L’autorità svedese per la protezione dei dati ha verificato otto fornitori di servizi sanitari sul modo in cui governano e limitano l’accesso del personale ai principali sistemi di cartelle cliniche elettroniche. L’autorità di protezione dei dati ha scoperto insufficienze che in sette degli otto casi portano a sanzioni amministrative fino a 30 milioni di SEK.
L’autorità svedese per la protezione dei dati ha ora concluso una revisione di otto fornitori di assistenza sanitaria. Ciò che è stato esaminato in primo luogo è se i fornitori di assistenza sanitaria abbiano condotto le analisi dei fabbisogni e dei rischi necessarie per assegnare un’adeguata autorizzazione di accesso ai dati personali nelle cartelle cliniche elettroniche.
Gli operatori sanitari devono effettuare un’analisi e una valutazione approfondite della necessità del personale di accedere alle informazioni nelle cartelle cliniche e dei rischi che l’accesso ai dati dei pazienti include, secondo lo Swedish Patient Data Act che è complementare al GDPR. Senza tale analisi, gli operatori sanitari non possono assegnare al personale un livello corretto di autorizzazione, il che a sua volta significa che le organizzazioni non possono garantire il diritto dei pazienti alla protezione della privacy.
L’autorità svedese per la protezione dei dati rileva che sette dei fornitori di assistenza sanitaria non hanno effettuato un’analisi dei bisogni e dei rischi, mentre un fornitore di cure ha effettuato un’analisi che, tuttavia, include alcune carenze.
L’autorità conclude che sette dei fornitori di assistenza sanitaria non limitano l’autorizzazione di accesso degli utenti al rispettivo sistema del giornale dei pazienti a quanto strettamente necessario per lo svolgimento dei loro compiti.
Ciò significa che i sette fornitori di assistenza sanitaria non hanno adottato misure adeguate per garantire ed essere in grado di dimostrare un livello sufficiente di sicurezza per i dati personali nei sistemi di cartelle cliniche elettroniche.
Le carenze di sette operatori sanitari sono così gravi da comportare sanzioni amministrative comprese tra 2,5 e 30 milioni di SEK. Il calcolo dell’importo dell’ammenda varia notevolmente a seconda che si tratti di una società privata o di un’autorità pubblica. Per le aziende, la sanzione massima è di 20 milioni di EUR o del 4% del fatturato annuo globale dell’azienda, a seconda di quale sia il valore più elevato. Per le autorità, in Svezia la sanzione massima è di 10 milioni di SEK.
L’autorità svedese per la protezione dei dati ha sviluppato linee guida che riassumono le conclusioni degli audit per quanto riguarda l’obbligo di condurre analisi dei bisogni e dei rischi.
Questa guida sottolinea l’importanza che gli operatori sanitari garantiscano che le analisi dei bisogni e dei rischi siano svolte. Lo scopo è aiutare gli operatori sanitari a condurre tali analisi, che devono essere svolte prima che qualsiasi autorizzazione di accesso venga assegnata a un sistema di cartelle cliniche. La nostra speranza è ora che tutti gli operatori sanitari nel paese utilizzino questa guida nel loro lavoro per garantire che l’autorizzazione sia eseguita correttamente, al fine di garantire ai pazienti la protezione della privacy a cui hanno diritto.