Dopo anni in cui gli esperti di sicurezza, inascoltati, prevedevano il disastro, recentemente, qualcosa è cambiato. La numerosità e la gravità degli incidenti di sicurezza ha superato l'inerzia dei mezzi di comunicazione di massa (ormai ne sono tutti consapevoli) e del legislatore (il GDPR non è l'unica legge che mette al centro la protezione dei dati).

Quindi ormai il management è disposto a mettere in campo delle risorse per migliorare la sicurezza. Ma cosa bisogna fare all'atto pratico? Da dove deve partire un progetto di sicurezza, come si deve approvigionare delle risorse, per fare cosa prima e cosa dopo? Come agire sull'ASIS (lo stato attuale) e cosa progettare per il TOBE (lo stato futuro). Quali tecnologie ci potranno aiutare? Buone pratiche, identity management e controllo accessi, cifratura (?), consolidamento, cloud, intelligenza artificiale.

Non una lezione ma un confronto su cosa si è fatto e cosa ci aspetta nel futuro.

Può sembrare strano dover discutere ancora di GDPR a sei mesi dall'entrata in vigore e a due anni e mezzo dall'approvazione. In questa learning area si ha l'occasione di un confronto su cosa in effetti sia stato, sia, sarà o dovrebbe essere il progetto di adeguamento. La sessione inizia con un breve riepilogo degli aspetti salienti del GDPR (dal punto di vista del titolare del trattamento in ambito sanitario) al quale seguirà un confronto tra i presenti e la condivisione di esperienze ed eventuali dubbi. Tra i temi di cui si parlerà troviamo: informativa e consenso (FSE, Dossier, PDTA), la relazione con i responsabili del trattamento (fornitori esterni, software vendor, cloud), DPO, protezione dei dati by design e by default (tra cui controllo accessi, oscuramento, need to know), DPIA, misure di sicurezza (encryption, pseudonomizzazione) e altro. Non una lezione ma un confronto su cosa si è fatto e le relative difficoltà.