Data Breach e Healthcare: ecco perché il settore della salute rischia più di tutti

In questo articolo scopriremo gli ultimi dati relativi ai Data Breach nel settore della salute di tutto il mondo e analizzeremo quali sono le principali insidie che i professionisti della salute devono fronteggiare per assicurare la protezione dei propri archivi elettronici.

Data Breach e Healthcare: ecco perché il settore della salute rischia più di tuttiI Data Breach nel mondo

Le violazioni nell’Healthcare

Perché garantire la sicurezza?

Il fattore umano come principale difesa dai Data Breach nell’Healthcare

 

 

 

 

Con l’era di Internet e l’accesso capillare ai mezzi di comunicazione digitali, i rischi legati al furto, alla cancellazione o all’alterazione di dati personali in formato elettronico archiviati e trattati dalle imprese sono in costante aumento in tutto il mondo, soprattutto quelli legati ai dati sanitari.

Ma se nella maggior parte dei casi, le violazioni, ossia i Data Breach, sono causati da persone esterne all’impresa, mentre le violazioni imputabili al personale aziendale sono sensibilmente inferiori, i dati si ribaltano completamente nell’Healthcare.

Cosa sancisce il Regolamento Generale sulla Protezione dei Dati, in caso di violazione dei dati personali e come impedire che archivi e database possano essere violati, diffusi in modo non autorizzato o distrutti definitivamente?

In attesa dell’evento del 14 settembre 2018: “LA PRIVACY AL TEMPO DEL GDPR” rivolto proprio ai professionisti dei mercati Pharma Beauty e Healthcare coinvolti dal nuovo regolamento UE, sveliamo in questo articolo alcuni importanti dati emersi da uno studio della società di Cyber Security statunitense Verizon.

 

I Data Breach nel mondo

Da una ricerca svolta dalla società informatica Verizon*: 2018 Data Breach Investigations Report 11th edition è emerso che nel 2017, la percentuale di violazioni dei dati nelle società sono causati:

  • 73% da soggetti esterni all’impresa;
  • 28% dal personale interno alle aziende;

mentre il numero degli attacchi nel 2017 hanno coinvolto:

  1. 58% le PMI vari settori.
  2. 24% le società del settori Healthcare;
  3. 15% il ramo della comunicazione e del food;
  4. 14% le pubbliche amministrazioni;

Le tipologie di violazioni avvenute, invece sono state causate principalmente da:

  1. azioni svolte direttamente da Hacker 48%;
  2. malware che hanno infettato i sistemi informatici 30%;
  3. da errori che hanno generato violazioni non intenzionali 17%.

Le violazioni nell’Healthcare

Sebbene in tutti gli altri settori analizzati, la percentuale delle violazioni sono state causate principalmente da attori esterni alle imprese, nel settore Healthcare purtroppo i dati si invertono infatti:

  1. il 63% dei Data Breach, in questo settore, sono causati da errori dati da crimeware  e dall’utilizzo inidoneo dei dati personali da parte del personale stesso;
  2. il 56% di tutte le violazioni sono state causa te dal personale interno;
  3. il 43% è imputabile ad attori esterni.

Per quanto sia poco confortante sapere che le stesse strutture che provvedono a curare i cittadini e a garantire la segretezza sul nostro stato di salute siano i primi a non tutelare la nostra privacy, è ancora più allarmante scoprire che le ragioni principali per cui le imprese che operano nel settore della salute non siano in grado di garantire la sicurezza è che il personale incaricato del trattamento dei dati non è sufficientemente istruito in tal senso.

 

Perché garantire la sicurezza?

Il nuovo Regolamento Generale sulla Protezione dei Dati parla chiaro ai titolari d’impresa che trattano dati personali.

All’articolo 32, paragrafo 1 del GDPR leggiamo: “Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio..

Ciò significa che, sulla base delle disponibilità di un’azienda e in relazione alla portata dei dati trattati, titolari e responsabili devono poter assicurare e dimostrare la messa in sicurezza dei dati personali che trattano.

Nonostante questo concetto sia imprescindibile per qualsiasi società che tratta dati personali, soprattutto per quelle che trattano costantemente e su larga scala dati sensibili e relativi alla salute delle persone, nei fatti, strutturare azioni e processi efficaci per raggiungere e mantenere nel tempo la sicurezza dei database e del trattamento svolto sui dati stessi non è un’impresa semplice, se  si considerano:

  1. le aree aziendali coinvolte;
  2. tutte le risorse autorizzate al trattamento;
  3. i processi da avviare e automatizzare sia a livello tecnico sia a livello procedurale;
  4. gli strumenti coinvolti in tale attività.

Inoltre, nell’articolo 33 il nuovo regolamento europeo aggiunge che, in caso di Data Breach, il titolare del trattamento, oppure il suo DPO, è tenuto a comunicare l’evento al Garante nazionale nel caso in cui la violazione sia ritenuta rischiosa per i diritti degli interessati.

In questo caso, infatti, il titolare ha tempo fino a 72 ore dall’avvenuta notifica della violazione per:

  1. descrivere la natura della violazione dei dati personali coinvolti;
  2. comunicare il nome e i dati di contatto del DPO;
  3. elencare le probabili conseguenze causate dalla violazione;
  4. riportare le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione o per attenuarne i possibili effetti negativi.

Infine, se il rischio rilevato dalla violazione dei dati fosse considerato elevato, il titolare sarà tenuto per legge a informare anche gli interessati coinvolti dalla violazione, cagionando alla propria impresa un massicio danno reputazionale oltre che economico. Infatti se, in caso di Data Breach,  il titolare del trattamento, o il responsabile non sarà in grado di dimostrare di aver attuato ogni misura tecnica e organizzativa necessaria a proteggere i dati violati, il GDPR prevede che siano imposte sanzioni amministrative fino a un massimo di 10 milioni di euro e, se superiore a  questa somma, sino al 2% del fatturato annuo mondiale.

 

Il fattore umano come principale difesa dai Data Breach nell’Healthcare

Occorre che le attività operanti nel settore della salute strutturino una solida rete di strumenti e di processi capaci di assicurare nel tempo un trattamento dei dati sicuro e resiliente, partendo proprio dalla formazione del personale incaricato al trattamento dei dati.

Il fattore umano non può essere trascurato, soprattutto quando è proprio il personale aziendale a trattare direttamente il dato sensibile.

Occorre, quindi, che responsabili e titolari del trattamento sensibilizzino le risorse autorizzate al trattamento dei dati personali e le istruiscano attraverso strumenti e metodi efficaci affinché conoscano il valore del dato sia in termini di business, sia in termini legali per arginale e i rischi potenziali che un trattamento superficiale effettuato da un personale disinformato potrebbe comportare alle imprese del mondo Healthcare e ai cittadini europei.

 

*per approfondire il report di Verizon vi rimandiamo al seguente link: https://www.verizonenterprise.com/resources/reports/rp_DBIR_2018_Report_en_xg.pdf

 

Expodental meeting illumina Rimini

Eventi | 20 Maggio 2019

Il 18 maggio si è concluso con successo Expodental Meeting: l’evento italiano di riferimento per il comparto dentale. Vediamo insieme i risultati e le novità della kermesse riminese.

LEGGI TUTTO

Zoomark International e Pet Industry: dati e cifre dell’edizione 2019

Eventi | 13 Maggio 2019

Dal 6 al 9 maggio, a Bologna Fiere si è svolta la 18ª di Zoomark International. In questo articolo forniremo la storia, i numeri e i trend dell'ultima edizione di Zoomark International e del comparto Pet nel 2019

LEGGI TUTTO