A inizio dicembre 2022, il centro ospedaliero di Versailles è stato vittima di un attacco informatico su larga scala che ha messo in ginocchio il sistema informatico. L’attacco ha evidenziato nuovamente la questione della protezione dei dati sanitari, dal momento che queste informazioni sensibili sono particolarmente ricercate dagli hacker che le rivendono sul dark web. Infatti, le strutture sanitarie sono tra le organizzazioni più colpite dalla pirateria informatica: solo nel settore sanitario, nel 2021 si sono registrati oltre 730 incidenti, ossia più del doppio rispetto all’anno precedente (fonte). Per fortuna, alcune soluzioni permettono di proteggere questi dati e di offrire una sicurezza ottimale ai pazienti, grazie a fornitori certificati HDS, come Oodrive Work, utilizzato dall’Université Libre de Belgique.
I dati sanitari in Francia sono protetti in modo inadeguato?
L’attacco informatico contro gli ospedali di Versailles è tutt’altro che un’eccezione. Pochi mesi prima, il centro ospedaliero di Corbeil-Essonnes ha subito un’intrusione catastrofica nel proprio sistema informatico, con il furto di numerosi dati sanitari e disagi prolungati nel funzionamento delle strutture associate.
Dobbiamo concludere che i dati sanitari in Francia sono protetti in modo inadeguato? Sebbene sia difficile rispondere a questa domanda, resta il fatto che le strutture ospedaliere francesi non dispongono di mezzi per lottare contro gli attacchi informatici, sempre più aggressivi e perfezionati. Rispetto alle problematiche vissute quotidianamente dagli ospedali pubblici (carenza di personale, riduzione degli stanziamenti, eliminazione di posti letto…), le questioni legate alla cibersicurezza e alla sovranità dei dati passano troppo spesso in secondo piano.
Un caso emblematico: la polemica sull’Health Data Hub
La situazione si complica ulteriormente in un contesto di condivisione dei dati sanitari. La polemica nata a seguito della creazione dell’Health Data Hub nel 2019 è indicativa dei limiti che riguardano le iniziative governative. L’HDH aggrega i dati del Sistema Nazionale dei Dati Sanitari per migliorare la qualità delle cure e l’assistenza ai pazienti, nonché per favorire la ricerca.
Il problema è che l’hosting dei dati è fornito da Microsoft, una società soggetta alla legge statunitense, e quindi al Cloud Act, in base al quale il governo può procurarsi qualsiasi dato custodito tramite hosting presso una società avente sede legale nel territorio statunitense. Ora, se si tratta di migrare i dati verso una soluzione sovrana, francese o europea, non è previsto che ciò avvenga prima del 2025… A condizione di convincere gli ospedali accademici dell’interesse di questa migrazione, visto che dispongono di strumenti forniti quasi gratuitamente da Microsoft!
Il tema della protezione dei dati va quindi di pari passo con quello della dipendenza tecnologica da soluzioni straniere. Tuttavia, l’ecosistema francese dispone di fornitori di servizi cloud in grado di offrire l’hosting di questi dati sanitari in tutta sicurezza: ormai è facile identificarli, grazie alla certificazione HDS.
Quale quadro normativo per i dati sanitari?
Nell’ambito del loro hosting nel cloud e del loro trattamento, i dati sanitari, in Francia come in Europa, godono di un quadro giuridico sempre più preciso. Considerati “sensibili”, sono integrati nel quadro normativo definito dal GDPR a livello europeo, a sua volta trasposto nel diritto francese, sotto la rigida sorveglianza della CNIL. Questo quadro obbliga i titolari del trattamento a offrire una protezione ottimale ai dati personali degli utenti, soprattutto alle informazioni riguardanti la salute. Di conseguenza, tutte le organizzazioni (pubbliche o private) che forniscono hosting a dati sensibili di questo tipo o che li utilizzano devono essere certificate “Hébergeurs de Données de Santé” (HDS, ossia “fornitori di hosting per dati sanitari”). Questa certificazione mira a garantire la qualità del servizio dei fornitori di hosting per i dati sanitari, attraverso misure di sicurezza rafforzate. In concreto, si tratta di una sovrapposizione applicata alla norma ISO 27001 sulla sicurezza dei sistemi informatici. Rilasciata da un organismo accreditato dal Cofrac, la certificazione presuppone, per essere ottenuta, il superamento degli audit dedicati sia alla norma ISO, sia alla norma HDS.
La soluzione Oodrive Work per proteggere i dati sanitari: il caso dell’ULB
Il caso del centro di screening neonatale dell’Université Libre de Belgique, che utilizza la soluzione Oodrive Work dall’ottobre 2022, mostra tutto l’interesse dell’utilizzo di uno strumento dedicato alla protezione dei dati e fornito da un fornitore certificato HDS.
Il centro di screening analizza i risultati degli esami del sangue eseguiti su quasi 50.000 neonati. Questo screening sistematico consente di individuare problematiche invisibili alla nascita per assicurare un intervento tempestivo.
Una volta ricevuti i risultati, l’ULB li condivide con i reparti maternità interessati, esterni al campus universitario.
“La trasmissione dei risultati è una fase importante dello screening”. “La comunicazione tra il centro di screening e i reparti maternità rappresenta quindi una parte importante delle nostre attività“, sottolinea Lionel Marcelis, Responsabile del Laboratorio.
Si tratta di dati estremamente sensibili, la cui riservatezza deve essere garantita. Il centro ha quindi cercato un servizio cloud certificato HDS, “dato che le soluzioni utilizzate in precedenza non erano soddisfacenti, perché troppo pesanti, troppo lente e troppo poco protette”.
I vantaggi offerti da Oodrive Work
Si è quindi fatto ricorso a Oodrive Work, la piattaforma di condivisione di documenti sensibili e di lavoro collaborativo ideata da Oodrive. La soluzione, nota da anni all’ULB perché utilizzata da un ospedale partner, risponde a tutte le esigenze del centro di screening: veloce e intuitiva, offre un elevato livello di sicurezza, ma anche di disponibilità, il che è fondamentale perché “i risultati sono potenzialmente di vitale importanza per i neonati e devono essere accessibili ai reparti maternità il più rapidamente possibile“, precisa Lionel Marcelis.
Così, grazie a Oodrive Work, ogni reparto maternità ha accesso a un’area protetta che centralizza tutte le comunicazioni. La certificazione HDS di Oodrive era quindi fondamentale per l’ULB, soprattutto perché i dati sanitari sono custoditi in data center francesi.
Al di là dell’esempio dell’ULB, la pertinenza di una soluzione come Oodrive Work dimostra che in Francia è possibile disporre di strumenti seri e di qualità che garantiscono la sicurezza e la sovranità dei dati, e quindi la loro riservatezza. Questo, per le strutture sanitarie, deve diventare progressivamente una priorità assoluta.