Il 18 gennaio scorso l’ENISA (l’Agenzia europea per la cybersecurity) ha pubblicato un report dal titolo Cloud Security for Healthcare Services. L’Agenzia, analizzando lo sviluppo e le innovazioni tecnologiche nel settore dell’healthcare e, in particolare, il progressivo processo di migrazione verso soluzioni cloud, ha approfondito le principali criticità in tema di data protection e cyber security legati alla digitalizzazione e dematerializzazione dei processi.
Il report fotografa l’attuale processo di transizione dei processi di gestione documentale e delle informazioni nel settore della salute che si sta muovendo sempre più verso soluzioni di cloud storage anche a seguito dell’impatto della pandemia COVID-19 che ha costituito un volano per l’accelerazione di questa transizione, tanto sotto il profilo delle modalità di archiviazione dei dati, che sotto i profili del remote care e dell’utilizzo di medical devices.
L’Enisa, come prima cosa, ha provato a definire il quadro giuridico di riferimento rilevando che, tuttavia, su questa specifica materia vi è una forte stratificazione. In particolare, il quadro è reso altamente frammentario dal fatto che in tema di sanità e Cloud, non esiste una normativa europea unitaria.
A livello generale vengono in rilievo alcune norme di rango secondario dell’UE, le quali giocano un ruolo rilevante nel settore dell’healthcare. In particolare, il riferimento è al Regolamento UE 679/2016 (GDPR) in materia di protezione dei dati personali e alla direttiva UE 1148/2016 (NIS) sulla cybersecurity.
Proprio con riferimento ai due ambiti normativi citati, l’Enisa ha individuato le principali criticità e le sfide che attendono il processo di transizione al Cloud dei dati e dei servizi sanitari.
Sotto il profilo della cybesecurity le criticità emerse sono:
- mancanza di fiducia da parte degli stakeholders (pazienti, medici e personale sanitario e organizzazioni pubbliche o private attive nel settore) nei confronti delle soluzioni Cloud;
- mancanza di esperti in tema di information security impiegati nel processo;
- carenza di investimenti in cybersecurity;
- difficoltà nel fornire evidenza della compliance normativa da parte dei Cloud Service Provider;
- difficoltà nell’integrazione dei sistemi Cloud con i processi e i sistemi già in uso.
Accanto a ciò, il report evidenzia anche le principali minacce che, latamente, possono essere ricomprese nella tematica della cybersecurity e che possono coinvolgere l’infrastruttura Cloud su cui le informazioni sanitarie risiedono e che si sostanziano in:
- fenomeni naturali che rendano impossibile l’accesso ai network e alle reti;
- fallimento della supply chain dovuto a problematiche (economiche o tecnico-organizzative) del CSP o del fornitore del network che determinino inaccessibilità ai dati contenuti nel Cloud;
- errori umani;
- accessi non autorizzati alle informazioni;
- minacce informatiche e azioni malevoli come phishing, hijacking, social engineering attacks, ect.
Sotto il profilo della data protection invece, le principali sfide che sono emerse sono:
- garantire che le soluzioni adottate siano improntate ai principi di privacy by default e privacy by design sanciti dall’art. 25 GDPR;
- garantire la compliance complessiva della gestione dei dati sanitari che risulta particolarmente delicata sia in ragione della delicatezza stessa delle informazioni sia in ragione della articolata categoria di attori coinvolti nelle attività di trattamento;
- assicurare l’adozione di processi che consentano di garantire l’aggiornamento dei dati personali e la loro puntuale cancellazione alla scadenza del termine di conservazione;
- garantire la possibilità di effettuare la portabilità dei dati da un Provider all’altro, mantenendo i più elevati standard in tema di interoperabilità;
- criptare i dati in modo da mantenere elevati standard di sicurezza e prevenire, o comunque, limitare gli effetti pregiudizievoli di eventuali incidenti informatici o cyber attacchi.
Le sfide che attendono il Legislatore (nazionale ed europeo) potrebbero richiedere un coordinamento a livello normativo, per provare quantomeno a tracciare un perimetro operativo entro cui sviluppare il processo di transizione al Cloud in campo sanitario in armonia con le legislazioni settoriali vigenti che si riflettono su di esso. Un tassello che in questo momento aggiunge ulteriore incertezza è dettato dalla recente sentenza della Corte di Giustizia dell’Unione europea C-311/2018 che, invalidando il previgente regime del Privacy Shield, rende particolarmente difficoltoso il ricorso a CSP statunitensi.
Accanto al ruolo, indubbiamente centrale del legislatore, vi è poi la necessità di un salto di qualità anche da parte di tutti gli operatori coinvolti in particolar modo nella presa di coscienza del fatto che i temi della privacy e della cybersecurity devono essere tenuti in considerazione tanto nel momento della progettazione delle soluzioni tecnologiche (privacy/security by design) tanto nel momento della loro adozione all’interno della singola organizzazione.
L’Enisa, nelle conclusioni del report, sottolinea i sopracitati aspetti, rimarcando come il processo di transizione al Cloud nel settore sanitario e della telemedicina, per quanto ancora in fase iniziale e limitata per lo più alle pubbliche amministrazioni stia entrando ora nel vivo, spinto anche dalle contingenti necessità dettate dalla pandemia.
L’Agenzia sottolinea come tutti i processi di transizione e le soluzioni adottate dovranno conformarsi ai più alti standard di cyber sicurezza e compliance in materia di protezione dei dati. Per questo motivo saranno fondamentali le procedure di risk assessment che dovranno essere attuate per verificare l’adeguatezza delle misure e degli strumenti.