Cliniche, RSA, studi medici. I dati sanitari sono tra i piu' protetti dalla legge — e i piu' ambiti dai criminali.
“Operatori e personale amministrativo accedono a cartelle cliniche di pazienti non in cura presso di loro.”
Sanzione GDPR aggravata per dati sanitari. I dati sanitari godono di protezione rafforzata.
Configura il gestionale clinico per limitare l'accesso alle sole cartelle dei pazienti in carico a ciascun operatore.
Un'infermiera ha consultato la cartella clinica di un personaggio pubblico per curiosita' personale. La violazione e' stata scoperta durante un audit e ha portato a una sanzione di €75.000.
“Referti medici e diagnosi trasmessi via email non cifrata. Risultati di laboratorio su WhatsApp.”
Violazione dati sanitari: obbligo di notifica entro 72h, sanzione fino al 4% del fatturato.
Smetti di inviare referti via WhatsApp e attiva un portale pazienti con accesso protetto.
“Email falsa dalla 'ASL' chiede di aggiornare le credenziali del sistema gestionale sanitario.”
Migliaia di cartelle cliniche compromesse con un singolo click.
Comunica a tutto il personale che la ASL non chiede mai credenziali via email e che ogni richiesta va segnalata.
“Cartelle cliniche cifrate dal ransomware. Impossibile consultare allergie, terapie in corso, anamnesi.”
Decisioni mediche senza dati. Rischio diretto per la sicurezza dei pazienti.
Prepara un protocollo cartaceo di emergenza con le informazioni critiche dei pazienti piu' a rischio (allergie, terapie salvavita).
L'attacco ransomware all'ASL Napoli 1 ha bloccato l'accesso alle cartelle cliniche per settimane, costringendo a tornare ai registri cartacei e posticipando migliaia di esami.
“Credenziali condivise tra operatori sanitari per velocizzare l'accesso al gestionale durante i turni.”
Nessuna tracciabilita' degli accessi. Violazione normativa. Impossibile compliance.
Implementa badge o PIN individuali per ogni operatore con timeout di sessione automatico.
“Dispositivi medici con software certificato anni fa, impossibile aggiornare senza ricertificazione.”
Punto d'ingresso nella rete clinica attraverso apparecchiature medicali.
Isola i dispositivi medici con software non aggiornabile su una rete separata con firewall dedicato.
“Backup mai testato delle cartelle cliniche. Il NAS nell'armadio non viene verificato da mesi.”
Perdita irreversibile della storia clinica dei pazienti. Responsabilita' medica e legale.
Testa oggi il ripristino di almeno 5 cartelle cliniche dal backup per verificare che funzioni.
“Nessun log di chi accede a quali cartelle cliniche, quando e perche'. Nessun sistema di alert.”
Il Garante chiede i log degli accessi e non li hai. Sanzione massima, danno reputazionale devastante.
Attiva i log di accesso sul gestionale clinico e conservali per almeno 6 mesi.
“Database pazienti esposto su porta standard senza firewall. Accesso remoto al gestionale senza VPN.”
Cartelle cliniche accessibili da internet. Violazione gravissima del GDPR.
Verifica che nessuna porta del database (MySQL 3306, PostgreSQL 5432) sia accessibile dall'esterno.
“Il fornitore del software gestionale sanitario subisce un attacco. I dati di tutti i tuoi pazienti sono a rischio.”
Non hai il controllo, ma hai la responsabilita'. GDPR Art. 28: il titolare risponde sempre.
Verifica che il contratto con il fornitore includa un DPA e clausole di notifica breach entro 24 ore.
“Email dal "direttore sanitario" chiede all'amministrazione di pagare urgentemente una fattura per apparecchiature mediche. L'IBAN e' diverso dal solito.”
Budget gia' limitato della clinica ridotto ulteriormente. Acquisto di apparecchiature ritardato, impatto sulla cura dei pazienti.
Richiedi che ogni pagamento sopra €2.000 sia autorizzato con firma congiunta e verifica telefonica del fornitore.
“Medici inviano referti via WhatsApp ai pazienti per comodita'. Radiografie fotografate e salvate su iCloud personale. App di telemedicina non approvate dalla struttura.”
Dati sanitari protetti dal GDPR su server americani senza DPA. Violazione automatica delle norme sulla localizzazione dei dati.
Attiva un portale pazienti conforme GDPR per la consegna referti e vieta l'uso di WhatsApp per dati clinici.
“Operatore sanitario dimesso consulta cartelle cliniche di ex-pazienti da casa con credenziali mai revocate. Infermiere copia dati sanitari su chiavetta per "studio personale".”
Accesso non autorizzato a dati sanitari sensibili. Violazione GDPR aggravata dalla tipologia di dato.
Esegui un audit degli account attivi: disabilita quelli di personale non piu' in servizio e rimuovi le sessioni attive.