JMed è il software per poliambulatori che ti aiuta nella gestione dello studio medico facendoti risparmiare tempo e risorse.
Il prezzo? A partire da 149 euro/mese.
GDPR: Come prevenire e notificare un caso di Data Breach
Il nuovo regolamento europeo sulla privacy, entrato in vigore lo scorso 25 maggio, integra ed estende le linee guida della precedente normativa in caso di Data Breach (violazione dei dati personali) e impone al responsabile del trattamento nuove procedure di notifica al Garante della Privacy.
Di seguito qualche consiglio per prevenire le intrusioni nei nostri database e per gestire eventuali Data Breach all’interno della nostra azienda.
Quali sono i dati soggetti a Data Breach?
Secondo il nuovo Regolamento Europeo (art.4, c.12) per «violazione dei dati personali» si deve intendere “ogni violazione della sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.
Prima dell’entrata in vigore del GDPR, l’obbligo di notifica era necessario per poche categorie di dati (comunicazioni elettroniche, biometria, dati sanitari inseriti in Dossier e dati comunicati tra PA) ma dal 25 maggio l’obbligo di notifica è esteso a tutti i “dati personali”.
Le cause più comuni di Data Breach nelle aziende sanitarie
Le modalità principali di sottrazione dei dati clinici sono tre e costituiscono l’86% di tutte le violazioni di dati sensibili: l’intento malevolo da parte di un insider, spesso dipendente o collaboratore, attraverso il furto o l’indebita consultazione di dispositivi portatili (ad esempio laptop, tablet e chiavette USB); l’errore umano, che può consistere nel semplice invio di un referto medico al destinatario sbagliato; l’uso improprio di privilegi da parte di un dipendente per accedere a informazioni sensibili.
I consigli per scongiurare il Data Breach
Il GDPR impone a tutte le aziende la redazione di un documento di sintesi di Analisi dei rischi nel quale devono essere indicate le contromisure da mettere in atto per scongiurare il rischio di sottrazione indebita di dati. Tale documento deve essere inviato a tutti i dipendenti e ai collaboratori per permettergli di acquisire familiarità con i processi di prevenzione.
Per impedire un Data Breach, è sempre necessario custodire i dispositivi informatici in ambienti sicuri e sorvegliati, dotare i propri dipendenti di password sicure e personali da aggiornare periodicamente e sconsigliare sempre l’uso di chiavette USB per il salvataggio di dati sensibili. Inoltre è fondamentale dotare la propria struttura di software gestionali per la conservazione dei dati in cartelle protette che utilizzino codici di cifratura dei contenuti che rendono i dati intraducibili in caso di attacco.
Come notificare un Data Breach
L’art. 33 del GDPR impone al titolare del trattamento del dato di notificare la violazione all’autorità di controllo entro 72 ore dal momento in cui si viene a conoscenza della violazione. Tale notifica deve:
- Descrivere la natura della violazione dei dati personali, nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
- Comunicare il nome e i dati di contatto del responsabile della protezione dei dati;
- Descrivere le probabili conseguenze delle violazioni dei dati personali;
- Elencare le misure adottate per porre rimedio alla violazione dei dati personali e per attenuarne i possibili effetti negativi.
Il Garante alla Privacy mette a disposizione un formato di notifica consultabile e scaricabile al seguente link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4131246
Tale comunicazione non è richiesta all’interessato se il titolare del trattamento:
- Ha messo in atto le misure tecniche ed organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare la cifratura, che rende i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi;
- Ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati;
Le sanzioni previste in caso di mancata comunicazione
Le sanzioni previste in caso di violazioni sono le seguenti:
- In caso di mancata o ritardata comunicazione al Garante: da 25mila a 150mila €;
- In caso di omessa o mancata comunicazione agli utenti: da 150 € a 1.000 € per ogni società, ente o persona interessata;
- In caso di mancata tenuta dell’inventario delle violazioni aggiornato: da 20mila a 120mila €.
È quindi indispensabile per strutture che gestiscono dati sanitari dotarsi di strumenti gestionali che utilizzino misure di sicurezza avanzate e controllo degli accessi, che offrano un registro dei trattamenti digitale sempre aggiornato e salvino i dati clinici e sanitari dei propri pazienti con sistemi crittografati non traducibili in caso di violazione.
JMed è il software gestionale per poliambulatori che permette la consultazione dei dati anagrafici e clinici dei propri pazienti solo a personale autorizzato, rispetta le ultime direttive del GDPR e automatizza i tuoi processi di trattamento dati nella massima sicurezza e affidabilità. Scopri di più