Come gestire un data breach in sanità: obblighi, tempi e sanzioni

Come gestire un data breach in sanità: obblighi, tempi e sanzioni

Gli attacchi informatici e gli errori nella gestione dei dati sono ormai all’ordine del giorno, e il settore sanitario è tra i più esposti. Un accesso non autorizzato al dossier sanitario elettronico, una e-mail inviata per errore, la pubblicazione online di referti o cartelle cliniche: tutti questi episodi rientrano nella definizione di data breach.

Ma cosa deve fare una struttura sanitaria – pubblica o privata – quando scopre una violazione?

Le tempistiche da rispettare

Il GDPR è chiaro:

  • entro 72 ore dall’avvenuta scoperta entro 72 ore dal momento in cui ne viene messo a conoscenza, il titolare del trattamento deve notificare la violazione al Garante per la protezione dei dati personali;
  • quando la violazione comporta rischi elevati per i diritti e le libertà degli interessati, occorre anche informare direttamente i pazienti coinvolti.

Ignorare o sottovalutare questi obblighi significa esporsi a sanzioni pesanti.

Gli errori più comuni

Molte strutture, ancora oggi, commettono gli stessi errori:

  • non avere una procedura interna chiara per riconoscere e segnalare un data breach;
  • sottovalutare violazioni apparentemente minori (ad esempio un referto inviato all’indirizzo sbagliato);
  • non documentare le misure correttive adottate.

Questi comportamenti, secondo le relazioni annuali del Garante, sono alla base di gran parte delle sanzioni inflitte al settore sanitario.

Come prevenire e gestire un data breach

Per ridurre i rischi è fondamentale adottare:

  • sistemi di autenticazione robusti e tracciamento degli accessi;
  • protocolli interni chiari su chi deve fare cosa in caso di violazione;
  • formazione continua del personale sanitario e amministrativo;
  • valutazioni d’impatto (DPIA) sui trattamenti più delicati.

Ma è soprattutto fondamentale: 

Documentare ogni passaggio, per poter dimostrare la conformità in caso di controlli del Garante.

OKPrivacy al tuo fianco

Con OKPrivacy, il servizio legale di Consulcesi & Partners, affianchiamo ospedali, cliniche, poliambulatori e studi medici nella gestione completa dei rischi privacy:

  • predisposizione di protocolli interni;
  • supporto nella notifica al Garante e ai pazienti;
  • consulenza preventiva per ridurre la possibilità di violazioni.

Se vuoi verificare se la tua struttura è pronta a prevenire o a gestire un data breach, contatta subito un esperto OKPrivacy

 

Torna al blog