La relazione ENISA viene presentata in quanto la Commissione europea procede quest'anno con l' iniziativa "Spazio europeo dei dati sanitari " volta a promuovere lo scambio sicuro dei dati dei pazienti e l'accesso ai dati sanitari.
La pandemia di COVID-19 ha evidenziato una maggiore necessità di servizi sanitari digitali efficienti e sicuri. Le soluzioni cloud consentono la diffusione rapida e flessibile dell'archiviazione elettronica dei dati e delle comunicazioni elettroniche come la telemedicina. Tuttavia, la complessità dei sistemi giuridici e delle nuove tecnologie, nonché le preoccupazioni in merito alla sicurezza dei dati sensibili dei pazienti hanno rallentato il settore sanitario nell'adozione dei servizi cloud.
La relazione affronta tali preoccupazioni fornendo orientamenti di sicurezza per tre settori principali in cui i servizi cloud sono utilizzati dal settore sanitario, vale a dire:
- Cartelle cliniche elettroniche, ossia sistemi incentrati sulla raccolta, l'archiviazione, la gestione e la trasmissione dei dati sanitari, quali le informazioni sui pazienti e i risultati degli esami medici;
- Assistenza a distanza, vale a dire il sottoinsieme della telemedicina a sostegno delle consultazioni a distanza tra il paziente e il medico;
- Dispositivi medici, vale a dire servizi di cloud a sostegno del funzionamento dei dispositivi medici, come la messa a disposizione dei dati dei dispositivi medici a diverse parti interessate o il monitoraggio dei dispositivi.
Per ciascuno di questi casi d'uso, la relazione evidenzia i principali fattori da prendere in considerazione quando le organizzazioni sanitarie effettuano la pertinente valutazione del rischio, ad esempio in termini di rischio per i dati sensibili dei pazienti o di disponibilità di un servizio medico. Tali orientamenti, tuttavia, sono solo un primo passo per consentire ai prestatori di assistenza sanitaria di adattarsi in modo sicuro al cloud. È necessario un maggiore sostegno, ad esempio norme settoriali consolidate in materia di sicurezza del cloud, orientamenti specifici da parte delle autorità nazionali e dell'UE e ulteriori orientamenti delle autorità per la protezione dei dati sul trasferimento dei dati sanitari al cloud.
La relazione propone inoltre una serie di misure di sicurezza che le organizzazioni sanitarie devono attuare quando pianificano il loro passaggio ai servizi cloud, quali l'istituzione di processi per la gestione degli incidenti, la definizione dei requisiti di cifratura dei dati e la garanzia della portabilità e dell'interoperabilità dei dati. Le misure sono proposte tenendo conto del progetto di proposta di sistema di certificazione della cibersicurezza dell'UE per i servizi cloud (EUCS) per garantire la compatibilità e la mappatura dei requisiti. Il progetto di sistema dell'Agenzia fa parte del quadro di certificazione della cibersicurezza volto a rafforzare la fiducia nei prodotti, nei servizi e nei processi TIC in tutta Europa. Il progetto di regime è aperto alla consultazione pubblica fino al 7 febbraio 2021.