SlideShare uma empresa Scribd logo

condivisione dei dati elettronici in medicina -Vellucci

Francesco Vellucci
Francesco Vellucci
1 de 22
Baixar para ler offline
” La condivisione dei dati elettronici in medicina: sicurezza e privacy” Francesco Vellucci Comitato di Consulenza Società Italiana Telemedicina e sanità elettronica Roma, 4 dicembre 2015
09/12/2015 La condivisione dei dati elettronici in medicina: sicurezza e privacy ing Francesco Vellucci 2 • I Medici raccolgono ed utilizzano dati sia nel proprio PC che in database di varia tipologia • I Medici condividono dati con banche dati istituzionali, in cloud sul web, con altri Medici, con Pazienti, usando dati simili con finalità sanitarie ma anche amministrative • L’approvazione del Fascicolo e del Dossier sanitario offre ulteriori indicazioni alla condivisione dei dati sensibili e sanitari Alcune constatazioni Gestire appropriatamente tali dati può essere complesso e non immediato. Condividere i dati elettronici in medicina li espone maggiormente, e aumenta la possibilità che vengano diffusi illegittimamente e/o che vengano alterati nei contenuti.
Servizi Provider ADSL - Fibra Wi-FI NFC 4G Bluetooth Storage on line Drop box Private Cloud Connessioni dirette con Pazienti Monitor CHAT Servizi ASL FSE Dossier Servizi INPS Certificati Servizi Aziendali MDM Wiping Servizi di Store App Store Play Store WEB Store I canali di condivisione sono sempre più sofisticati Servizi di Messaging 09/12/2015 La condivisione dei dati elettronici in medicina: sicurezza e privacy ing Francesco Vellucci 3
• Novembre 2015: Rapporto Forrester Research sulla Cybersecurity: La più rilevante delle predizioni relative alla cybersecurity per il 2016 é: "We’ll see ransomware for a medical device or wearable." Le difese non sono ancora sufficientemente robuste 09/12/2015 La condivisione dei dati elettronici in medicina: sicurezza e privacy ing Francesco Vellucci 4 • Settembre 2015 S.Erven e M.Collao - Derby Con 5.0 (Kentucky): Una honeypot, costituita da un sistema MRI e da un defibrillatore, è stata attaccata in 6 mesi 55.416 volte da 299 malware. If you're on morphine and you can figure out how to hack your own pump" then medical device security clearly "isn't very good," Evren said.
21Ottobre2015 La Sanità è al centro dell’attenzione! 09/12/2015 La condivisione dei dati elettronici in medicina: sicurezza e privacy ing Francesco Vellucci 5
Esiste un mercato delle informazioni personali 09/12/2015 La condivisione dei dati elettronici in medicina: sicurezza e privacy ing Francesco Vellucci 6
Significa, almeno: 1. Comprendere la tipologia dei dati che si vuole condividere 2. Riferirsi alle disposizioni di legge applicabili a dette tipologie 3. Adottare le misure adeguate alla protezione dei dati condivisione responsabile Vi sono altri aspetti che rendono più o meno efficace la condivisone dei dati: la loro interoperabilità e fruibilità. Ma non ne parleremo  cosa estraggo da pdf, se non sono presenti metadati sui contenuti? • Dati personali - Dati sensibili - Dati sanitari • Codice in materia di protezione dei dati personali • Codice civile • Misure minime e Misure idonee ad evitare potenziali «danni» a terzi. In primo luogo occorre aver chiaro il tipo di dato e la finalità per la quale è utilizzato, anche e soprattutto nel momento in cui lo condividiamo. 09/12/2015 La condivisione dei dati elettronici in medicina: sicurezza e privacy ing Francesco Vellucci 7
Dati personali: qualunque informazione relativa a persona fisica, che può condurre alla sua identificazione, anche indirettamente mediante riferimento a qualsiasi altra informazione. Se i dati personali sono idonei a rivelare lo stato di salute e la vita sessuale, sono dati sensibili Sei dati sensibili, sono contemporanemente: 1) a contenuto sanitario, 2) trattati da organismi sanitari o da professionisti sanitari 3) usati al fine di proteggere la salute dell’individuo, di soggetti terzi o della collettività, allora sono Dati Sanitari 1. Comprendere la tipologia dei dati da condividere Per ciascuna tipologia è previsto l’obbligo o meno della richiesta di consenso all’Interessato ed il coinvolgimento o meno del Garante. 09/12/2015 La condivisione dei dati elettronici in medicina: sicurezza e privacy ing Francesco Vellucci 8
Oltre alla richiesta di Consenso e alla gestione della corretta Informativa, la 196 prevede l’adozione delle misure minime di sicurezza (all. tecnico B) e di quanto necessario per la protezione dei dati Personali. Tra queste: In arrivo  Nuovo Regolamento Europeo concernente la Protezione dei Dati Personali Codice in materia di protezione dei dati personali 2. Riferirsi alle disposizioni di legge applicabili • Utilizzo di un sistema di autorizzazione contro il rischio di intrusione e dell'azione di programmi malevoli. • Adozione di tecniche di cifratura o di codici identificativi per i trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari • utilizzo di credenziali di Autenticazione, e loro gestione • login + password o dispositivo di autenticazione, o caratteristica biometrica.  Password: min. 8 caratteri 09/12/2015 La condivisione dei dati elettronici in medicina: sicurezza e privacy ing Francesco Vellucci 9
Le misure minime vanno lette e implementate alla luce degli aggiornamenti tecnologici Vanno trasformate in Misure Idonee, in linea con le evoluzioni tecnologiche, adatte ad assicurare la protezione dei dati oggetto del trattamento.  Art. 15. Danni cagionati per effetto del trattamento • Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile. Chiunque cagiona danno ad altri nello svolgimento di un'attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno.  due diligence proattiva 3. Adottare le misure idonee Il concetto di «danno» aumenta gli aspetti da proteggere 09/12/2015 La condivisione dei dati elettronici in medicina: sicurezza e privacy ing Francesco Vellucci 10
Proteggere le Informazioni, condivise e non, significa adottare tutti gli accorgimenti necessari a ridurre il rischio che possano avvenire furti, manipolazioni, distruzione, alterazione, impedimento all’accesso delle informazioni Proteggere le Informazioni significa anche proteggere le funzionalità operative degli strumenti utilizzati (ad es. le app mediche, i sistemi diagnostici e analitici, i sistemi di comunicazione con il Paziente) Security promotes Safety Quindi, non solo Riservatezza (privacy) ma anche Integrità (affidabilità) e Disponibilità (accessibilità) 09/12/2015 La condivisione dei dati elettronici in medicina: sicurezza e privacy ing Francesco Vellucci 11 3. Adottare le misure idonee
I dati sensibili e sanitari, condivisi o meno, vanno tutelati da 3 punti di vista complementari: mantenere la segretezza modifica solo chi è autorizzato assicurare che le Informazioni e le infrastrutture siano accessibili quando occorre. 09/12/2015 La condivisione dei dati elettronici in medicina: sicurezza e privacy ing Francesco Vellucci 12 3. Adottare le misure idonee Es: evitare che un piano cure, un dosaggio, una diagnosi possano essere alterati! Es: impedire la diffusione non autorizzata di una diagnosi, prescrizione. Evitare di non poter accedere a dati indispensabili in emergenza. Non ripudio garanzia legale del mittente Es: Assicurare il Paziente che io sono proprio io
Proteggere gli accessi Username e password non è gran ché. • Le password non dimostrano che Mario Rossi è davvero Mario Rossi ma solo che la persona che usa lo username di Mario Rossi ha digitato la pw corretta. • Sul web è facile camuffare l’identità impersonificazione. • Spesso si riusano le stesse password usati per siti non riservati per accedere a siti più “sensibili”,!  Username e password non bastano se si trattano informazioni mediche, bancarie, etc! Dobbiamo iniziare a ragionare di classificazione e di livelli di sicurezza: poiché non è possibile proteggere tutto nello stesso modo, proteggiamo meglio ciò che è più importante 09/12/2015 La condivisione dei dati elettronici in medicina: sicurezza e privacy ing Francesco Vellucci 13 3. Adottare le misure idonee
L’Italia ha elaborato lo SPID (Sistema Pubblico per la gestione dell’Identità Digitale), che prevede tre tipologie identità: • primo livello: se “rischio moderato”  pin/password • secondo livello: se “rischio ragguardevole” : identità a doppia credenziale, tipo banca  password e codice (es: OTP) • terzo livello, se «rischio molto alto»  verifica di due fattori (credenziali) basati su certificati digitali e chiavi private su dispositivi conformi ai requisiti di sicurezza delle norme comunitarie sulla firma digitale. Proteggere gli accessi 09/12/2015 La condivisione dei dati elettronici in medicina: sicurezza e privacy ing Francesco Vellucci 14 3. Adottare le misure idonee Un riferimento:
Ma se ci «limitiamo» a controllare l’accesso ai dispositivi, ai server, agli archivi, facciamo solo una parte del lavoro. • Anonimizzare i dati: • Pseudonimizzazione • Aggiunta di rumore statistico • Sostituzione • ….. Potenziale identificabilità dei dati resi anonimi: Inferenza Quando un soggetto deduce la storia completa di ciò che ha saputo attraverso l'aggregazione di informazioni. E’ la capacità di ricavare informazioni non esplicitamente disponibili. E i motori di ricerca hanno quantitativi enormi di informazioni I profili di dati genetici … a rischio di identificazione se l’unica tecnica utilizzata è l’eliminazione dell’identità del donatore….. la combinazione di risorse genetiche pubblicamente accessibili (ad es., registri genealogici, necrologie, risultati delle interrogazioni dei motori di ricerca) e di metadati concernenti i donatori di DNA (data della donazione, età, luogo di residenza) possono rivelare l’identità di determinate persone, anche se il DNA è stato donato “in forma anonima”. (GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI) Proteggere la Riservatezza 09/12/2015 La condivisione dei dati elettronici in medicina: sicurezza e privacy ing Francesco Vellucci 15 3. Adottare le misure idonee
• Sta diventando sempre più user friendly • Un file criptato potreste metterlo anche su Drop Box, con buona sicurezza!! • La «forza» della criptazione risiede, per quanto riguarda l’Utente, nella robustezza della password usata. • La password può essere rubata e va protetta. Criptare i dati Proteggere la Riservatezza 09/12/2015 La condivisione dei dati elettronici in medicina: sicurezza e privacy ing Francesco Vellucci 16 3. Adottare le misure idonee
E’ possibile proteggere, con appositi algoritmi, sia l’Integrità che la Provenienza dei dati, anche in modo indipendente Possono leggere in molti ma il Destinatario è certo che il documento gli è arrivato dal Mittente e che corrisponde a quanto inviato. Solo il Destinatario può leggere, ed è certo che il documento gli è arrivato dal Mittente e che corrisponde a quanto inviato. La Firma Digitale protegge entrambi gli aspetti Se si aggiungere la criptografia si garantisce anche la Riservatezza 09/12/2015 La condivisione dei dati elettronici in medicina: sicurezza e privacy ing Francesco Vellucci 17 3. Adottare le misure idonee
Condivisione dei dati via cloud le perplessità: • Rischi derivanti da giurisdizioni diverse dalla italiana • lock in: quanto mi lego ad uno specifico provider • Mancato isolamento tra i dati di clienti diversi • Possibilità di insider malevolo presso il cloud provider • E-discovery: acquisizione di dati a fini giudiziali Se possibile criptare in proprio le informazioni prima di trasferirle al cloud. I vantaggi: disponibilità ovunque, sincronizzazione tra i dispositivi, minore gestione… 09/12/2015 La condivisione dei dati elettronici in medicina: sicurezza e privacy ing Francesco Vellucci 18
whatsapp Da una ricerca dell’8 ottobre 2105 dell’Imperial College London team risulta che Il 65% dei Medici usa “messaggiare” testi e il 46% anche immagini a colleghi Chiediamoci: • il messaggio è inviato al numero GIUSTO? • Avete inserito solo dati anonimizzati? • Vi siete ricordati che, anche se Whatsapp nell’ultimo anno ha introdotto la criptazione “end to end”, dovete fidarvi quantomeno del Provider (es: Whatsapp) e della sua sicurezza? • Avete disabilitato la visione dell’ultimo accesso a “Tutti”? Condivisione dei dati via Messaging 09/12/2015 La condivisione dei dati elettronici in medicina: sicurezza e privacy ing Francesco Vellucci 19
• Avete presupposto che tutti i contenuti su Internet sono pubblici e accessibili a tutti? • Vi siete ricordati che un Paziente Anonimo potrebbe essere comunque identificato attraverso una serie di altre informazioni, ad es. una descrizione delle condizioni cliniche, zona di residenza…etc. ? • Siete disposti a lasciare che i vostri dati alimentino gli ANALYTICS ? Condivisione dei dati via Social 09/12/2015 La condivisione dei dati elettronici in medicina: sicurezza e privacy ing Francesco Vellucci 20
Conclusioni La situazione è molto complessa e richiede attenzione su più fronti. • A livello Professionale: aumentare la consapevolezza (Sanitari, Care Givers, Cittadini, Istituzioni, Pazienti) • Abituarsi a classificare il livello di riservatezza e criticità dei dati, così da poter adottare le misure di protezione idonee • Adottare comportamenti opportuni di sicurezza • A livello dei Produttori: operare per il miglioramento della usabilità delle interfacce applicative, per criptare e anonimizzare in primis • A livello Istituzionale: • individuare e far applicare regole per la validazione dei software e hardware medicali, apps in primo luogo. • Promuovere Servizi di Verifica, anche online, delle vulnerabilità presenti nei sistemi informativi usati da professionisti ( PC, smartphone, tablets..).  occorrono tariffe accettabili ed efficienza. 09/12/2015 La condivisione dei dati elettronici in medicina: sicurezza e privacy ing Francesco Vellucci 21
Grazie francesco. vellucci@gmail.com

Recomendados

Talk Agostino IHC Padova, 03.08.2018
Talk Agostino IHC Padova, 03.08.2018Talk Agostino IHC Padova, 03.08.2018
Talk Agostino IHC Padova, 03.08.2018Agostino Pedone
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Par-Tec S.p.A.
 
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...Jürgen Ambrosi
 
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorCombattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorMaurizio Taglioretti
 
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...Maurizio Taglioretti
 
Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...
Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...
Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...festival ICT 2016
 
La gestione dei database secondo il GDPR - SQL Server
La gestione dei database secondo il GDPR - SQL ServerLa gestione dei database secondo il GDPR - SQL Server
La gestione dei database secondo il GDPR - SQL ServerCristiano Gasparotto
 
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano TagliabueEuroPrivacy
 

Recomendados

Talk Agostino IHC Padova, 03.08.2018
Talk Agostino IHC Padova, 03.08.2018Talk Agostino IHC Padova, 03.08.2018
Talk Agostino IHC Padova, 03.08.2018Agostino Pedone
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Par-Tec S.p.A.
 
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...Jürgen Ambrosi
 
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorCombattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorMaurizio Taglioretti
 
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...Maurizio Taglioretti
 
Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...
Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...
Criticità per la protezione dei dati personali connesse all’utilizzo di dispo...festival ICT 2016
 
La gestione dei database secondo il GDPR - SQL Server
La gestione dei database secondo il GDPR - SQL ServerLa gestione dei database secondo il GDPR - SQL Server
La gestione dei database secondo il GDPR - SQL ServerCristiano Gasparotto
 
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano TagliabueEuroPrivacy
 
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...EuroPrivacy
 
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo ButtiEuroPrivacy
 
The Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazioneThe Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazionePar-Tec S.p.A.
 
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...EuroPrivacy
 
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...ALESSIA PALLADINO
 
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Adriano Bertolino
 
Le novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - PalermoLe novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - PalermoAdriano Bertolino
 
La cartella clinica digitale, il dossier sanitario,referti on line, firma gra...
La cartella clinica digitale, il dossier sanitario,referti on line, firma gra...La cartella clinica digitale, il dossier sanitario,referti on line, firma gra...
La cartella clinica digitale, il dossier sanitario,referti on line, firma gra...STEFANELLI&STEFANELLI LAW FIRM
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIRoberto Lorenzetti
 
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016Andrea Maggipinto [+1k]
 
Le normative in materia di sicurezza informatica.
Le normative in materia di sicurezza informatica.Le normative in materia di sicurezza informatica.
Le normative in materia di sicurezza informatica.gmorelli78
 
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliMySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliPar-Tec S.p.A.
 
Profili privacy nella sanità digitale
Profili privacy nella sanità digitaleProfili privacy nella sanità digitale
Profili privacy nella sanità digitaleSTEFANELLI&STEFANELLI LAW FIRM
 
GDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptGDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptCentoCinquanta srl
 
GDPR Enti Comunali
GDPR Enti Comunali GDPR Enti Comunali
GDPR Enti Comunali Manuel Salvi
 
La strategia e le azioni AgID per la gestione della sicurezza informatica del...
La strategia e le azioni AgID per la gestione della sicurezza informatica del...La strategia e le azioni AgID per la gestione della sicurezza informatica del...
La strategia e le azioni AgID per la gestione della sicurezza informatica del...AmmLibera AL
 
Cloud Computing in Sanità
Cloud Computing in Sanità Cloud Computing in Sanità
Cloud Computing in SanitàSTEFANELLI&STEFANELLI LAW FIRM
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17Paolo Calvi
 
Smau Padova 2019 Edoardo Artese - Daniela Ghidelli (DirICTo)
Smau Padova 2019 Edoardo Artese - Daniela Ghidelli (DirICTo)Smau Padova 2019 Edoardo Artese - Daniela Ghidelli (DirICTo)
Smau Padova 2019 Edoardo Artese - Daniela Ghidelli (DirICTo)SMAU
 
R. Villano - Concetti di privacy
R. Villano - Concetti di privacyR. Villano - Concetti di privacy
R. Villano - Concetti di privacyRaimondo Villano
 
R. Villano - Concetti di privacy
R. Villano - Concetti di privacyR. Villano - Concetti di privacy
R. Villano - Concetti di privacyRaimondo Villano
 
Freelance Day 2019 - GDPR: come uscirne quasi illesi - Luisa Di Giacomo
Freelance Day 2019 - GDPR: come uscirne quasi illesi - Luisa Di GiacomoFreelance Day 2019 - GDPR: come uscirne quasi illesi - Luisa Di Giacomo
Freelance Day 2019 - GDPR: come uscirne quasi illesi - Luisa Di GiacomoToolbox Coworking
 

Mais conteúdo relacionado

Mais procurados

#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...EuroPrivacy
 
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo ButtiEuroPrivacy
 
The Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazioneThe Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazionePar-Tec S.p.A.
 
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...EuroPrivacy
 
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...ALESSIA PALLADINO
 
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Adriano Bertolino
 
Le novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - PalermoLe novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - PalermoAdriano Bertolino
 
La cartella clinica digitale, il dossier sanitario,referti on line, firma gra...
La cartella clinica digitale, il dossier sanitario,referti on line, firma gra...La cartella clinica digitale, il dossier sanitario,referti on line, firma gra...
La cartella clinica digitale, il dossier sanitario,referti on line, firma gra...STEFANELLI&STEFANELLI LAW FIRM
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIRoberto Lorenzetti
 
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016Andrea Maggipinto [+1k]
 
Le normative in materia di sicurezza informatica.
Le normative in materia di sicurezza informatica.Le normative in materia di sicurezza informatica.
Le normative in materia di sicurezza informatica.gmorelli78
 
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliMySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliPar-Tec S.p.A.
 
GDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptGDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptCentoCinquanta srl
 
GDPR Enti Comunali
GDPR Enti Comunali GDPR Enti Comunali
GDPR Enti Comunali Manuel Salvi
 
La strategia e le azioni AgID per la gestione della sicurezza informatica del...
La strategia e le azioni AgID per la gestione della sicurezza informatica del...La strategia e le azioni AgID per la gestione della sicurezza informatica del...
La strategia e le azioni AgID per la gestione della sicurezza informatica del...AmmLibera AL
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17Paolo Calvi
 
Smau Padova 2019 Edoardo Artese - Daniela Ghidelli (DirICTo)
Smau Padova 2019 Edoardo Artese - Daniela Ghidelli (DirICTo)Smau Padova 2019 Edoardo Artese - Daniela Ghidelli (DirICTo)
Smau Padova 2019 Edoardo Artese - Daniela Ghidelli (DirICTo)SMAU
 

Mais procurados (19)

#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
 
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
 
The Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazioneThe Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazione
 
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
 
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...
OTTENERE VANTAGGI DALLA TUA START- UP RIMANENDO A NORMA: PROFILI DI PRIVACY C...
 
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
 
Le novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - PalermoLe novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - Palermo
 
La cartella clinica digitale, il dossier sanitario,referti on line, firma gra...
La cartella clinica digitale, il dossier sanitario,referti on line, firma gra...La cartella clinica digitale, il dossier sanitario,referti on line, firma gra...
La cartella clinica digitale, il dossier sanitario,referti on line, firma gra...
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMI
 
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016
 
Le normative in materia di sicurezza informatica.
Le normative in materia di sicurezza informatica.Le normative in materia di sicurezza informatica.
Le normative in materia di sicurezza informatica.
 
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliMySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
 
Profili privacy nella sanità digitale
Profili privacy nella sanità digitaleProfili privacy nella sanità digitale
Profili privacy nella sanità digitale
 
GDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptGDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy pt
 
GDPR Enti Comunali
GDPR Enti Comunali GDPR Enti Comunali
GDPR Enti Comunali
 
La strategia e le azioni AgID per la gestione della sicurezza informatica del...
La strategia e le azioni AgID per la gestione della sicurezza informatica del...La strategia e le azioni AgID per la gestione della sicurezza informatica del...
La strategia e le azioni AgID per la gestione della sicurezza informatica del...
 
Cloud Computing in Sanità
Cloud Computing in Sanità Cloud Computing in Sanità
Cloud Computing in Sanità
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
 
Smau Padova 2019 Edoardo Artese - Daniela Ghidelli (DirICTo)
Smau Padova 2019 Edoardo Artese - Daniela Ghidelli (DirICTo)Smau Padova 2019 Edoardo Artese - Daniela Ghidelli (DirICTo)
Smau Padova 2019 Edoardo Artese - Daniela Ghidelli (DirICTo)
 

Semelhante a condivisione dei dati elettronici in medicina -Vellucci

R. Villano - Concetti di privacy
R. Villano - Concetti di privacyR. Villano - Concetti di privacy
R. Villano - Concetti di privacyRaimondo Villano
 
R. Villano - Concetti di privacy
R. Villano - Concetti di privacyR. Villano - Concetti di privacy
R. Villano - Concetti di privacyRaimondo Villano
 
Freelance Day 2019 - GDPR: come uscirne quasi illesi - Luisa Di Giacomo
Freelance Day 2019 - GDPR: come uscirne quasi illesi - Luisa Di GiacomoFreelance Day 2019 - GDPR: come uscirne quasi illesi - Luisa Di Giacomo
Freelance Day 2019 - GDPR: come uscirne quasi illesi - Luisa Di GiacomoToolbox Coworking
 
Workshop Unione Industriali Parma
Workshop Unione Industriali ParmaWorkshop Unione Industriali Parma
Workshop Unione Industriali ParmaPolaris informatica
 
La Cartella Clinica Elettronica tra gestione, conservazione e implicazioni pr...
La Cartella Clinica Elettronica tra gestione, conservazione e implicazioni pr...La Cartella Clinica Elettronica tra gestione, conservazione e implicazioni pr...
La Cartella Clinica Elettronica tra gestione, conservazione e implicazioni pr...Digital Law Communication
 
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...Giuseppe Ricci
 
MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...
MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...
MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...Social Hub Genova
 
Salin health care forum - sanita' e sicurezza informatica facciamo il punto
Salin health care forum - sanita' e sicurezza informatica facciamo il puntoSalin health care forum - sanita' e sicurezza informatica facciamo il punto
Salin health care forum - sanita' e sicurezza informatica facciamo il puntoPaolo Salin
 
Sistema Federato Interregionale di Autenticazione
Sistema Federato Interregionale di AutenticazioneSistema Federato Interregionale di Autenticazione
Sistema Federato Interregionale di Autenticazionemichelemanzotti
 
GDPR: il nuovo Regolamento Europeo dal punto di vista del legale
GDPR: il nuovo Regolamento Europeo dal punto di vista del legaleGDPR: il nuovo Regolamento Europeo dal punto di vista del legale
GDPR: il nuovo Regolamento Europeo dal punto di vista del legaleStiip Srl
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informaticaM2 Informatica
 
Evolving ehealth - Ancona Infrastrutture tecnologiche per i servizi di e-he...
Evolving ehealth - Ancona Infrastrutture tecnologiche per i servizi di e-he...Evolving ehealth - Ancona Infrastrutture tecnologiche per i servizi di e-he...
Evolving ehealth - Ancona Infrastrutture tecnologiche per i servizi di e-he...Emanuele Frontoni
 
Internet & Privacy
Internet & PrivacyInternet & Privacy
Internet & Privacypeste
 
Corso privacy
Corso privacyCorso privacy
Corso privacybruma
 
GDPR Microsoft Strategies - Topics & Links
GDPR Microsoft Strategies - Topics & LinksGDPR Microsoft Strategies - Topics & Links
GDPR Microsoft Strategies - Topics & LinksRoberto Stefanetti
 
Privacy: Facebook e WhatsApp (come paghiamo questi servizi)
Privacy: Facebook e WhatsApp (come paghiamo questi servizi)Privacy: Facebook e WhatsApp (come paghiamo questi servizi)
Privacy: Facebook e WhatsApp (come paghiamo questi servizi)Pedroletti Sharmayne
 
La Privacy in Facebook e WhatsApp
La Privacy in Facebook e WhatsAppLa Privacy in Facebook e WhatsApp
La Privacy in Facebook e WhatsAppGiusy Sacco
 
Privacy in Facebook e WhatsApp
Privacy in Facebook e WhatsAppPrivacy in Facebook e WhatsApp
Privacy in Facebook e WhatsAppDaniela Belotti
 

Semelhante a condivisione dei dati elettronici in medicina -Vellucci (20)

R. Villano - Concetti di privacy
R. Villano - Concetti di privacyR. Villano - Concetti di privacy
R. Villano - Concetti di privacy
 
R. Villano - Concetti di privacy
R. Villano - Concetti di privacyR. Villano - Concetti di privacy
R. Villano - Concetti di privacy
 
Freelance Day 2019 - GDPR: come uscirne quasi illesi - Luisa Di Giacomo
Freelance Day 2019 - GDPR: come uscirne quasi illesi - Luisa Di GiacomoFreelance Day 2019 - GDPR: come uscirne quasi illesi - Luisa Di Giacomo
Freelance Day 2019 - GDPR: come uscirne quasi illesi - Luisa Di Giacomo
 
Workshop Unione Industriali Parma
Workshop Unione Industriali ParmaWorkshop Unione Industriali Parma
Workshop Unione Industriali Parma
 
La Cartella Clinica Elettronica tra gestione, conservazione e implicazioni pr...
La Cartella Clinica Elettronica tra gestione, conservazione e implicazioni pr...La Cartella Clinica Elettronica tra gestione, conservazione e implicazioni pr...
La Cartella Clinica Elettronica tra gestione, conservazione e implicazioni pr...
 
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...
 
MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...
MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...
MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...
 
Salin health care forum - sanita' e sicurezza informatica facciamo il punto
Salin health care forum - sanita' e sicurezza informatica facciamo il puntoSalin health care forum - sanita' e sicurezza informatica facciamo il punto
Salin health care forum - sanita' e sicurezza informatica facciamo il punto
 
Sistema Federato Interregionale di Autenticazione
Sistema Federato Interregionale di AutenticazioneSistema Federato Interregionale di Autenticazione
Sistema Federato Interregionale di Autenticazione
 
GDPR: il nuovo Regolamento Europeo dal punto di vista del legale
GDPR: il nuovo Regolamento Europeo dal punto di vista del legaleGDPR: il nuovo Regolamento Europeo dal punto di vista del legale
GDPR: il nuovo Regolamento Europeo dal punto di vista del legale
 
MedEtech
MedEtechMedEtech
MedEtech
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informatica
 
Proteggiamo I Dati
Proteggiamo I DatiProteggiamo I Dati
Proteggiamo I Dati
 
Evolving ehealth - Ancona Infrastrutture tecnologiche per i servizi di e-he...
Evolving ehealth - Ancona Infrastrutture tecnologiche per i servizi di e-he...Evolving ehealth - Ancona Infrastrutture tecnologiche per i servizi di e-he...
Evolving ehealth - Ancona Infrastrutture tecnologiche per i servizi di e-he...
 
Internet & Privacy
Internet & PrivacyInternet & Privacy
Internet & Privacy
 
Corso privacy
Corso privacyCorso privacy
Corso privacy
 
GDPR Microsoft Strategies - Topics & Links
GDPR Microsoft Strategies - Topics & LinksGDPR Microsoft Strategies - Topics & Links
GDPR Microsoft Strategies - Topics & Links
 
Privacy: Facebook e WhatsApp (come paghiamo questi servizi)
Privacy: Facebook e WhatsApp (come paghiamo questi servizi)Privacy: Facebook e WhatsApp (come paghiamo questi servizi)
Privacy: Facebook e WhatsApp (come paghiamo questi servizi)
 
La Privacy in Facebook e WhatsApp
La Privacy in Facebook e WhatsAppLa Privacy in Facebook e WhatsApp
La Privacy in Facebook e WhatsApp
 
Privacy in Facebook e WhatsApp
Privacy in Facebook e WhatsAppPrivacy in Facebook e WhatsApp
Privacy in Facebook e WhatsApp
 

condivisione dei dati elettronici in medicina -Vellucci

  • 1. ” La condivisione dei dati elettronici in medicina: sicurezza e privacy” Francesco Vellucci Comitato di Consulenza Società Italiana Telemedicina e sanità elettronica Roma, 4 dicembre 2015
  • 2. 09/12/2015 La condivisione dei dati elettronici in medicina: sicurezza e privacy ing Francesco Vellucci 2 • I Medici raccolgono ed utilizzano dati sia nel proprio PC che in database di varia tipologia • I Medici condividono dati con banche dati istituzionali, in cloud sul web, con altri Medici, con Pazienti, usando dati simili con finalità sanitarie ma anche amministrative • L’approvazione del Fascicolo e del Dossier sanitario offre ulteriori indicazioni alla condivisione dei dati sensibili e sanitari Alcune constatazioni Gestire appropriatamente tali dati può essere complesso e non immediato. Condividere i dati elettronici in medicina li espone maggiormente, e aumenta la possibilità che vengano diffusi illegittimamente e/o che vengano alterati nei contenuti.
  • 3. Servizi Provider ADSL - Fibra Wi-FI NFC 4G Bluetooth Storage on line Drop box Private Cloud Connessioni dirette con Pazienti Monitor CHAT Servizi ASL FSE Dossier Servizi INPS Certificati Servizi Aziendali MDM Wiping Servizi di Store App Store Play Store WEB Store I canali di condivisione sono sempre più sofisticati Servizi di Messaging 09/12/2015 La condivisione dei dati elettronici in medicina: sicurezza e privacy ing Francesco Vellucci 3
  • 4. • Novembre 2015: Rapporto Forrester Research sulla Cybersecurity: La più rilevante delle predizioni relative alla cybersecurity per il 2016 é: "We’ll see ransomware for a medical device or wearable." Le difese non sono ancora sufficientemente robuste 09/12/2015 La condivisione dei dati elettronici in medicina: sicurezza e privacy ing Francesco Vellucci 4 • Settembre 2015 S.Erven e M.Collao - Derby Con 5.0 (Kentucky): Una honeypot, costituita da un sistema MRI e da un defibrillatore, è stata attaccata in 6 mesi 55.416 volte da 299 malware. If you're on morphine and you can figure out how to hack your own pump" then medical device security clearly "isn't very good," Evren said.
  • 5. 21Ottobre2015 La Sanità è al centro dell’attenzione! 09/12/2015 La condivisione dei dati elettronici in medicina: sicurezza e privacy ing Francesco Vellucci 5
  • 6. Esiste un mercato delle informazioni personali 09/12/2015 La condivisione dei dati elettronici in medicina: sicurezza e privacy ing Francesco Vellucci 6
  • 7. Significa, almeno: 1. Comprendere la tipologia dei dati che si vuole condividere 2. Riferirsi alle disposizioni di legge applicabili a dette tipologie 3. Adottare le misure adeguate alla protezione dei dati condivisione responsabile Vi sono altri aspetti che rendono più o meno efficace la condivisone dei dati: la loro interoperabilità e fruibilità. Ma non ne parleremo  cosa estraggo da pdf, se non sono presenti metadati sui contenuti? • Dati personali - Dati sensibili - Dati sanitari • Codice in materia di protezione dei dati personali • Codice civile • Misure minime e Misure idonee ad evitare potenziali «danni» a terzi. In primo luogo occorre aver chiaro il tipo di dato e la finalità per la quale è utilizzato, anche e soprattutto nel momento in cui lo condividiamo. 09/12/2015 La condivisione dei dati elettronici in medicina: sicurezza e privacy ing Francesco Vellucci 7
  • 8. Dati personali: qualunque informazione relativa a persona fisica, che può condurre alla sua identificazione, anche indirettamente mediante riferimento a qualsiasi altra informazione. Se i dati personali sono idonei a rivelare lo stato di salute e la vita sessuale, sono dati sensibili Sei dati sensibili, sono contemporanemente: 1) a contenuto sanitario, 2) trattati da organismi sanitari o da professionisti sanitari 3) usati al fine di proteggere la salute dell’individuo, di soggetti terzi o della collettività, allora sono Dati Sanitari 1. Comprendere la tipologia dei dati da condividere Per ciascuna tipologia è previsto l’obbligo o meno della richiesta di consenso all’Interessato ed il coinvolgimento o meno del Garante. 09/12/2015 La condivisione dei dati elettronici in medicina: sicurezza e privacy ing Francesco Vellucci 8
  • 9. Oltre alla richiesta di Consenso e alla gestione della corretta Informativa, la 196 prevede l’adozione delle misure minime di sicurezza (all. tecnico B) e di quanto necessario per la protezione dei dati Personali. Tra queste: In arrivo  Nuovo Regolamento Europeo concernente la Protezione dei Dati Personali Codice in materia di protezione dei dati personali 2. Riferirsi alle disposizioni di legge applicabili • Utilizzo di un sistema di autorizzazione contro il rischio di intrusione e dell'azione di programmi malevoli. • Adozione di tecniche di cifratura o di codici identificativi per i trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari • utilizzo di credenziali di Autenticazione, e loro gestione • login + password o dispositivo di autenticazione, o caratteristica biometrica.  Password: min. 8 caratteri 09/12/2015 La condivisione dei dati elettronici in medicina: sicurezza e privacy ing Francesco Vellucci 9
  • 10. Le misure minime vanno lette e implementate alla luce degli aggiornamenti tecnologici Vanno trasformate in Misure Idonee, in linea con le evoluzioni tecnologiche, adatte ad assicurare la protezione dei dati oggetto del trattamento.  Art. 15. Danni cagionati per effetto del trattamento • Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile. Chiunque cagiona danno ad altri nello svolgimento di un'attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno.  due diligence proattiva 3. Adottare le misure idonee Il concetto di «danno» aumenta gli aspetti da proteggere 09/12/2015 La condivisione dei dati elettronici in medicina: sicurezza e privacy ing Francesco Vellucci 10
  • 11. Proteggere le Informazioni, condivise e non, significa adottare tutti gli accorgimenti necessari a ridurre il rischio che possano avvenire furti, manipolazioni, distruzione, alterazione, impedimento all’accesso delle informazioni Proteggere le Informazioni significa anche proteggere le funzionalità operative degli strumenti utilizzati (ad es. le app mediche, i sistemi diagnostici e analitici, i sistemi di comunicazione con il Paziente) Security promotes Safety Quindi, non solo Riservatezza (privacy) ma anche Integrità (affidabilità) e Disponibilità (accessibilità) 09/12/2015 La condivisione dei dati elettronici in medicina: sicurezza e privacy ing Francesco Vellucci 11 3. Adottare le misure idonee
  • 12. I dati sensibili e sanitari, condivisi o meno, vanno tutelati da 3 punti di vista complementari: mantenere la segretezza modifica solo chi è autorizzato assicurare che le Informazioni e le infrastrutture siano accessibili quando occorre. 09/12/2015 La condivisione dei dati elettronici in medicina: sicurezza e privacy ing Francesco Vellucci 12 3. Adottare le misure idonee Es: evitare che un piano cure, un dosaggio, una diagnosi possano essere alterati! Es: impedire la diffusione non autorizzata di una diagnosi, prescrizione. Evitare di non poter accedere a dati indispensabili in emergenza. Non ripudio garanzia legale del mittente Es: Assicurare il Paziente che io sono proprio io
  • 13. Proteggere gli accessi Username e password non è gran ché. • Le password non dimostrano che Mario Rossi è davvero Mario Rossi ma solo che la persona che usa lo username di Mario Rossi ha digitato la pw corretta. • Sul web è facile camuffare l’identità impersonificazione. • Spesso si riusano le stesse password usati per siti non riservati per accedere a siti più “sensibili”,!  Username e password non bastano se si trattano informazioni mediche, bancarie, etc! Dobbiamo iniziare a ragionare di classificazione e di livelli di sicurezza: poiché non è possibile proteggere tutto nello stesso modo, proteggiamo meglio ciò che è più importante 09/12/2015 La condivisione dei dati elettronici in medicina: sicurezza e privacy ing Francesco Vellucci 13 3. Adottare le misure idonee
  • 14. L’Italia ha elaborato lo SPID (Sistema Pubblico per la gestione dell’Identità Digitale), che prevede tre tipologie identità: • primo livello: se “rischio moderato”  pin/password • secondo livello: se “rischio ragguardevole” : identità a doppia credenziale, tipo banca  password e codice (es: OTP) • terzo livello, se «rischio molto alto»  verifica di due fattori (credenziali) basati su certificati digitali e chiavi private su dispositivi conformi ai requisiti di sicurezza delle norme comunitarie sulla firma digitale. Proteggere gli accessi 09/12/2015 La condivisione dei dati elettronici in medicina: sicurezza e privacy ing Francesco Vellucci 14 3. Adottare le misure idonee Un riferimento:
  • 15. Ma se ci «limitiamo» a controllare l’accesso ai dispositivi, ai server, agli archivi, facciamo solo una parte del lavoro. • Anonimizzare i dati: • Pseudonimizzazione • Aggiunta di rumore statistico • Sostituzione • ….. Potenziale identificabilità dei dati resi anonimi: Inferenza Quando un soggetto deduce la storia completa di ciò che ha saputo attraverso l'aggregazione di informazioni. E’ la capacità di ricavare informazioni non esplicitamente disponibili. E i motori di ricerca hanno quantitativi enormi di informazioni I profili di dati genetici … a rischio di identificazione se l’unica tecnica utilizzata è l’eliminazione dell’identità del donatore….. la combinazione di risorse genetiche pubblicamente accessibili (ad es., registri genealogici, necrologie, risultati delle interrogazioni dei motori di ricerca) e di metadati concernenti i donatori di DNA (data della donazione, età, luogo di residenza) possono rivelare l’identità di determinate persone, anche se il DNA è stato donato “in forma anonima”. (GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI) Proteggere la Riservatezza 09/12/2015 La condivisione dei dati elettronici in medicina: sicurezza e privacy ing Francesco Vellucci 15 3. Adottare le misure idonee
  • 16. • Sta diventando sempre più user friendly • Un file criptato potreste metterlo anche su Drop Box, con buona sicurezza!! • La «forza» della criptazione risiede, per quanto riguarda l’Utente, nella robustezza della password usata. • La password può essere rubata e va protetta. Criptare i dati Proteggere la Riservatezza 09/12/2015 La condivisione dei dati elettronici in medicina: sicurezza e privacy ing Francesco Vellucci 16 3. Adottare le misure idonee
  • 17. E’ possibile proteggere, con appositi algoritmi, sia l’Integrità che la Provenienza dei dati, anche in modo indipendente Possono leggere in molti ma il Destinatario è certo che il documento gli è arrivato dal Mittente e che corrisponde a quanto inviato. Solo il Destinatario può leggere, ed è certo che il documento gli è arrivato dal Mittente e che corrisponde a quanto inviato. La Firma Digitale protegge entrambi gli aspetti Se si aggiungere la criptografia si garantisce anche la Riservatezza 09/12/2015 La condivisione dei dati elettronici in medicina: sicurezza e privacy ing Francesco Vellucci 17 3. Adottare le misure idonee
  • 18. Condivisione dei dati via cloud le perplessità: • Rischi derivanti da giurisdizioni diverse dalla italiana • lock in: quanto mi lego ad uno specifico provider • Mancato isolamento tra i dati di clienti diversi • Possibilità di insider malevolo presso il cloud provider • E-discovery: acquisizione di dati a fini giudiziali Se possibile criptare in proprio le informazioni prima di trasferirle al cloud. I vantaggi: disponibilità ovunque, sincronizzazione tra i dispositivi, minore gestione… 09/12/2015 La condivisione dei dati elettronici in medicina: sicurezza e privacy ing Francesco Vellucci 18
  • 19. whatsapp Da una ricerca dell’8 ottobre 2105 dell’Imperial College London team risulta che Il 65% dei Medici usa “messaggiare” testi e il 46% anche immagini a colleghi Chiediamoci: • il messaggio è inviato al numero GIUSTO? • Avete inserito solo dati anonimizzati? • Vi siete ricordati che, anche se Whatsapp nell’ultimo anno ha introdotto la criptazione “end to end”, dovete fidarvi quantomeno del Provider (es: Whatsapp) e della sua sicurezza? • Avete disabilitato la visione dell’ultimo accesso a “Tutti”? Condivisione dei dati via Messaging 09/12/2015 La condivisione dei dati elettronici in medicina: sicurezza e privacy ing Francesco Vellucci 19
  • 20. • Avete presupposto che tutti i contenuti su Internet sono pubblici e accessibili a tutti? • Vi siete ricordati che un Paziente Anonimo potrebbe essere comunque identificato attraverso una serie di altre informazioni, ad es. una descrizione delle condizioni cliniche, zona di residenza…etc. ? • Siete disposti a lasciare che i vostri dati alimentino gli ANALYTICS ? Condivisione dei dati via Social 09/12/2015 La condivisione dei dati elettronici in medicina: sicurezza e privacy ing Francesco Vellucci 20
  • 21. Conclusioni La situazione è molto complessa e richiede attenzione su più fronti. • A livello Professionale: aumentare la consapevolezza (Sanitari, Care Givers, Cittadini, Istituzioni, Pazienti) • Abituarsi a classificare il livello di riservatezza e criticità dei dati, così da poter adottare le misure di protezione idonee • Adottare comportamenti opportuni di sicurezza • A livello dei Produttori: operare per il miglioramento della usabilità delle interfacce applicative, per criptare e anonimizzare in primis • A livello Istituzionale: • individuare e far applicare regole per la validazione dei software e hardware medicali, apps in primo luogo. • Promuovere Servizi di Verifica, anche online, delle vulnerabilità presenti nei sistemi informativi usati da professionisti ( PC, smartphone, tablets..).  occorrono tariffe accettabili ed efficienza. 09/12/2015 La condivisione dei dati elettronici in medicina: sicurezza e privacy ing Francesco Vellucci 21