GDPR e misure a favore della sicurezza informatica spesso sono i grandi assenti della Sanità, analogica o digitale che sia. Questo il panorama che si presenta agli occhi del professionista dell’audit chiamato a verificare la compliance privacy presso strutture sanitarie.
La mia esperienza, fino all’avvento del GDPR, era stata limitata all’azienda manifatturiera e quando ho approcciato questo nuovo settore mi aspettavo una ben diversa sensibilità ai temi della data protection, ma purtroppo nella maggior parte dei casi mi sono dovuto ricredere!
I miei audit iniziano non appena entro nei parcheggi delle aziende: la prima cosa che osservo è la presenza o meno di impianti di videosorveglianza; una volta individuati mi piace verificare che siano presenti i cartelli di informativa breve: molto spesso presenti, ma indicanti solo una laconica dicitura “area videosorvegliata” e posizionati a ridosso dell’impianto. Mi faccio già un’idea, visto che il Garante nel suo Provvedimento 8 Aprile 2010, prescrive che il cartello deve contenere indicazioni sul Titolare del trattamento e sulle finalità per le quali l’impianto è stato installato, oltre a dover essere posizionato preventivamente all’entrata del campo di azione della telecamera. Una volta entrato nella struttura cerco un’informativa estesa che mi renda tutte le informazioni obbligatorie previste dal Provvedimento del Garante, ma anche dall’Art. 13 del GDPR: vorrei sapere, ad esempio, per quanto tempo vengono conservate le registrazioni. La mia ricerca rimane senza risultato: nella quasi totalità dei casi non trovo evidenza!
Una volta entrato nella struttura, mi trovo in sala riunioni con il Direttore sanitario, il Direttore della struttura, il Responsabile IT (un dipendente o una società esterna che fornisce il servizio) e un Responsabile HR o amministrazione. Alla prima domanda sono orgogliosi di riversarmi sul tavolo i faldoni con tutta la documentazione che dovrebbe servire ad evadere il compito richiesto dal GDPR: registro trattamenti, valutazione rischio, nomine, informative, ecc.
Gestione dati dei pazienti: dove sono gli archivi?
Mi focalizzo su quello che mi interessa maggiormente: i dati dei pazienti. Mi aspetto di trovare all’interno del registro un trattamento dal nome “Gestione dei dati dei pazienti” e da quello poter ricavare tutte le informazioni che cerco senza porre alcuna domanda ai miei “inquisiti”: dove sono questi dati? In quali archivi? Come li hai protetti? Fuori di qui chi può accedervi?
I registri dei trattamenti non rispondono mai alle mie domande, le valutazioni del rischio contengono monocromatiche tabelle verdi dove il rischio residuo ha valore 1, le nomine degli addetti sono tutte uguali: dai medici agli infermieri, fino agli amministrativi, tutti trattano gli stessi dati e hanno preso visione di istruzioni che io non riesco a trovare.
E allora decido di condurre l’audit a modo mio e non in sala riunioni. La prima destinazione sono i reparti, dove ancora mi meraviglio di trovare all’entrata delle stanze i nominativi dei ricoverati che, in alcune strutture, sono addirittura “pubblicati” sul letto. Appena faccio notare che sarebbe meglio pseudonimizzare il dato applicando il principio della minimizzazione si rompe l’idillio con i mei interlocutori che mi riportano alla realtà con la parola “impossibile!”. Ho acquisito una certa resilienza e come auditor mi è sempre piaciuto mantenere un atteggiamento collaborativo: quindi spiego sempre i rischi derivanti e le possibili soluzioni: vi farebbe piacere far sapere ad un vostro conoscente che vi siete sottoposti ad un’interruzione di gravidanza? O che siete ricoverati in oncologia? E’ un problema sostituire il nome e cognome del paziente con il numero di cartella clinica?
Conveniamo che la misura è a costo zero e che può essere addirittura migliorativa per l’identificazione del cliente limitando anche possibili errori nella somministrazione della terapia farmacologica.
Cartelle cliniche sotto gli occhi di tutti
Tornando mi fermo nella guardiola, notoriamente un porto di mare, dove sono presenti i carrelli utilizzati dai medici per contenere le cartelle cliniche durante il loro giro di visite: sono sempre costantemente aperte e abbandonate a sguardi indiscreti. Lo stesso dicasi per le cartelle infermieristiche e addirittura per i quaderni degli operatori socio sanitari (O.S.S.) abbandonati un po’ ovunque: quando li trovo mi piace aprirli e leggerli in loro presenza riportando quante volte il paziente si è scaricato, se è stato dotato di pannolone ed altri particolari che non mi piacerebbe fossero a disposizione di tutti.
Dopo i reparti visito gli ambulatori. Passati ormai i 45 anni ricordo la mia prima visita di controllo alla prostata, dove un’infermiera urlò il mio nome e cognome nel bel mezzo della sala d’attesa e mi interrogò sullo stato della mia vescica e l’idoneità a un’eventuale ecografia: riusciamo ad utilizzare i numeri da sala d’attesa quando siamo in coda dal salumiere e siamo ancora lontani dall’utilizzarli nelle struttura sanitarie, eppure non sarebbe così costoso anonimizzare un dato!
Gli aneddoti raccolti quando si instaura un rapporto di confidenza sono tanti: c’è il medico che racconta di quando consegnò la ricetta del Viagra alla moglie di un paziente (ma si scoprì che non utilizzava il farmaco con la moglie e ovviamente non aveva richiesto il consenso a comunicare dati relativi allo stato di salute a soggetti terzi). La stessa cosa successa con la ricetta di una pillola anticoncezionale consegnata ad una madre ignara dell’attività sessuale della figlia.
Nota estremamente negativa è che alcuni medici di base hanno la cattiva abitudine di lasciare le impegnative per visite mediche, ricette per farmaci e certificati di malattia nella cassetta delle lettere al di fuori dello studio; quando rilevo la non conformità la candida risposta è che lo fanno per rendere un servizio snello ai pazienti e che in ogni caso chiudono le ricette con due punti di agganciatrice!
Il risultato è che quando vado a ritirare la mia impegnativa, sfoglio anche quella dei miei vicini. Ma può succedere anche che un buontempone porti via l’intera cassetta delle lettere (che sia un data breach?).
I dati sulla salute: perché è cruciale proteggerli
Molte volte mi trovo a dover far comprendere l’importanza di un dato relativo allo stato di salute: se l’azienda alla quale vi siete candidati sapesse che siete cardiopatici, vi assumerebbe? O vi preferirebbe ad un altro candidato sano come un pesce? Se la compagnia assicuratrice sapesse che siete cardiopatici, vi assicurerebbe per una polizza sanitaria? E se lo facesse, a quale prezzo sarebbe?
Vi ricordate Sergio Marchionne? FCA è stata bravissima a tenerne nascosto lo stato di salute: la notizia della malattia, ormai terminale, è stata data il venerdì sera a mercati chiusi : il lunedì mattina era praticamente pronto il nuovo board. Quali sarebbero state le conseguenze di un prolungato stato di malattia sul titolo in Borsa?
Le strutture sanitarie non hanno quasi mai macchine distruggi-documenti o se le hanno non sono funzionanti. Ma i miei interlocutori raccontano che minuziosamente spezzettano i documenti prima di gettarli. E’ gioco facile confutare la loro misure di sicurezza: basta infilare la mano nei cestini per “pescare” referti perfettamente leggibili o macro-angoli di documenti che contengono per intero dati personali. Così come è sufficiente passare la sera e prelevare il bidone della carta incustodito fuori dalla struttura per accedere a dati personali (e di nuovo: che sia un data breach?). Non a caso le indagini di polizia giudiziaria partono spesso proprio dai rifiuti. Perché raccontano tutto di noi.
Visto che parliamo di privacy “analogica” chiedo: come vengono effettuate le pulizie? Quasi sempre vengono affidate in appalto a ditte specializzate che inviano i loro operatori negli orari serali o di prima mattina dove c’è scarsa presenza di personale. Di conseguenza sono liberi di “scorrazzare” tra le carte delle scrivanie degli uffici amministrativi, risorse umane, ambulatori, ecc., venendo a contatto con dati personali dei pazienti, del personale dipendente e di altri soggetti. Non a caso se all’interno di un’azienda vuoi sapere qualcosa devi rivolgerti alla signora delle pulizie.
Mi aspetterei che all’interno del contratto fossero presenti clausole in grado di obbligare il fornitore a formare il personale in materia di privacy, sulla riservatezza delle informazioni eventualmente acquisite e che fossero date istruzioni specifiche sullo smaltimento della documentazione cartacea.
Altro test della mia personale checklist di audit: fermare a caso qualche addetto e chiedergli “cos’è un dato particolare?” Silenzio assoluto: nella documentazione mi mostrano degli attestati rilasciati dopo aver frequentato un corso in e-learning; premetto che sono prevenuto, ma non riesco a trovare un programma del corso e neanche i test di valutazione: vengo poi a sapere che le domande erano sempre le stesse e i discenti si scambiavano le risposte.
Ma i principi del GDPR di accountability, responsabilizzazione e consapevolezza dove sono finiti? E le lettere di nomina degli addetti al trattamento tutte uguali e senza istruzioni, a cosa sono servite?
Infrastruttura IT nell’ospedale, questa sconosciuta
Terminato l’audit della privacy “analogica”, passo a quella “digitale”. E alla “inquisizione” del responsabile IT che fino ad ora se l’era risa sotto i baffi. La cosa più difficile è farsi un’idea di come è strutturata l’infrastruttura IT, informazione difficilmente recuperabile dalla documentazione visionata.
Anche qui il mio maggiore interesse si sofferma sul software utilizzato per la gestione della cartella clinica. Prima di approcciare il settore sanitario ero convinto che mi sarei trovato di fronte a dei SAP della sanità, ma con mia meraviglia ho constatato che molto spesso questo tipo di gestionali sono sviluppati da piccole aziende o liberi professionisti senza alcuna conoscenza dei principi di privacy by design e privacy by default e che alla prima difficoltà economica o tecnica ti piantano in asso intrappolandoti in un gestionale senza assistenza e senza sviluppi.
Spesso sono forniti in versione cloud (o, per i tecnici, in modalità SaaS), il protocollo utilizzato per la connessione molto spesso è un http e, non essendo criptato, il più sprovveduto degli hacker è in grado di arrivare al database, che ovviamente risponde da un indirizzo pubblico e qualunque soggetto può potenzialmente accedervi.
Non vengono impostate di default delle policy per la gestione delle credenziali di autenticazione, non vengono cambiate le password e non esistono criteri per la definizione della complessità: ricordiamoci che conoscendo le credenziali posso accedere anche dal computer di casa mia e le password le ho già viste appiccicate ai desktop dei medici con un post-it. Siamo alle minime regole dell’ormai pensionato Allegato B del 2003. Quindi aumento il livello dell’audit: il database è criptato? Avete inserito un sistema di strong authentication per l’accesso da remoto, con PIN di conferma sul telefono per controllare eventuali accessi abusivi? E’ previsto un tempo per la disconnessione automatizzata della sessione?
Sanità digitale, dov’è la protezione cloud?
Al contrariato Responsabile IT chiedo: come mai questi aspetti di vulnerabilità dei sistemi non sono stati presi in esame nella valutazione del rischio? Ma vorrei anche sapere: dove risiedono fisicamente i database, in quale server farm? Nel bagno della software house o in un protettissimo data center certificato secondo la norma ISO 27001? E qui inizia la ricerca dell’informazione, mentre mi aspettavo semplicemente di trovarla nel registro dei trattamenti.
I sistemi cloud vanno benissimo e sono il futuro, ma vanno adeguatamente protetti altrimenti sono facilmente vulnerabili. La cosa peggiore è che non sono previsti livelli di autorizzazione specifici: questo comporta che il personale amministrativo, dovendo produrre una fattura, può accedere anche a informazioni contenute nella cartella clinica che dovrebbero essere accessibili solo al personale medico. Non sono previsti sistemi che inibiscano il download o la stampa delle cartelle al personale non autorizzato.
Mi accorgo che sono “infilate” chiavette USB ovunque e spesso giacciono incustodite sulle scrivanie dei medici. Esistono delle policy per il loro utilizzo? Servono veramente? Sono criptate o protette da una password? Legate alle chiavette esiste una problematica in entrata: i penetration test partono sempre lasciando una chiavetta in prossimità della porta di ingresso dell’azienda e vi assicuro che c’è sempre un addetto non istruito che “infila” il dispositivo nel PC per vedere cosa contiene. Ovviamente si scatena l’inferno: e il penetration test è già finito.
C’è poi una problematica in uscita: posso prelevare dati, anche in maniera lecita e perdere la chiavetta; chi la trova può accedere ai dati se non sono criptati (che sia un data breach?).
Nella mia esperienza ho trovato medici che fanno i backup sulle chiavette che ripongono nella stessa borsa del notebook. E la prima volta che lasciano il tutto sul sedile posteriore dell’auto, il furfante di turno gli porta via tutto con relativa disperazione del derubato.
Provate a considerare il danno: furto di dati nel notebook, dei back up dati nella chiavetta; in aggiunta chi me li sottrae ha accesso a tutto in chiaro, perché ovviamente il disco fisso del notebook non viene mai criptato (che sia un data breach?).
Nessuna documentazione per backup e disaster recovery
Il backup è per me, da sempre, il tema centrale dell’audit: posso dimenticarmi un’informativa o una nomina, ma se perdo i dati cosa succede? E quindi mi aspetto di trovare nella documentazione l’unica procedura che veramente conta: quella di backup e disaster recovery. E invece è sempre l’unica che manca; i backup è consuetudine che vengano raccontati e tramandati oralmente tra le varie generazioni di Responsabili IT. Ma se succede qualcosa, chi ne è responsabile?
I backup vengono fatti, ma il problema è: dove vengono fatti? Molto spesso in un’unità NAS a fianco del server o in un disco all’interno del server stesso. Ma se si incendia la sala server o una scossa di terremoto fa crollare la struttura? Rischio di perdere i dati e anche le relative copie di backup. Questi rischi sono da valutare: serve predisporre copie anche ad una distanza di sicurezza dalla sede principale.
Mi aspetto che la sala server di una struttura sanitaria sia protetta da accessi con badge magnetici con registrazioni dei Log di accesso e che siano dotate di sonde per la rilevazione della temperatura e sonde sismiche, abbiano impianti di rilevazione fumo con relativi impianto antincendio e che siano sostenute da generatori diesel che le alimentino in caso di interruzione della corrente elettrica, ricordandosi di testare periodicamente i generatori (perché nel momento del bisogno non partono mai: provate a non mettere in moto la vostra auto per alcuni mesi, difficilmente partirà!).
Altro dato che dovrei trovare è il tempo di retention, ovvero quanto tempo ho a disposizione per recuperare un file se erroneamente l’ho cancellato o modificato. Se il backup sovrascrive quello precedente non lo recupero!
Altro dato fondamentale è il tempo di ripristino dei dati in caso di incidente alla server farm: posso avere anche copie di backup fatte benissimo, ma non ho più l’hardware: quanto tempo impiego a recuperare una macchina analoga che mi permetta di ripartire? Poi devo riconfigurare i sistemi e reinstallare quelli che mi permettono di lavorare e, in ultimo, caricare le copie di backup.
Devo avere un piano e magari noleggiare un hardware con un contratto che preveda consegne urgenti in tempi brevissimi, in alternativa potrei avere delle macchine virtuali in un data center con i gestionali già configurati che aspettano solo che carichi le copie di backup. Tutto questo ha ovviamente dei costi, ma ricordiamoci che siamo in un ospedale o comunque in una struttura sanitaria e ho dei pazienti che aspettano, magari con delle urgenze. Potrei causar loro dei danni che sarei chiamato poi a risarcire a costi ben più alti.
Reti wifi, porte aperte al malware
Ci sono poi le reti wifi, che testo immediatamente chiedendo la password per potermi collegare e una volta in rete riesco a “vedere” tutti i dispositivi collegati e potenzialmente posso entrarci agevolmente e se proprio non riesco potrei infettarli con un bel malware.
Vedo poi collegati alla rete aziendale le telecamere wifi, dove magari non sono state cambiate le credenziali di default e quindi cercando su internet il modello posso agevolmente prenderne il controllo, vedo anche tutti i telefoni cellulari privati dei dipendenti e dei medici, pratica altamente pericolosa perché un device infettato può mettere a rischio la rete aziendale.
Tutto questo risolvibile creando una rete guest separata da quella principale e che non incroci i device aziendali evitando di apportare danni alla rete. Molto spesso anche “raccogliendo” un cavo di rete e inserendolo nel mio PC mi è permesso l’accesso alla rete aziendale senza bisogno di alcuna autenticazione.
Ci sono poi le multifunzioni che vengono utilizzate per scansionare documentazione di varia natura: dai referti alla buste paga del personale, documenti amministrativi, ecc. Il tutto finisce in una cartella condivisa alla quale tutti possono accedere e visionare i documenti; la cartella non viene mai svuotata. Eppure la misura di sicurezza sarebbe a costo zero, basterebbe che le scansioni fossero dirottate sull’account dell’utente o su una cartella di rete con specifiche policy di autorizzazione.
Le stampe vengono poi lanciate su stampanti lontane chilometri dalla postazione e le stesse rimangono parcheggiate per ore nel vassoio esposte agli sguardi di chiunque passi per il corridoio. Eppure la misura di sicurezza sarebbe a costo zero, basterebbe attivare la funzione che genera un PIN da digitare sulla macchina per sbloccare la stampa al momento del ritiro.
Referti inviati via email o via Whatsapp
Poi si apre il capitolo posta elettronica, dove spesso i medici che operano nella struttura non sono dipendenti e utilizzano i loro account privati per le comunicazioni con i pazienti. Gli account sono spesso free e di conseguenza utilizzano standard di sicurezza bassi (altrimenti perché esisterebbero i servizi pay) e vengono utilizzati anche per lo scambio di referti contenuti in file non protetti da password. Le password dell’account non vengono mai cambiate e non sono attivati sistemi che creino un alert in caso di tentativi di accesso da dispositivi diversi, spesso sono utilizzati da tutti i componenti della famiglia del medico per qualsiasi cosa.
I medici hanno anche la cattiva abitudine di scambiare referti o altri dati sanitari con i pazienti mediante Whatsapp, sistema che espone ad errate condivisioni o a facili accessi da parte di altri soggetti.
Nella documentazione non trovo mai un registro delle reti VPN assegnate a soggetti interni ed esterni, non esiste una mappatura precisa e puntuale dei soggetti che hanno le chiavi di casa e possono accedere in qualsiasi momento ai data base con la possibilità di fare qualsiasi cosa con i dati contenuti. Tra questi soggetti ci sono solitamente i “fatidici” amministratori di sistema, che in barba al Provvedimento del Garante entrano ed escono indisturbati dal sistema informatico. Spesso l’infrastruttura è gestita da società con più dipendenti che accedono da remoto con le stesse credenziali e il risultato è la perdita completa del controllo del traffico e delle persone autorizzate all’accesso.
Ma il Responsabile sostiene che non è responsabile: perché non tratta dati e rifiuta di controfirmare un accordo ai sensi dell’Art. 28 del GDPR, sostiene anche che il Provvedimento del Garante sugli amministratori di sistema è stato abrogato dal GDPR, ma non riesce a dirmi dove lo posso constatare.
Ricordo che l’Art. 32 del GDPR prevede che il Titolare del trattamento metta in campo “una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento”. Sono stati eseguiti test di vulnerabilità o dei penetration test per verificare quanto previsto dal comma? No. Troppo costosi.
Probabilmente una privacy “di carta” costa molto meno.