GDPR e software medici

di il
7 risposte

GDPR e software medici

Buongiorno
sto preventivando per un cliente un software medico, e lui desidera commercializzarlo, quindi renderlo cloud.
A questo punto inizia il vespaio.
1) Su quale server dovrei mettere questi delicatissimi dati e se ci sono obblighi ulteriori a cui sottostare
2) Cosa rischio io in qualità di programmatore e manutentore in caso di diffusione accidentale dei dati dovuti anche ad un minuscolo bug, perchè sappiamo bene che per quanto uno lavori benissimo, qualcosa sfugge sempre.
Grazie mille

7 Risposte

  • Re: GDPR e software medici

    Credo che un punto di inizio sia il contratto tra te ed il cliente,ci sono contratti che prevedono lo sviluppo di un software senza errori ....
    1) oltre che su quale server potresti considerare di salvare i dati nel db crittografati
    https://www.iperiusbackup.net/gdpr-e-backup-adeguarsi-alla-normativa-su-privacy-e-protezione-dati/ art32 ed altri
    2) se operi da consulente parte della responsabilità è tua ,se lo commercializza lui la responsabilità è anche sua

    per rispetto del gdpr devi rendere possibile la cancellazione di dati su richiesta dell'utente questo è da tener presente nella progettazione del db

    penso che sia necessario leggere e studiare il gdpr : https://it.wikipedia.org/wiki/Regolamento_generale_sulla_protezione_dei_dati
  • Re: GDPR e software medici

    Visto l'ambito sanitario della piattaforma, sicuramente hai necessità di consulenza legale privacy gdpr ancor prima di iniziare la fase di sviluppo software. (Leggasi privacy by design & default e poi devi capire come metterti nella posizione corretta e meno rischiosa).
    Per la tipologia di dati trattati (i dati sanitari sono considerati ad alto rischio), si procede prima a una fase di analisi legale / privacy che stabilisce quali misure di sicurezza tecniche e organizzative adottare, la verifica delle normative che entrano in gioco, ecc.
    Venendo ai punti specifici :
    1) i server in Ue sicuramente, atto di nomina (scritto bene, meglio dal legale) a responsabile esterno per il trattamento di dati personali da far firmare al provider (e qui vengono le difficoltà visto che buona parte ti rimbalzano per non firmarlo), verifica delle caratteristiche e garanzie della web farm
    2) dipende molto dal tuo ruolo, dietro al termine "manutentore" si potrebbero celare altri ruoli. Metti mano all'infrastruttura? es accesso al server per manutenzione? accesso al database per manutenzione? Sei tu che gestirai l'infrastruttura cloud del cliente?

    Noi forniamo consulenza privacy a prezzi ragionevoli e soprattutto professionale:
    https://www.iprogrammatori.it/consulenza/consulenza-privacy-gdpr.aspx

    eventualmente contattaci all'indirizzo preposto.
  • Re: GDPR e software medici

    2) se ti fai pagare tutti gli eventuali da nni che risulteranno da una tua imperizia.
    1) idealmente a casa tua (intendo in sede)
    In subordine dipende da come funziona.
    Un mio programmello, ad esempio, cripta ogni singolo file che viene mantenuto in remoto, compreso il suo nome.
    Dunque puoi ospitarlo anche in Cina, non cambia nulla.
    Ovviamente l'ho progettato ed implementato fin da subito così.
  • Re: GDPR e software medici

    Grazie mille per le risposte.
    Sì, sarei io a gestire il server e ha fare modifiche al software e risoluzione problemi. Quindi avrei un abbondante accesso a quel genere di dati.
    Poi, volevo precisare una cosa. Magari ho fatto passare il messaggio che sono poco esperto. La realtà è che sono quasi 10 anni che sviluppo software (e ne ho 31), ho fatto veramente di tutto e di più in questo campo. Però essendo artigiano, dovendo rispondere al telefono, dovendo andare agli appuntamenti, ecccetera eccetera purtroppo capita una svista dovuta all'eccesso di interruzioni a cui spesso sono sottoposto, tutto qui.
    Ovviamente io metterei tutto su un server di una azienda affidabile, protocollo SSL per tutte le comunicazioni FTP compreso, cambio password forzato ogni 3 mesi e tutte quelle cose che io già offro ai software dei miei clienti.
    La mia preoccupazione nasceva proprio perchè qui con i dati trattati siamo su un livello superiore, e la cosa un po' mi spaventava anche perchè ho sentito più esperti (avvocati, consulenti GDPR...) e vi garantisco che ho avuto risposte completamente opposte. Come sempre in Italia del resto
  • Re: GDPR e software medici

    marco3189 ha scritto:


    Ovviamente io metterei tutto su un server di una azienda affidabile, protocollo SSL per tutte le comunicazioni FTP compreso, cambio password forzato ogni 3 mesi e tutte quelle cose che io già offro ai software dei miei clienti.
    La mia preoccupazione nasceva proprio perchè qui con i dati trattati siamo su un livello superiore, e la cosa un po' mi spaventava anche perchè ho sentito più esperti (avvocati, consulenti GDPR...) e vi garantisco che ho avuto risposte completamente opposte. Come sempre in Italia del resto
    In realtà SSL non c'entra un granchè, o meglio è uno dei tanti problemi.
    Prima domanda: se rubano la macchina ove è affittata, possono leggerne tutti i dati?
    Seconda domanda: se il server viene compromesso, ed un utente malevolo assume i diritti root, può leggere tutti i dati?
    Terza domanda: ci sono password conservate in chiaro (di qualsiasi genere)?
  • Re: GDPR e software medici

    Va visto l'insieme delle misure di sicurezza "tecniche" e "organizzative", messe in atto a seguito dell'analisi dei rischi, in modo che risultino adeguate al livello di rischio.
    Ci sarebbe parecchio su cui discutere: audit, vulnerability assessment, monitoraggio, redazione dei documenti:atti di nomina, registri trattamento, procedure, ecc.
  • Re: GDPR e software medici

    ...aggiungerei anche piani di emergenza per rilevare le intrusioni, cosa non banale, in quanto è prevista la segnalazione tempestiva il più possibile...

    in generale cosa buona e giusta, almeno per quanto mi riguarda, è progettare fin dal primissimo momento con in mente esattamente QUEL obiettivo, lasciando tutti gli altri (prestazioni, usabilità, economicità, etc) in secondo piano.

    Perchè non succede nulla, fin quando non c'è un problema. Quindi si può fare qualsiasi cosa.
    Quando il problema accade, capitano invece citazioni per richiesta danni.

    PS fondamentale, ovviamente, opportuna polizza assicurativa, sulla quale si potrebbe aprire un altro "mondo"
Devi accedere o registrarti per scrivere nel forum
7 risposte