Approfondimenti

Con il progetto TaleteWeb, sviluppato dalla Healthcare Engineering Services srl, Il Policlinico Gemelli intraprende oggi un percorso per l’ottimizzazione dei processi  e l’informatizzazione della gestione del contenzioso e del rischio clinico. Nello scenario italiano, dove ogni anno i costi della medicina difensiva gravano sul servizio sanitario nazionale per oltre 10 miliardi di euro, l’ottimizzazione dei processi e l’informatizzazione della gestione del contenzioso e del rischio clinico rappresentano dei passi necessari e non più differibili per qualunque struttura voglia operare nel settore sanitario. L’urgenza è resa ancor più evidente alla luce di quanto previsto dalla recente  Legge Gelli-Bianco sulla responsabilità sanitaria, che ridisegna in maniera sostanziale il quadro normativo di riferimento in materia e i rapporti intercorrenti tra paziente, medico e le strutture sanitarie e socio-sanitarie sia pubbliche che private.

Scopri di più

Dalla pubblicazione il 4 maggio 2016 sulla Gazzetta Ufficiale dell'Unione Europea del Regolamento 2016/679 General Data Protection Regulation (GDPR) entrato in vigore il 25 maggio 2016, lo stesso sarà pienamente applicabile il 25 maggio 2018.

Di seguito illustriamo brevemente le raccomandazioni dell'OCSE a livello di sistema paese con impatti sugli operatori della sanità e nell'allegato che potete scaricare alla fine di questo articolo trovate alcuni consigli di Tania Caputo, Resp. Affari Legali della Poliambulanza di Brescia,  per prepararvi in tempo all'applicazione piena della GDPR.

I Ministri della salute dei Paesi Ocse (Organizzazione per la cooperazione e lo sviluppo economico) hanno invitato gli Stati membri ad adottare un sistema di regole comuni che consenta l’utilizzo e il riutilizzo dei dati sanitari per fini di pubblico interesse nel pieno rispetto della privacy delle persone. La “Raccomandazione sulla governance dei dati relativi alla salute” è scaricabile alla fine del presente articolo ed è stata adottata dal Consiglio dell’Ocse lo scorso 13 dicembre. Come informa il Garante della Privacy  “L’obiettivo del documento è quello di offrire indicazioni utili a migliorare e rendere più efficiente il sistema sanitario nei Paesi aderenti all’organizzazione, favorendo la creazione di una piattaforma condivisa per la corretta gestione dei dati sanitari trattati per la salute pubblica, per scopi statistici e di ricerca scientifica, nonché per la fornitura dei servizi offerti. L’OCSE ritiene che, se ben implementate nei rispettivi Paesi, le indicazioni contribuiranno anche a migliorare la qualità dell’assistenza sanitaria e, di conseguenza, a sviluppare una società “in buona salute”. Tali obiettivi dovranno però essere perseguiti promuovendo e tutelando le libertà individuali e la protezione dei dati personali, peraltro a carattere sensibile, di chi usufruisce dei servizi sanitari.

Nelle Raccomandazioni vengono identificati otto principi fondamentali a tutela della privacy che renderanno più semplice e sicura la cooperazione tra i Paesi OCSE e massimizzeranno i benefici nell'utilizzo dei dati sanitari:

1. l'utilizzo dei sistemi informativi in sanità per migliorare la qualità di cura e le performance dei sistemi sanitari (e ricerca di innovazione per migliorare qualità e risultati);

2 .l'utilizzo dei dati relativi alla salute è consentito per motivi di salute pubblica, ricerca e statistica, secondo normativa specifica;

3. la necessità di informare correttamente i cittadini attraverso consultazioni e informativa sulla raccolta ed elaborazione dei dati sulla salute personale, grazie ad una regolare, chiara e trasparenti informazione e consultazione pubblica sui processi, i benefici, rischi e quanto fatto per mitigarli;

4. la necessità di una certificazione o di un processo di accreditamento per il trattamento dei dati sanitari per ricerca e statistica e di standard comuni;

5. la necessità di un processo di approvazione corretto e trasparente supportato nelle decisioni da un organo di revisione indipendente e multi-disciplinare;

6. l'applicazione delle migliori pratiche di non riconducibilità del dato sanitario alla persona al fine di proteggere la privacy dei dati sanitari degli individui;

7. l’adozione di adeguate misure di sicurezza a protezione delle informazioni sia per la re-identificazione degli assistiti sia per la vulnerabilità dei sistemi;

8. la revisione periodica a livello internazionale dei meccanismi di governance secondo l'evoluzione delle fonti di dati e delle tecnologie.

 

Files:
Aris Sanità n°1 - Nuovo regolamento Europeo privacy
Scarica

Recommendation-of-OECD-Council-on-Health-Data-Governance-Booklet
Scarica

 

Il 5 maggio è stato approvato il nuovo Regolamento EU sulla Privacy che è stato pubblicato sulla Gazzetta Europea L119 (in allegato la pubblicazione).

Sarà applicabile in tutti i Paesi EU dal 25/05/2016. La Direttiva è invece già in vigore ed impegna gli Stati ad allineare gli strumenti nazionali a quelli europei entro 2 anni.

Il Garante ha già annunciato che sono in corso le valutazioni per produrre testi coordinati al fine di verificare quali parti dell’attuale Codice Privacy ITA possano essere considerati decaduti.
 

GUE Direttiva Privacy HOT
Scarica

Regolamento UE Privacy HOT
Scarica

Chiunque poteva consultare e modificare i dati degli assistiti che si erano registrati al portale di una Asl e il Garante della privacy interviene d'urgenza a bloccare [doc. web n. 4630534] la sezione del sito e fermare la violazione della riservatezza. 

L'anomalia segnalata all'Autorità era stata scoperta per caso da un utente mentre utilizzava i servizi on-line  offerti dall'Azienda sanitaria. Non occorreva essere pirati informatici per accedere ai dati di altre persone: era sufficiente compilare a caso - anche inserendo parte di un nome o di un cognome - uno dei campi di ricerca presenti nella sezione dedicata agli assistiti per consultare tutte le schede anagrafiche trovate, nelle quali erano riportati l'indirizzo di residenza, il codice fiscale o il numero di telefono degli assistiti.

Non solo. Dai riscontri effettuati dal Garante, è emerso che qualunque utente, senza trovarsi di fronte ad alcun filtro,  poteva addirittura modificare questi dati o cancellare l'account delle persone che si erano registrate sul sito.

Nel provvedimento con il quale ha vietato l'ulteriore diffusione dei dati, il Garante ha ricordato che le pubbliche amministrazioni che offrono servizi in rete sono obbligate ad adottare misure di sicurezza per ridurre al minimo i rischi di accesso non autorizzato o di trattamenti di dati non consentiti. Sul sito della Asl, al contrario, non era presente neppure una procedura di identificazione informatica che consentisse l'individuazione del soggetto che richiedeva il servizio on line, in modo tale da limitare al solo interessato l'accesso ai dati personali che lo riguardano.

L'Autorità ha imposto alla Azienda sanitaria locale di intervenire entro 48 ore dalla ricezione del provvedimento per risolvere il problema.Prescrizione che la Asl ha prontamente adempiuto, bloccando l'accesso indiscriminato ai dati. Non sono però state ancora accertate le cause dell'errato funzionamento del portale sanitario,che potrebbero essere legate a errori di impostazione o di progettazione informatica del sistema, come pure ad attacchi hacker  dall'esterno.

L'Autorità si è riservata di approfondire il caso,  ma al contempo ha avviato un autonomo procedimento sanzionatorio contro la Asl per le violazioni riscontrate.

 

Si allegano le slides presentate dal Garante della Privacy il 2 ottobre 2015 in occasione del convegno su Privacy e Sanità e relative ai “Sistemi informativi in ambito sanitario e protezione dati personali”

Sistemi informativi in ambito sanitario e protezione dati personali HOT
Scarica

Parere favorevole [doc. web . 4630606] del Garante privacy, seppure condizionato ad alcune modifiche e integrazioni, ad uno schema di decreto del Ministero della salute che riguarda l'istituzione del sistema informativo per il Monitoraggio della Rete di Assistenza (MRA), nell'ambito del Nuovo Sistema Informativo Sanitario (NSIS).

Il sistema MRA si prefigge di favorire il raggiungimento di obiettivi di governo da parte dei diversi livelli interessati (ministeriale, regionale e aziende sanitarie) anche al fine di razionalizzare la spesa, e di informare i cittadini sulla rete di assistenza sanitaria nel nostro paese.

Il sistema di monitoraggio opererà istituendo un'unica anagrafe di riferimento a livello nazionale di tutte le strutture della rete sanitaria (ASL, strutture di ricovero autorizzate, strutture territoriali accreditate, farmacie pubbliche e private convenzionate, strutture territoriali autorizzate e non accreditate, medici di medicina generale e pediatri di libera scelta convenzionati con il Sistema sanitario nazionale).

Il MRA consentirà la consultazione delle informazioni, in forma analitica e aggregata alle Regioni e alle Province autonome, al Ministero della salute, al Ministero dell'economia e delle finanze, all'Agenzia nazionale per i servizi sanitari regionali, all'ISTAT.

I dati del Sistema MRA potranno inoltre essere messi a disposizione di soggetti appositamente autorizzati dalla Direzione generale della digitalizzazione del Ministero della Salute, cui è affidata la realizzazione e la gestione del sistema e ai cittadini mediante il sito internet dello stesso Ministero. Esaminato lo schema, il Garante ha segnalato l'esigenza di apportare alcune mirate modifiche e integrazioni per conformare il testo alle garanzie in materia di protezione dei dati personali.

L'Autorità ha chiesto, ad esempio, di precisare quali dati personali saranno resi disponibili sul sito del Ministero, nel rispetto dei principi di pertinenza e non eccedenza. Potrebbe infatti non essere giustificata la pubblicazione on line del codice fiscale del medico, che comporterebbe il rischio di furto d'identità.

Il Garante ha chiesto inoltre di chiarire i ruoli e le responsabilità delle Regioni e Province autonome, da un lato, e del Ministero della salute, dall'altro, rispetto al flusso delle informazioni che riguardano i medici di medicina generale e i pediatri di libera scelta; di indicare i tempi di conservazione dei dati personali, trascorsi i quali i dati devono essere cancellati o resi anonimi; di individuare le informazioni contenute nei file di log con cui si registrano gli accessi; di precisarne i tempi di conservazione e di  proteggerli con idonee misure contro ogni uso improprio.

 

I cookie ci aiutano a fornire i nostri servizi. Utilizzando tali servizi, accetti l'utilizzo dei cookie da parte nostra. Se vuoi saperne di più vai alla pagina Cookie policy