Olanda: sanzione da 400mila euro ad un ospedale per insufficienti misure di sicurezza sulle cartelle cliniche dei pazienti
L'autorità di controllo olandese (Autoriteit Persoonsgegevens) ha imposto una sanzione amministrativa di 440.000 euro all'ospedale di Amsterdam OLVG per insufficienti misure di sicurezza per proteggere le cartelle cliniche da accessi da parte di personale non autorizzato. A seguito di vari reclami, il garante olandese aveva condotto un'indagine, effettuato un audit del sistema informativo dell'ospedale, analizzando vari aspetti di sicurezza.
A seguito delle verifiche, l’autorità ha concluso che l’ospedale aveva sistematicamente omesso di salvaguardare adeguatamente l'accesso alle cartelle cliniche, identificando due violazioni specifiche riguardanti i processi di autenticazione e di verifica del login.
Secondo la Autoriteit Persoonsgegevens, in considerazione della natura sensibile dei dati (compresi i dati sanitari), la larga scala del trattamento e i rischi rispetto alla privacy degli interessati, l’ospedale avrebbe dovuto in primo luogo implementare l'autenticazione a due fattori per l'accesso ai dati personali nelle cartelle cliniche elettroniche, mentre questa modalità più sicura era stata implementata solo per accedere dall'esterno alla rete dell’ospedale, mentre il personale poteva accedere alla rete aziendale utilizzando esclusivamente un nome utente e una password.
Inoltre, è emerso che era in vigore un "Single Sign-On", ovvero un'unica autenticazione che dopo l'accesso permetteva di accedere immediatamente al sistema informativo dell'ospedale e alle cartelle cliniche elettroniche. Peraltro, l’autorità ha osservato che, nella propria privacy policy e nell’informativa sulla sicurezza delle informazioni, l’ospedale faceva riferimento agli standard NEN 7510,NEN 7512 e NEN 7513, i quali prevedono che l'identità degli utenti debba essere stabilita mediante l'autenticazione a due fattori.
Secondo l'autorità, un ospedale come l’OLVG avrebbe dovuto conservare le registrazioni di quali cartelle cliniche sono state consultate e da chi, verificandole regolarmente per poter identificare gli accessi non autorizzati e adottare di conseguenza idonee misure di sicurezza. Anche se l’ospedale disponeva di un sistema di tracciamento automatico degli accessi, tuttavia aveva omesso di controllare e verificare regolarmente le registrazioni, limitandosi a due soli controlli casuali e otto controlli incidentali della registrazione di un’unica cartella clinica elettronica nell’arco di un anno.
Pertanto, l’autorità di controllo ha riscontrato che l’ospedale non aveva agito in conformità con le proprie procedure, mancando di provvedere un adeguato livello di sicurezza per quanto riguarda l'identificazione degli accessi non autorizzati ai dati, e mancando di adottare adeguate misure di sicurezza in risposta ad accessi non autorizzati alle cartelle dei pazienti.
Anche se durante l’istruttoria l’ospedale OLVG è corso ai ripari implementando ulteriori misure di sicurezza, inclusa l'autenticazione a due fattori all'interno della rete dell'ospedale e il monitoraggio della registrazione su base strutturale, l'autorità di controllo dei Paesi Bassi ha comunque ritenuto che l’ospedale avesse violato l'articolo 32, paragrafo 1, del Gdpr, infliggendogli una sanzione di 440.000 euro. L’OLVG ha annunciato che non farà ricorso.