Privacy e Cybersecurity nella sanità

Documenti analoghi
Cybersecurity, come difendersi dal furto dati

Il nuovo Regolamento UE sulla protezione dei dati e relative novità Il Data Protection Officer Le Sanzioni previste News Letter Privacy

PROTEZIONE DEI DATI IN AMBITO SANITARIO CRISTINA DAGA

IL TRATTAMENTO DEI DATI PERSONALI E IL REGOLAMENTO UE 679/16: NUOVI ADEMPIMENTI E RESPONSABILITÀ AVV.MICHELE GRISAFI

LA PROFESSIONALITÀ DEL DATA PROTECTION OFFICER FORMAZIONE OBBLIGATORIA NEL NUOVO REGOLAMENTO

Dal Codice della Privacy al Regolamento Europeo: COSA CAMBIA

Adempimenti Privacy/Data Protection. Attività di Privacy /Data Protection per adempimento al dlg 196/03 e GDPR/06 del 24 maggio 2016

GDPR. Gli obblighi di compliance interna ed esterna. 23 novembre 1

Incontri di formazione

Daniele Gombi IL SISTEMA DI GESTIONE DELLA SICUREZZA DELLE 4 INFORMAZIONI: UNA "NECESSARIA" OPPORTUNITÀ

CONTROLLARE I DISPOSITIVI AZIENDALI PER PREVENIRE I CRIMINI INFORMATICI

Data Privacy Officer. A cura di: Francesca Scarazzai e Cristina Chiantia. Dottori Commercialisti

Nuovo Regolamento Europeo Privacy. Gubbio, Perugia Marzo 2016

PRIVACY E SANITÀ. Fare clic per modificare lo stile. del titolo AVV. DIEGO FULCO ALLA LUCE DELLE ULTIME PRONUNCE DEL GARANTE ROMA, 21 OTTOBRE 2015

Convegno Annuale AISIS

IL GDPR E LA COMPLIANCE. Strumenti a servizio della sicurezza dei sistemi informativi

MEMO. Regolamento UE 2016/679 Privacy

Il nuovo regolamento europeo sulla privacy - GDPR

Regolamento Generale UE sulla Protezione dei Dati (GDPR) Raggiungi la conformità

CONSULENTE DELLA PRIVACY

Praticamente GDPR a cura di Oracle Community for Security e con la collaborazione di Europrivacy

L esperienza dell Istituto Nazionale per le Malattie Infettive «Lazzaro Spallanzani»

Il nuovo regolamento Europeo sulla Protezione dei Dati personali Impatti aziendali

Dott. Filippo Lorè Consulente Privacy

Il Professionista Europeo della Privacy

Cybersecurity per la PA: approccio multicompliance Sogei

Fascicolo Sanitario Elettronico piattaforma

Sistemi informativi in ambito sanitario e protezione dei dati personali

Prot. N 3CXXX Bologna, XX Maggio 2017

La gestione del rischio e l'approccio della soluzione RiS nell'ambito del nuovo Regolamento Europeo

Milano, 13 ottobre 2016

BIG DATA E CYBER SECURITY TRA PRIVACY E TUTELA DEL CONSUMATORE

Tra diritto del paziente alla riservatezza ed utilità della condivisione del dato sanitario

Valutazione d impatto e gestione integrata dei rischi

Sanità 2.0: quali strumenti per le Strutture Sanitarie?

CORSO DI CORPORATE GOVERNANCE A.A

Il Regolamento generale sulla protezione dei dati (GDPR) MODULO 1

Il nuovo Regolamento europeo sulla protezione dei dati e il suo impatto specie in ambito sanitario. Milano 9 novembre 2017 Chiara Romano

Il nuovo regolamento Europeo sulla Protezione dei Dati personali Impatti aziendali

Regolamento UE sulla protezione dei dati Analisi e valutazioni di impatto per le aziende

Tecnologia e Management delle Aziende sanitarie, l'approccio organizzato alle misure del Regolamento 2016/679 UE FILOMENA POLITO -24 GIUGNO 2016

Equilibrio perfetto. 1. Informazione 2. Security 3. Privacy. Privacy e sicurezza in sanità: strategie manageriale profili di responsabilità

LA GESTIONE DELLA SICUREZZA DELLE INFORMAZIONI A TUTELA DEL PATRIMONIO AZIENDALE

Security Summit Verona 2016 Sessione Plenaria del

IL REGOLAMENTO PRIVACY EUROPEO. n.679/2016. Avv. Barbara Anzani

Il Piano e-gov 2012: sintesi. Roma, 21 gennaio 2009

Sezione 1 - Gestione e governance della protezione dei dati

INDICE. Auditor 231 in sanità... 2 Componente dell Organismo di Vigilanza 231 in sanità... 3 Consulente 231 in sanità... 5

I REGISTRI DELLE ATTIVI TA DI TRATTAMENTO, il fulcro del sistema gestionale privacy nel sistema sanitario

ALLEGATO AL DOCUMENTO WP243 FAQ

BANCHE E SICUREZZA 2017

La CyberSecurity nel modello ICT per la PA

RAPPORTO. Marzo 2017 a cura di Federprivacy. Conclusioni della Ricerca sulla Gestione della protezione dei dati personali_ nelle aziende italiane

Responsabile di produzione

Gestione del Rischio Informatico

MASTER universitario di II livello in FUNZIONI DIRETTIVE e GESTIONE dei SERVIZI SANITARI. Programma generale

F O R M A T O E U R O P E O

DRONI E DIRITTO. di Valentina Luisalba Filippini IMPORTANTE

GDPR: NUOVA PRIVACY LA CONFORMITÀ SU MISURA. Giancarlo Butti - Alberto Piamonte. Prefazione a cura di Maria Roberta Perugini

PILLS n Privacy: il nuovo pacchetto di normativa europea per la. protezione dei dati personali

Privacy Policy di vintage.faravetrerie.it

TELEMEDICINA E TELEMONITORAGGIO NUOVE CONTINUITÀ DI CURA

Summer School Univr Fashion Week Edizione 2017 Moda e privacy

Dal codice privacy al nuovo regolamento generale UE sulla protezione dei dati personali 679/2016: quali adempimenti per le imprese

OBIETTIVI PROGRAMMATICI I seguenti obiettivi tengono in conto il documento. programmatico e le direttive programmatiche delineate per

PROGRAMMA OPERATIVO NAZIONALE RICERCA E INNOVAZIONE (PON RI) (FESR E FSE) ANALISI DEI FABBISOGNI DI PROFESSIONALITÀ A SUPPORTO DEL PON

PIÙ CONTROLLO, PIÙ SICUREZZA. Business Suite

VIGILANZA E SORVEGLIANZA POST- COMMERCIALIZZAZIONE

Un esperienza pensata per favorire gli utenti. Una piattaforma sicura per ridurre i costi di gestione

Focus Italia: i numeri del fenomeno e le minacce attuali all epoca della digital disruption

CORSO SIENA REVISORI

Fascicolo e Dossier Sanitario. Tecnologia al servizio della salute Norme e regole d uso

Convegno Annuale AISIS

La gestione di un data breach

IL DIRITTO DEI SOCIAL NETWORK ( ) Prof. Ugo Pagallo

Presentazione del progetto e dei sondaggi sull utilizzo delle nuove tecnologie per l accesso ai servizi sanitari e socio-sanitari sanitari in FVG

Giugno Carnelutti Studio Legale Associato

La Sanità Elettronica in Basilicata

GDRP 2016/679: Conformi entro il Il Nuovo Regolamento Europeo in materia di Protezione dei Dati Personali

Corso Controllo strategico e misurazione delle performance in sanità

SERVIZI AI COMUNI SEMINARIO UPI, ROMA, OTTOBRE 2015

Ospedale di Treviso. Medicina di Laboratorio Guida ai Servizi

WatchGuard User Anonymization (Anonimizzazione dell utente) e Regolamento generale sulla protezione dei dati UE

Analisi del processo: definizione del flusso, descrizione del miglior percorso possibile

GESTIRE I SOCIAL IN AZIENDA Social e web nel rapporto di lavoro: principi delle policy. Paola Borghi Direzione Sindacale e del Lavoro ABI

mercoledì 21 marzo 2012 Progetto telemedicina ULSS8 Asolo

DICHIARAZIONE SOSTITUTIVA (articoli 46 e 47 D.P.R. 28 dicembre 2000 n. 445 e ss.mm.ii)

La Sicurezza nel Cloud Computing. Simone Riccetti IBM IT Security Architect

- trasparenza - supporto al RPC. - policy e misure organizzative - formazione

FORMAZIONE AIEA. Milano, Novembre w w w. a i e a - f o r m a z i o n e. i t

Il nuovo Regolamento europeo sulla privacy. Avv. Prof. Stefano Aterno

Cittadini più garantiti

Politica sulla Privacy

Video Analytics e sicurezza. Ivano Pattelli Security Solution Lead Hewlett Packard Enterprise

SEGNALAZIONE CERTIFICATA INIZIO ATTIVITA (SCIA) AGENZIA D AFFARI ART. 115 T.U.L.P.S. art. 19 L. 241/1990 e s.m.i.

CAPITOLO M PROGRAMMA DI QUALITÀ E CONTROLLO

Progetto Dignità e Lavoro

GRUPPO HERA: INTEGRAZIONE DEL CYBER RISK NELL APPROCCIO ERM. Cybersecurity Summit 2016 Milano 24 maggio 2016

Introduzione.

Transcript:

Privacy e Cybersecurity nella sanità Relatore: Stefania Tonutti 21 giugno 2017: ore 18.30 #Sharing3FVG Webinar realizzato da IALFVG e parte degli 80 di #Sharing3FVG, progetto cofinanziato dal Fondo Sociale Europeo nell'ambito del Programma Operativo Regionale 2014/2020

CYBERCRIMES 2

Ma cosa sono i CRIMINI INFORMATICI? Una definizione semplice > Attività illegali che comprendono una vasta gamma di reati, dal crimine contro dati riservati alla violazione di contenuti e del diritto d autore (Krone, 2005) > Fenomeno criminale che si caratterizza nell abuso della tecnologia informatica Possono essere distinti in due macro categorie: > 1. Crimini che hanno come obiettivo diretto, le reti digitali e i computer ad essa connessi; > 2. Crimini facilitati dalle reti digitali e dai computer ad essa connessi. 3

Alcuni dati statistici Ponemon Institute 2016 Cost of Data Breach Study; IBM X-Force 2016 Cyber Security Intelligence Index Rapporto Clusit 2017 4

Un tipico esempio di cyberattacco nel mondo sanitario RAMSOMWARE Un ransomware è un malware distribuito via email che limita l'accesso del dispositivo che infetta, richiedendo un riscatto da pagare per rimuovere la limitazione. > Pagamento in Bitcoin. Vengono utilizzati servizi di pagamento accessibili solo attraverso il Deep Web 5

Ramsomware in sanità Perché gli ospedali? Utilizzo di sistemi IT legacy Utilizzo di dispositivi medici con sicurezza debole Necessità di accesso immediato alle informazioni Alcune garanzie che dovrebbe mettere a disposizione la struttura Continuità della cura del paziente Sicurezza dei dati dei pazienti proteggendoli da possibili violazioni e fughe di notizie Supporto e manutenzione di attrezzature adeguate ed aggiornate La maggior parte degli attacchi sono il risultato NON intenzionale di azioni dei dipendenti, ad esempio: Azioni di click a link malevoli Apertura di allegati alle mail Cattivo utilizzo dei dispositivi medici 6

Nel concreto.. 7

E quindi quali soluzioni? Food and Drug Administration (FDA) > ottobre 2014 ha emesso le linee guida sulla gestione della cybersecurity nei medical devices prima della loro commercializzazione (fase di pre market ) > dicembre 2016 sono state pubblicate analoghe linee guida anche per la fase di post-market, nell ottica di garantire un adeguato livello di protezione dei dispositivi biomedicali lungo tutto il loro ciclo di vita, dalle fasi iniziali di sviluppo e progettazione fino al supporto post vendita UE E GARANTE PRIVACY > Regolamento Generale Europeo sulla Protezione dei Dati Personali (General Data Protection Regulation GDPR) > D.lgs. 196/2003 (Codice Privacy: verrà totalmente sostituito dal GDPR nel maggio del 2018) MESSA IN SICUREZZA cd. Risk and Security Cycle 8

RISK AND SECURITY CYCLE PIANIFICAZIONE E GOVERNANCE Comprendere priorità e strategie aziendali Adeguata allocazione delle risorse PIANIFICAZIONE DEL SISTEMA DI GESTIONE DELL ICT SECURITY & RISK MANGEMENT rilevazione dello scenario attraverso una ricognizione di tutte le componenti del sistema informativo aziendale PREDISPOSIZIONE DEL DOCUMENTO DI RELAZIONE FINALE complesso di interventi e misure di sicurezza fisiche, logiche, organizzative piano di continuità aziendale IMPLEMENTAZIONE MISURE DI SICUREZZA 9

IN SANITÀ COME APPLICO TUTTO QUESTO > necessità di interazione fra diverse figure professionali, che, in tempi diversi, ruotano intorno al paziente sino al suo domicilio e che possono appartenere a legal entity diverse > principio di necessità e non eccedenza dei dati raccolti per uno specifico trattamento e per una specifica finalità > rispetto dell autodeterminazione del cittadino nella gestione dei propri dati clinici precisando che la self determination concerne anche la possibilità di conoscere quando e chi abbia consultato i propri dati clinici > necessità dell informativa sul trattamento e quindi che il cittadino sia reso dettagliatamente informato rispetto all utilizzo che verrà effettuato dei suoi dati clinici E POI 10

GRANDI NOVITÀ CONSUMERIZZAZIONE SANITARIA Frequente nella prassi quotidiana, e difficilmente regolabile, l utilizzo di whatsapp, dropbox e altri strumenti che facilitano la presa in carico del cittadino e la comunicazione tra cittadino ed equipe che lo sta seguendo (ad es. per la comunicazione di referti, pareri o scambio immagini sia tra clinici sia tra paziente e team di riferimento) Cittadino off/on-line Professionista off/on-line ON-LINE 11

NUOVI CONFINI PER LE AZIENDE SANITARIE I confini del sistema informativo di un azienda sanitaria diventano quindi: permeabili: non più solo clienti interni ma utilizz-attori (interni ed esterni) sempre on web estesi: ben oltre le mura aziendali, sempre più verso homecare, wearable, IoT disponibilità e continuità dei servizi h24 sicurezza nella gestione/consultazione ubiquitaria dei dati privacy e Integrità dei dati trattati disponibilità dei servizi e dei dati any where e any device 12

LA SVOLTA: IL GDPR Il Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (General Data Protection Regulation GDPR) è entrato in vigore il 26 maggio 2016 e sarà applicato a partire dal 25 maggio 2018. > Nuove responsabilità per titolare e responsabile (cd. accountability ) ESPRESSA possibilità della DESIGNAZIONE DIRETTA DI UN RESPONSABILE DA PARTE DI ALTRO RESPONSABILE (tramite delega del titolare) 13

LA SVOLTA: IL GDPR > I registri dei trattamenti 14

LA SVOLTA: IL GDPR > DATA BREACH Il GDPR richiede poi di comunicare al Garante le violazioni dei dati personali eventualmente subite entro un tempo molto stretto: 72 ore 15

LA SVOLTA: IL GDPR PRIVACY BY DESIGN e PRIVACY BY DEFAULT prevenire non correggere, cioè i problemi vanno valutati nella fase di progettazione; privacy come impostazione di default; privacy incorporata nel progetto; massima funzionalità, in maniera da rispettare tutte le esigenze (rifiutando le false dicotomie quali più privacy = meno sicurezza); sicurezza durante tutto il ciclo del prodotto o servizio; trasparenza; centralità dell'utente 16

LA SVOLTA: IL GDPR IL DPO la nomina di è obbligatoria in tre casi specifici: a) se il trattamento è svolto da un autorità pubblica o da un organismo pubblico; b) se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala; oppure c) se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati. 17

COSA DEVE FARE IL DPO Sorvegliare l osservanza del GDPR Effettuare una valutazione d impatto Valutare il rischio Tenere il registro dei trattamenti Fare da tramite fra il Titolare e l Autorità Garante Figura autonoma e super partes 18

IN SINTESI. E ORA CHE FARE? 19

GRAZIE PER L ATTENZIONE! stefania.tonutti@gmail.com www.linkedin.com/in/stefania-tonutti @TonuttiStefania Stefania Tonutti It and Privacy Expert Ph.D in Law and New Technologies 20

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back