Dalla dematerializzazione alla circolarità dei dati sanitari

Le informazioni a carattere sanitario possiedono maggiore valore rispetto a quelle di altre categorie di dati personali. Se ad essere rubata è una carta di credito le informazioni trafugate possono generare un danno limitato nel tempo. Al contrario, quelle personali a carattere sanitario contengono dati identificativi (quali numeri previdenziali e indicazioni mediche) che risultano permanenti. Come si accennava nell’articolo Il dato sanitario e le sue vulnerabilità, i dati digitali sanitari risultano essere oggetto di mercimonio sul deep web per una cifra di 10-50 dollari a record, vale a dire 10-50 volte il valore di un numero di carta di credito.

Il settore sanitario ha operato il passaggio dal dato cartaceo al dato digitale per ragioni di efficienza. Solo successivamente gli enti sanitari, gli ospedali e i medici hanno cominciato a preoccuparsi della sicurezza dei dati sotto la pressione di normative e di una nuova consapevolezza acquisita a causa del numero di violazioni avvenute. Se l’efficienza si è rivelata la più rilevante leva per l’adozione dell’Information Technology (IT) nel settore sanitario, la sicurezza è stata solo una valutazione ex post. Parimenti gli sforzi per introdurre la tecnologia nell’assistenza sanitaria proseguono ad un ritmo incessante, in particolare nell’Unione Europea: in Belgio, un eID (identità elettronica) dotato di microchip permette alle persone di accedere ai propri dati sanitari, mentre il Regno Unito è un passo avanti rispetto agli altri Paesi membri europei con le cartelle cliniche elettroniche.

La strong authentication nei contesti sanitari critici

L’utilizzo della Strong Authentication è specificatamente utile per la gestione degli accessi in taluni critici contesti sanitari: le applicazioni per il “Fascicolo Sanitario Elettronico“; l’accesso remoto di dipendenti e utenti alle risorse IT e ai portali delle organizzazioni sanitarie (dove il rischio di violazione o compromissione dipende anche dalla sicurezza dei dispositivi utilizzati); la protezione delle applicazioni mediche mobili che, facilitando la condivisione di immagini mediche e cartelle cliniche, espongono a potenziale compromissione i dati sensibili, soprattutto quando vi si accede con un dispositivo personale e/o tramite reti Wi-Fi insicure.
Le logiche criminali si inseriscono proprio sulle lacune delle procedure di autenticazione di un’organizzazione: pertanto raccogliere i benefici connessi con la tecnologia richiede la capacità di fornire Strong Authentication; non riuscire a farlo introduce rischi inutili e non specificati e pone i dati critici dei pazienti a portata di mano dei pirati informatici. Inoltre va detto che la soluzione deve essere indipendente dalla piattaforma e deve garantire il medesimo livello di servizio attraverso tecnologie mobili o da desktop, oltre che consentire l’integrazione di vari protocolli tecnologici tra cui Bluetooth, token e smart card.

Un recente episodio di cronaca: la Wada e i pirati informatici

Il 13 agosto 2016, da una base polacca di Anonymous, è stato mosso un attacco ai server canadesi della WADA (World Anti-Doping Agency), gli hacker sono riusciti a penetrare nelle schede “Adams” dei singoli atleti impegnati nelle Olimpiadi di Rio de Janeiro. Stando alle ricostruzioni attuali, gli hacker avrebbero violato “Adams” (il sistema con cui la WADA monitora gli spostamenti e verifica gli esiti dei controlli – in seconda battuta dopo le Federazioni internazionali) per recuperare i test positivi prima e durante le Olimpiadi di migliaia di professionisti delle più differenti discipline sportive.
All’interno delle schede ci sarebbero anche test positivi annullati dal possesso di autorizzazioni terapeutiche (Tue) per curare patologie in corso. Il Tue viene rilasciato dalla Federazione internazionale a seguito di test medici accurati e permette agli atleti di assumere sostanze dopanti nel momento in cui non esiste alternativa alla cura con farmaci non inseriti nella lista Wada. Tra le immediate conseguenze di questo episodio una riguarda il ragionamento del presente contributo: si tratta dell’ennesima dimostrazione della fragilità del sistema informatico (nel caso in esame di Wada) che ha permesso ai sabotatori di monitorare gli spostamenti degli atleti e di leggere i dati sanitari sensibili.
Se tale episodio tematizza le minacce in essere relative ai dati sanitari, occorre anche segnalare che vi sono molte opportunità da cogliere dentro questa transizione di paradigma. Una fra tutte quella che riguarda la circolarità dei dati e la realizzazione di un ospedale diffuso.

Dalla dematerializzazione alla circolarità dei dati sanitari nell’ospedale diffuso

Nel libro The patient will see you now: The future of medicine is in your hands il medico ricercatore Eric Topol descrive un ospedale che sembra indicare la via da seguire: il Montefiore Medical Center in New York City. Con le sue dodici sale operatorie, le quattro sale di procedura, un avanzato centro servizi di imaging, un laboratorio e una farmacia rappresenta una punta avanzata della sanità statunitense con un particolare che lo contraddistingue dagli altri: non ha posti letto.
Le ragioni di ciò sono diverse e si possono riassumere nei seguenti punti: I) le procedure mediche sono migliorate e alcune delle operazioni che richiedevano una degenza oggi possono essere realizzate su base ambulatoriale; II) si sta lavorando molto per spostarsi dalla malattia al benessere: prevenire è sempre preferibile al curare e in questo senso le compagnie di assicurazione hanno fornito incentivi basati sui dati a coloro che adottino misure per vivere in modo più sano; III) i miglioramenti nelle tecnologie diagnostiche quali l’imaging o lo sviluppo di nuovi test (come etilometri per lo stomaco) permette ai medici di individuare la patologia mentre è più curabile; IV) la fornitura di cure mediche a domicilio comporta che la stanza d’ospedale del prossimo presente sarà la stanza di casa, anche perché il monitoraggio da remoto dei parametri di salute è già realtà da qualche anno per i pazienti diabetici e sta cominciando ad estendersi a più parametri sia attivi (pressione arteriosa, frequenza cardiaca, peso, elettrocardiogramma) sia passivi (sensori di movimento in camere e sotto materassi, sensori per l’andatura nel pavimento, sensori di temperatura e di qualità dell’aria rilevanti per la salute).

—————–

(photo: Best room in the hospital by Matt Kowalczyk from Flickr)

—————–