“La CNIL richiama le strutture sanitarie sull’accesso illegittimo alla cartella informatizzata dei pazienti”
La Commission Nationale de l’Informatique et Des Libertés (“CNIL”), il 9 Febbraio 2024, ha annunciato di aver intimato ad alcune strutture sanitarie di intensificare le misure di sicurezza delle cartelle informatizzate dei pazienti.
La diffida arriva dopo che la CNIL ha effettuato diverse ispezioni (tra il 2020 e il 2024) e ha riscontrato in tredici strutture sanitarie la mancata adozione di misure volte a preservare la sicurezza e la riservatezza delle informazioni delle cartelle cliniche elettroniche.
“Le misure di sicurezza informatica e la politica di gestione delle autorizzazioni sono state a volte inadeguate”, si legge in un comunicato. Difatti è stato appurato che gli operatori sanitari hanno potuto accedere a dati sensibili – come ad esempio i referti di visite e ricoveri ospedalieri, gli esami biologici e radiologici, le prescrizioni mediche – senza essere autorizzati e non avendo un legame di cura con il paziente. Tuttavia la CNIL ricorda che in ragione del trattamento di dati particolari ex art. 9 GDPR le cartelle cliniche debbano essere adeguatamente protette con “misure di sicurezza rafforzate” e non si possa consentire agli operatori sanitari di accedere facilmente alle informazioni mediche dei pazienti.
Oltre all’invio delle diffide, l’Autorità di regolamentazione ha indicato alcune misure che gli istituti interessati devono implementare. Prima di tutto, è obbligatorio installare un meccanismo di autenticazione solido, possibilmente con password complesse. Inoltre, la CNIL raccomanda una gestione più rigorosa delle autorizzazioni all’accesso delle cartelle che devono essere concesse in modo specifico a seconda delle professioni esercitate dal personale sanitario, poiché i medici e il personale amministrativo debbono avere autorizzazioni specifiche.
L’Autorità, infine, esorta ad effettuare dei controlli regolari di tali accessi al fine di identificare quelli che potrebbero essere fraudolenti o illegittimi. E’ fortemente consigliato dotarsi di un sistema automatico di analisi del log delle connessioni al fine di individuare gli accessi che appaiono anomali.
La CNIL prevede di adottare misure correttive nei confronti di altri istituti nel 2024.
