Per la valutazione del singolo rischio è necessario stabilire tre elementi:
-
una scala di valori per la probabilità che l’evento si verifichi;
-
una scala di valori per l’impatto che l’evento può portare;
-
una scala di valori per misurare il rischio e che dipenda da ogni coppia di valori delle scale di probabilità e impatto.
Esempio
Scala di valori probabilità = (Poco probabile, Probabile, Molto probabile)
Scala di valori impatto = (Basso impatto, Medio impatto, Alto impatto)
Tutte le possibili coppie di valori (Probabilità, Impatto) sono le seguenti
-
Probabilità
Impatto
Poco probabile
Basso impatto
Poco probabile
Medio impatto
Poco probabile
Alto impatto
Probabile
Basso impatto
Probabile
Medio impatto
Probabile
Alto impatto
Molto probabile
Basso impatto
Molto probabile
Medio impatto
Molto probabile
Alto impatto
Ad ognuna di queste coppie occorre assegnare una misura del rischio. Poiché per il trattamento dei dati personali è valido il principio di responsabilizzazione, il titolare o il responsabile possono autodefinirsi tale misura per ogni coppia di valori. Per esempio, in questo modo
|
Probabilità |
Impatto |
Misura del rischio |
|
|
1 |
Poco probabile |
Basso impatto |
Basso |
|
2 |
Poco probabile |
Medio impatto |
Basso |
|
3 |
Poco probabile |
Alto impatto |
Medio |
|
4 |
Probabile |
Basso impatto |
Medio |
|
5 |
Probabile |
Medio impatto |
Medio |
|
6 |
Probabile |
Alto impatto |
Alto |
|
7 |
Molto probabile |
Basso impatto |
Medio |
|
8 |
Molto probabile |
Medio impatto |
Alto |
|
9 |
Molto probabile |
Alto impatto |
Alto |
Dopo aver costruito lo “strumento di misura”, occorre stimare, per ogni evento con possibili conseguenze negative, la probabilità e l’impatto.
************************
Esempio 1
Evento: Accesso non autorizzato alla cartella clinica cartacea dei pazienti attualmente ricoverati in un reparto ospedaliero
Probabilità: Probabile (la porta della stanza della caposala è sempre aperta ma la stanza è quasi sempre presidiata)
Impatto: Medio impatto (dati di solo 10 pazienti)
Misura del rischio: Medio (riga 5 della tabella precedente)
Esempio 2
Evento: Accesso non autorizzato alle cartelle cliniche cartacee custodite nell’archivio storico dell’ospedale
Probabilità: Probabile (l’archivio ha un solo accesso con porta blindata ma senza sistema antintrusione)
Impatto: Alto impatto (dati di tutti pazienti)
Misura del rischio: Alto (riga 6 della tabella precedente)
************************
Ma quali linee guida deve rispettare il titolare per una buona stima di probabilità e impatto?
Per la probabilità si deve tener presente:
-
frequenza e durata dell’esposizione al pericolo (per quanto tempo la stanza della caposala rimane impresidiata? Quante volte al giorno?)
-
possibilità di evitare l’evento
-
frequenza storica.
Per l’impatto si deve tener presente:
-
reversibilità o irreversibilità
-
natura dei dati oggetto dell’evento
-
numero di interessati coinvolti.