Requisiti minimi per la protezione di base IT per assistenti di studio medico e medici titolari di studio

La crescente digitalizzazione e interconnessione nel settore sanitario offre nuove possibilità contribuendo così a migliorare i processi terapeutici e a far progredire la qualità nella medicina.

Accanto ai vantaggi offerti, la digitalizzazione comporta però anche rischi per quel che concerne la protezione e la sicurezza dei dati: ciberattacchi sui dati relativi alla salute e sull’infrastruttura ICT possono compromettere la sfera privata dei pazienti, limitare notevolmente l’attività quotidiana di uno studio medico, causare danni finanziari e in termini di reputazione e, non da ultimo, influire sulle cure dei pazienti.

Lo studio medico è responsabile di garantire la protezione dei dati e la loro sicurezza. Nella Legge federale sulla protezione dei dati (LPD) il legislatore ha classificato come particolarmente degni di protezione i dati personali, per cui sono necessarie ampie misure per una protezione adeguata di questi dati. Struttura, service e manutenzione di un’infrastruttura ICT sicura, l’elaborazione di standard di sicurezza e la sensibilizzazione del personale dello studio medico a favore di una nuova cultura della sicurezza sono compiti complessi che richiedono risorse umane e finanziarie.

Per assistere i titolari di studi medici e siccome a livello federale non esistono attualmente delle raccomandazioni, la FMH ha elaborato dei requisiti minimi di protezione IT per gli studi medici.  I requisiti minimi sono solo delle raccomandazioni con i requisiti per garantire un minimo di sicurezza per i dati, le informazioni e l’infrastruttura ICT. 

I requisiti minimi sono descritti in un riepilogo grafico (D1), in un programma di 11 punti (D2) e in un documento con raccomandazioni e misure dettagliate (D3). I gruppi di destinatari variano a seconda del documento: i documenti D1 e D2 si rivolgono ai titolari di studi medici e presentano una panoramica delle principali raccomandazioni per la protezione di base IT negli studi medici e sulle relative misure. Nel documento D3 sono raccolte ampie raccomandazioni e misure più dettagliate che si rivolgono in prima linea ai fornitori di sevizi ICT (terzi incaricati o responsabili interni).