AUTORE PRINCIPALE
Maria Chiara Corvasce
AFFILIAZIONE
Dipartimento di Ingegneria e Architettura
VALUTA IL CHALLENGE
GRUPPO DI LAVORO
Maria Chiara Corvasce – Dipartimento di Ingegneria e Architettura, Friuli-Venezia Giulia
Michela Stella – Dipartimento Ingegneria e Architettura, Friuli Venezia-Giulia
Zangrando Riccardo – ASUIUD, Friuli Venezia-Giulia
Dantoni Massimo – ASUIUD, Friuli Venezia-Giulia
Michele Bava – IRCCS materno-infantile Burlo Garofolo, via dell’Istria 65/1
AREA TEMATICA
ICT ed informatica medica
ABSTRACT
INTRODUZIONE
La connessione dei DM ad una rete IT-medicale rappresenta un vantaggio per la cura ma implica un’accurata valutazione del rischio poiché le informazioni scambiate sono idonee a rivelare lo stato di salute dei pazienti. Il GDPR introduce in un nuovo modello di gestione della privacy anche la valutazione d’impatto (PIA) dei trattamenti con l’obiettivo di gestire e monitorare i rischi legati ai dati clinici e sanitari. Lo scopo di questo studio è quello di dare un valore numerico alla PIA e integrarla con un Indice per la Valutazione dei Rischi (IVR) calcolato sui singoli DM considerando l’uso sicuro ed efficace dei dispositivi la privacy e la sicurezza di dati e sistemi.
MATERIALI E METODI
Lo studio è stato svolto presso il S.O.C. Ingegneria Clinica dell’Ospedale S.M.M. di Udine e l’Ufficio Sistema Informativo dell’IRCSS “Burlo Garofolo“ di Trieste. Per la valutazione d’impatto è stato sviluppato e rielaborato un questionario che ripropone il software PIA del CNIL. Il questionario è stato applicato a una quarantina di DM per i quali si è ricavato il grado di protezione per accesso modifica e perdita di dati. Il grado di protezione è stato utilizzato per calcolare probabilità e gravità del rischio necessarie per il calcolo della matrice del rischio. Tali valori poi sono stati riportati come fattori e categorie di rischio all’interno dell’IVR fornendo l’input ai modelli statistici che hanno permesso di ottenere i pesi per il calcolo dell’IVR per ogni DM.
RISULTATI
Effettuando le misure e calcolati gli indici è emerso che la gran parte dei DM analizzati secondo i parametri della PIA presentano rispettivamente rischi medi/bassi per la perdita e medi per l’accesso e la modifica dei dati. I modelli statistici hanno permesso di ottenere valori per l’IVR con elevata specificità e sensibilità. I risultati evidenziano l’attesa collinearità tra le categorie di rischio privacy e sicurezza informatica e utilizzando la sola privacy si è ottenuta una equazione rappresentativa a un costo computazionale inferiore e a parità di risultati.
CONCLUSIONI
Il questionario oltre che essere pensato e riadattato per l’ambiente sanitario consente una valutazione oggettiva del rischio del singolo DM evidenziandone i punti di forza e quelli critici. Integrando il risultato nell’IVR è possibile attuare un’analisi predittiva sul parco macchine dell’azienda ospedaliera e tracciare la sicurezza dei dati sul singolo DM conformemente al GDPR.
