Un archivio fotografico clinico per medici, infermieri e terapisti

TL;DR

I professionisti sanitari che scattano foto cliniche su iPhone personali hanno obblighi HIPAA e GDPR che il Rullino fotografico predefinito non può soddisfare. AppVault offre crittografia AES-256-GCM, un catalogo crittografato separato e un Calculator Launcher per tenere le immagini dei pazienti fuori dalla griglia visibile delle foto – nessun account, nessun server, nessuna telemetria.

Il problema delle foto cliniche su un iPhone personale

Un dermatologo fotografa una lesione prima di prescrivere. Un dentista scatta una serie prima/dopo. Un infermiere documenta una ferita durante una visita domiciliare. Un terapista fa uno screenshot di un diagramma alla lavagna durante una seduta di telemedicina. In ogni caso, l’immagine finisce nello stesso Rullino fotografico di foto di vacanze, screenshot e immagini di famiglia.

I quadri normativi sono chiari. Negli Stati Uniti, la Security Rule HIPAA richiede salvaguardie tecniche per i dati elettronici protetti (ePHI), inclusa la crittografia inattiva sui dispositivi che li memorizzano o trasmettono. Nell’Unione Europea, l’Articolo 9 del GDPR classifica i dati sanitari come dati personali di categoria speciale, soggetti ai requisiti di trattamento più severi e che richiedono consenso esplicito o una base giuridica riconosciuta.

Il Rullino fotografico dell’iPhone non soddisfa nessuno dei due quadri. È una galleria unica e non crittografata. Chiunque prenda il telefono e scorra verso sinistra può vedere tutto.

La maggior parte dei clinici lo sa. Ma pochi hanno una soluzione pratica che non implichi portare un secondo dispositivo.

Cosa richiede effettivamente HIPAA per i dati ePHI sui dispositivi personali

La Security Rule HIPAA non prescrive un prodotto specifico. Prescrive risultati. Lo standard di crittografia è NIST FIPS 197 – l’Advanced Encryption Standard. Lo standard di controllo degli accessi richiede identificazione univoca dell’utente e disconnessione automatica. Lo standard di controllo delle attività richiede meccanismi per registrare ed esaminare l’accesso.

AppVault affronta direttamente i requisiti di crittografia e controllo degli accessi. I file sono sigillati con AES-256-GCM – NIST FIPS 197 e NIST SP 800-38D – usando un nonce unico a 96 bit per file. La chiave è derivata dallo schema 5×5 dell’utente tramite PBKDF2-SHA256 con 600.000 iterazioni, in linea con la raccomandazione OWASP 2026. Quella chiave derivata viene poi avvolta da una chiave generata all’interno del Secure Enclave dell’iPhone, che non lascia mai il chip.

Il catalogo crittografato è matematicamente sigillato. Anche l’elenco dei file – conteggio, nomi, date – è crittografato. Un attaccante con accesso alla memoria non può determinare quanti file esistono, figuriamoci leggerli.

La conformità HIPAA è un obbligo organizzativo. AppVault fornisce il livello tecnico. L’istituzione del clinico deve comunque condurre la propria valutazione dei rischi, documentare le proprie politiche e assicurarsi che il flusso di lavoro complessivo soddisfi i requisiti amministrativi e di salvaguardia fisica della norma.

Articolo 9 GDPR e dati sanitari di categoria speciale

Per i clinici europei, il calcolo è simile ma il quadro è diverso. L’Articolo 9 del GDPR vieta il trattamento dei dati sanitari a meno che non sia soddisfatta una delle diverse condizioni – consenso esplicito, autorizzazione del diritto del lavoro, interesse pubblico sostanziale, tra gli altri. Il regolamento non prescrive algoritmi di crittografia specifici, ma richiede “misure tecniche e organizzative adeguate” dato il rischio.

L’architettura a conoscenza zero di AppVault è rilevante qui. L’app non effettua alcuna chiamata di rete in modalità predefinita. Non ci sono account, telemetria o SDK di terze parti. L’etichetta nutrizionale della privacy dichiara alcun dato raccolto. L’operatore dell’app non elabora alcun dato personale – la crittografia avviene interamente sul dispositivo e il testo cifrato lascia il telefono solo se l’utente sceglie il backup iCloud crittografato.

Per un clinico che tratta dati sanitari ai sensi dell’Articolo 9, questa architettura significa che l’app di archivio stessa non introduce alcun trattamento aggiuntivo dei dati. È uno strumento di crittografia locale, non un responsabile del trattamento.

L’iPad clinico condiviso

Molte cliniche forniscono un singolo iPad per il check-in dei pazienti, le sedute di telemedicina o la documentazione clinica. Più operatori usano lo stesso dispositivo nell’arco della giornata. Senza separazione, le foto cliniche di ogni operatore finiscono nella stessa galleria.

La funzione Decoy Vault di AppVault affronta direttamente questo problema. Un secondo schema 5×5 apre un catalogo di archivio separato e matematicamente indipendente. I due cataloghi non condividono materiale crittografico. L’uno non rivela l’esistenza dell’altro.

Non è un sistema multi-utente. Non c’è login, gestione utenti o sincronizzazione cloud tra gli archivi. Il catalogo di ogni operatore è un contenitore crittografato autonomo. Se un operatore lascia la clinica, il suo schema semplicemente non viene condiviso con il sostituto.

Il momento del passaggio del telefono

Un collega prende in prestito il telefono per fare una chiamata veloce. Un paziente chiede di vedere una foto sullo schermo e il telefono viene passato. Un amico scatta una foto di gruppo al ristorante e scorre oltre il dovuto.

In ogni caso, il rischio è lo stesso: il Rullino fotografico è un unico scorrimento senza controllo degli accessi. Le foto cliniche sono visibili a chiunque tenga il telefono.

AppVault rompe questo schema. Le foto cliniche vengono importate nell’archivio crittografato e cancellate dal Rullino. L’archivio non appare nell’app Foto, nella griglia delle foto o nei risultati di ricerca. L’unico modo per aprirlo è attraverso l’interfaccia dell’archivio – dietro lo schema 5×5.

Il Calculator Launcher aggiunge un ulteriore livello. L’app si presenta come una calcolatrice iOS completamente funzionale. L’accesso all’archivio avviene tramite una pressione prolungata opzionale sul tasto uguale. Non è un inganno – la calcolatrice funziona. È un’icona alternativa costruita per soddisfare la linea guida Apple 4.3, che fornisce uno strumento standard con una funzione secondaria opzionale.

Consenso del paziente e il problema del Rullino fotografico

La maggior parte dei clinici ottiene il consenso prima di scattare fotografie cliniche. Il modulo di consenso di solito copre l’uso, la conservazione e la condivisione. Raramente affronta il fatto che la foto si troverà nella stessa galleria delle immagini personali del clinico, visibile a chiunque prenda il telefono.

È un divario tra consenso e realtà tecnica. Il paziente ha acconsentito all’uso clinico dell’immagine. Il paziente non ha acconsentito che l’immagine fosse visibile alla famiglia, agli amici del clinico o a chiunque prenda in prestito il telefono.

AppVault colma quel divario. Una volta che una foto clinica viene importata nell’archivio e l’originale viene cancellato dal Rullino, l’immagine esiste solo nel catalogo crittografato. L’intento del modulo di consenso – solo uso clinico – è abbinato dall’implementazione tecnica.

Scatti di telemedicina

Le visite in telemedicina producono spesso immagini cliniche: uno screenshot di una condizione cutanea durante una videochiamata, una foto di un’etichetta di farmaco, un diagramma alla lavagna che il paziente ha disegnato per spiegare i sintomi. Queste immagini sono dati clinici. Appartengono a un ambiente protetto, non al Rullino fotografico.

Il flusso di importazione di AppVault consente la cattura diretta o l’importazione dalla fotocamera. L’immagine va direttamente nel catalogo crittografato. Non tocca mai la griglia delle foto visibile.

Per i clinici che conducono telemedicina da un iPhone personale, questa è la differenza tra un flusso di lavoro conforme e un Rullino pieno di immagini cliniche non crittografate.

Cosa AppVault non difende

L’onestà sui limiti è un principio di progettazione. AppVault non protegge da:

• Un iPhone compromesso. Se il dispositivo è jailbroken o esegue malware, la crittografia è irrilevante. L’attaccante può leggere lo schermo, intercettare lo schema o accedere al catalogo decrittografato in memoria.
• Un clinico che condivide lo schema. AppVault non può imporre la politica istituzionale. Se un operatore fornisce il suo schema a un collega, l’archivio è aperto.
• Coercizione fisica. AppVault non include una funzione di emergenza. Se qualcuno costringe il clinico a sbloccare il telefono, l’archivio si apre come qualsiasi altra app.
• Backup iCloud senza la chiave di backup. Se l’utente sceglie il backup iCloud crittografato ma perde la chiave di backup per dispositivo, il backup è irrecuperabile. Non esiste reimpostazione.

La pagina del modello di minaccia copre questi scenari in dettaglio. Un prodotto che esagera le sue protezioni è un prodotto di cui non ci si può fidare.

Come AppVault si confronta con altre app di archivio

La categoria degli archivi fotografici è ampia. Keepsafe è il leader di categoria per numero di installazioni. Vaultaire è il concorrente più vicino nella nicchia dell’archivio-calcolatrice. La maggior parte delle app in questo spazio non pubblica il proprio stack crittografico, non cita fonti primarie e non funziona senza chiamate di rete in modalità predefinita.

AppVault pubblica il suo stack completo: AES-256-GCM, PBKDF2-SHA256 con 600.000 iterazioni, wrapping della chiave nel Secure Enclave, nonce unico a 96 bit per file. Ogni affermazione collega a una fonte primaria – NIST, OWASP, Apple Platform Security. L’app non effettua alcuna chiamata di rete in modalità predefinita. L’etichetta nutrizionale della privacy dichiara alcun dato raccolto.

Per un clinico che valuta strumenti ai sensi di HIPAA o GDPR, questa trasparenza è importante. La conformità dipende dalla comprensione di ciò che lo strumento fa effettivamente, non da ciò che afferma la pagina di marketing.

Configurazione per uso clinico

Il flusso di lavoro consigliato per i professionisti sanitari:

1. Installa AppVault e imposta uno schema 5×5. Scrivi la frase di recupero e conservala offline – un cassetto della scrivania, un armadietto chiuso a chiave, una cassaforte personale.
2. Attiva il Calculator Launcher se l’icona alternativa è utile nel tuo contesto.
3. Se condividi un dispositivo con un altro operatore, configura il Decoy Vault con un secondo schema. Ogni operatore usa il proprio.
4. Importa le foto cliniche esistenti dal Rullino. Elimina gli originali dall’app Foto.
5. D’ora in poi, cattura le foto cliniche direttamente nell’archivio o importale subito dopo lo scatto.
6. Non attivare il backup iCloud a meno che tu non sia disposto a gestire la chiave di backup per dispositivo. Se lo attivi, sappi che perdere la chiave significa perdere il backup.

Questo flusso di lavoro mantiene le immagini cliniche in un catalogo sigillato, separato dalle foto personali, fuori dal Rullino visibile e crittografate a uno standard che soddisfa le salvaguardie tecniche HIPAA e i requisiti di trattamento dell’Articolo 9 del GDPR.

Il peso normativo è reale

Nessuna app elimina l’obbligo del clinico di condurre una valutazione dei rischi, documentare le politiche e assicurarsi che il flusso di lavoro complessivo soddisfi i requisiti normativi. HIPAA e GDPR sono quadri organizzativi. AppVault è uno strumento tecnico.

Ciò che lo strumento fa è rimuovere il punto di guasto più comune: foto cliniche in una galleria non crittografata e pubblicamente visibile su un dispositivo personale. Quel punto di guasto è il più probabile a scatenare un reclamo, una notifica di violazione o un’indagine normativa.

Per un medico, un infermiere, un dentista, un dermatologo o un terapista che già porta un iPhone in contesti clinici, AppVault è la differenza tra un problema di Rullino e un catalogo sigillato.