L'IFPDT (Incaricato federale della protezione dei dati e della trasparenza) ha recentemente pubblicato un rapporto: "Attacchi hacker a studi medici in Romandia". Secondo diversi media, i dati sono stati pubblicati dagli aggressori sul Dark Web: un danno difficile da quantificare. La protezione dei dati medici sensibili è un tema centrale che gli studi medici devono affrontare, anche alla luce dell'incidente di cui sopra.
Welche Daten als besonders sensibel gelten, welche datenschutzrechtlichen Vorgaben es einzuhalten gilt und welche Faktoren das Risiko minimieren, solchen Verbrechen zum Opfer zu fallen, darüber möchten wir im Folgenden einen Überblick geben, damit Sie sich und Ihre Patienten bestmöglich schützen können.
Di seguito forniamo una panoramica di quali dati sono considerati particolarmente sensibili, di quali norme sulla protezione dei dati devono essere rispettate e di quali fattori riducono al minimo il rischio di cadere vittima di tali crimini, in modo che tu possa proteggere te stesso e i tuoi pazienti nel miglior modo possibile.
Sembra quasi ovvio che stiamo discutendo della protezione dei dati, ma perché e da chi devono essere protetti? I dati sanitari possono contenere informazioni di interesse per diversi soggetti e per diverse ragioni. Sia perché possono trarne conclusioni sfavorevoli per la persona interessata, sia semplicemente per trarre profitto da questi dati. I seguenti scenari illustrano il valore dei dati per i diversi attori del settore sanitario:
Gli interessi sono diversi e spesso molto lucrosi dal punto di vista economico per le parti interessate, ma comportano sempre degli svantaggi per l'individuo. Per questo motivo, i dati sensibili – tra cui soprattutto i dati medici – sono considerati particolarmente degni di protezione.
La privacy si applica anche alla sfera digitale
Nella protezione dei dati, si fa una distinzione fondamentale tra dati personali semplici, da un lato, e dati personali particolarmente sensibili, dall'altro. Sebbene non vi sia una distinzione netta per i diversi tipi di dati, esiste una classificazione che dovrebbe essere utilizzata come base per la categorizzazione. In questo caso, è necessario definire separatamente per ogni set di dati come deve essere categorizzato. In questo contesto, si considerano dati particolarmente sensibili, ai sensi dell'articolo 3 della LPD (Legge federale sulla protezione dei dati), le informazioni su:
I dati relativi alla salute comprendono tutti i dati da cui è possibile ricavare lo stato di salute passato, presente o futuro di una persona interessata. Ciò include anche i dati relativi alla richiesta di trattamento medico e il rapporto medico-paziente in quanto tale è già considerato degno di protezione.
La qualificazione di un'informazione come contenente dati sensibili dipende spesso dal contesto.
Esempio: Se il nome viene memorizzato da uno studio medico nel corso della registrazione per una visita medica, il nome del paziente nel contesto della visita medica prevista è un record di dati sensibili che richiede una protezione speciale per quanto riguarda lo stato di salute della persona interessata. È importante notare che il nome da solo non costituisce un'informazione medica sensibile: è il contesto che crea questo requisito. 1
Se la gestione delle registrazioni per le visite mediche è affidata a un fornitore esterno, anche quest'ultimo è soggetto alle severe norme sulla protezione dei dati. Questo è uno dei motivi per cui anche noi di medicosearch effettuiamo una valutazione continua del nostro rispetto della protezione dei dati.
Con la revisione della Legge federale sulla protezione dei dati approvata dal Parlamento nel 2020, dal 1° settembre 2023 entreranno in vigore nuove leggi. Queste prevedono anche cambiamenti nella qualificazione dei dati medici per quanto riguarda il loro stato di sensibilità.
In generale, la nuova Legge sulla protezione dei dati (nLPD) è molto simile al Regolamento generale sulla protezione dei dati (RGPD) dell'UE. Questo tentativo di standardizzazione riguarda ovviamente un gran numero di punti, ma la qualificazione dei dati genetici come informazioni mediche sensibili, presente in entrambi i testi, è particolarmente rilevante.
Si pone quindi una sfida per tutti gli attori coinvolti nella raccolta, nell'elaborazione e nell'archiviazione di dati medici personali.
A prima vista, la situazione per gli studi medici è piuttosto controversa. Da un lato, la loro competenza principale riguarda il settore medico, ma dall'altro, i dati che gestiscono quotidianamente sono estremamente sensibili e devono essere protetti. Sebbene le risorse per affrontare questo problema siano limitate, una valutazione continua in questo ambito è essenziale. Sviluppare le competenze digitali all'interno dell'azienda e incoraggiare il personale a raccogliere questa sfida può contribuire ad alleggerire il peso.
Come affrontare questi argomenti specifici in qualità di istituzione sanitaria?
Il RGPD contiene 5 "principi" chiave che sono utili per una valutazione iniziale della situazione:
Tieni un elenco separato che documenti quali dati tratti e in quale sistema, dalle email dei tuoi pazienti alle ricette mediche che emetti. Nella politica sulla privacy, indica chiaramente quali dati raccogli, perché e in quale forma vengono trattati.
Anche esternalizzare alcuni processi può essere vantaggioso se i terzi garantiscono la protezione dei dati raccolti e si assumono la responsabilità della loro riservatezza. Questo è un vantaggio per le strutture sanitarie che utilizzano le prenotazioni degli appuntamenti dei pazienti tramite medicosearch.
In caso di necessità o di dubbi, si consiglia di rivolgersi a esperti esterni che valutino la situazione in relazione agli standard di protezione dei dati e forniscano consulenza, dato che le violazioni della legge applicabile possono costare molto alle persone interessate.
Lavorare insieme per una maggiore protezione nel settore sanitario
Le misure e gli approcci sopra descritti ti aiuteranno a comprendere la situazione nel tuo studio senza sottovalutare la complessità dell'argomento. Tieni presente che gestire i dati dei tuoi pazienti in modo trasparente e sicuro crea un elevato senso di fiducia ed è quindi anche uno dei modi per aumentare la fedeltà dei pazienti. Assicurati che il tuo studio medico sia conforme ai requisiti più recenti a partire da settembre 2023, in modo da poter concentrare le tue preziose risorse sulla salute dei tuoi pazienti.
Immagine di copertina di Philipp Katzenberger. Altre immagini di Jason Dent e Cytonn Photography.