Sanzione da 30mila € a un’azienda ospedaliera: …
……alcuni dipendenti “sbirciavano” i dati dei colleghi
Non aver impedito che i propri dipendenti potessero “sbirciare” il dossier sanitario dei colleghi costerà ad un’azienda ospedaliera 30.000 euro.
Questo l’ammontare della sanzione per le tre violazioni di dati personali comunicate all’Autorità dallo stesso ospedale a conclusione di normali controlli periodici. Gli accessi indebiti hanno riguardato dati sanitari di dipendenti in cura presso lo stesso ospedale. In particolare, l’accesso era stato effettuato con le credenziali di un medico che aveva lasciato incustodita la propria postazione; negli altri due casi uno specializzando e un tecnico radiologo erano entrati nel dossier sanitario dei loro colleghi.
Gli accertamenti svolti dal Garante hanno evidenziato che le misure tecniche e organizzative adottate dall’ospedale, a tutela del dossier sanitario aziendale, non si erano dimostrate idonee ad assicurare un’adeguata tutela dei dati personali dei pazienti e a proteggerli da trattamenti non autorizzati, determinando così un trattamento illecito di dati.
Quanto appena riportato dovrebbe far riflettere su un tema centrale del processo di trattamento dati personali: L’AZIENDA è l’unica responsabile di OGNI azione messa in atto dal proprio dipendente, svolta a qualsiasi titolo.
In estrema sintesi:
Questi sono solo alcuni esempi di quanto può accadere ogni giorno alle aziende e non solamente in ambito sanitario, dovremmo tenere conto che ogni azienda tratta informazioni di carattere personale cha siano quelli dei dipendenti che quelli dei clienti.
I passi fondamentali per cercare di evitare questi problemi possono essere riassunti in:
· Formazione
· Informazione
· Simulazioni per far capire come possono avvenire gli attacchi come phishing
· Strumenti informatici per aiutare i dipendenti anche con strumenti propri
· Gamification per una migliore comprensione delle minacce e come rispondere
· Individuazione delle VAP
· Utilizzo dello schema VAP per centrare le azioni più efficaci
· Utilizzo di strumenti di monitoraggio degli endpoint anche al di fuori del perimetro fisico aziendale
Questi interventi possono essere sviluppati con un percorso di ritagliato su misura per ogni esigenza e mercati sia nazionali che esteri.
Per approfondimenti e considerazioni, scrivi a info@cartesiostudio.com
Comments