile incidente? Si eseguirebbe una cancellazione non definitiva (per lasciare traccia dell’accaduto)?
Ha qualche volume da consigliare per studiare la tematica della gestione digitale dei dati sanitari?
Grazie.
Dottoressa, per quanto raro è possibile che questo accada. Per prima cosa bisogna capire di quanto dati si tratta in modo da determinare quale sia la strada migliore per procedere. Genericamente si riassegnavano i dati anagrafici all’ID utente corretto. Questo comporta una normalizzazione che viene al contempo tracciata nel LOG e si presuppone che l’intera procedura sia innescata è gestita con comunicazioni (interne) formali.