e-Health sulle ambulanze: a Pistoia è realtà

27/04/2015
di Leonardo

Nella provincia di Pistoia, alle ambulanze del pronto soccorso, sono stati assegnati 40 tablet dotati di tecnologia avanzata e software Life mobile. Lo scopo è quello di collegare le unità mobili di pronto soccorso alla rete della centrale operativa del 118. Il nuovo sistema di gestione del pronto intervento sanitario provinciale – interamente finanziato dalla fondazione Caript – permette agli operatori delle ambulanze di acquisire, archiviare e inviare alla centrale e al personale sanitario i dati anagrafici del paziente compilando, fin dal primo intervento, una cartella clinica informatizzata. La stessa riporterà differenti dati personali, ma soprattutto sensibili, del paziente, quali ad esempio i sintomi e le manovre di stabilizzazione e rianimazione eseguite durante il primo soccorso, i parametri vitali e i farmaci eventualmente somministrati. Tali informazioni vengono inviate tempestivamente alle centrali operative attraverso i software Life mobile istallati sul tablet.

tlc_18295734_xxlQuanto sopra brevemente descritto è uno degli aspetti del cosiddetto e-health. Tecnologie hardware e software sono sempre più utilizzate in sanità e sicuramente questo non è che l’inizio di una nuova era, ma il pericolo di una potenziale perdita di dati dai dispositivi utilizzati è sempre in agguato.

In Italia, la sicurezza dei dispositivi tecnico-informatici utilizzati in sanità non è ancora specificatamente normata. La tecnologia procede più velocemente rispetto alla normativa. Tuttavia, sono diversi i riferimenti normativi e non che cercano di di colmare tale gap. In particolare, da ultimi, si richiamano:

  • l’Art. 12 decreto legge 18 ottobre 2012, n. 179 «Ulteriori misure urgenti per la crescita del Paese»;
  • l’Art. 17 del decreto legge 2013, n. 69 «Decreto del fare»;
  • il DPCM attuativo del FSE nazionale del Ministero della salute in fase di emanazione;
  • le linee guida nazionali per l’istituzione del FSE, approvate il 10 febbraio 2011 dalla Conferenza Stato-Regioni;
  • il D.lgs. 196 del 2003 e s.m.i. «Codice Privacy»;
  • le Linee Guida del Garante della privacy in tema di FSE del 2009;
  • le Linee Guida del Garante della privacy in tema di referti online sempre del 2009.

Le suddette normative enumerano una serie di requisiti e di adempimenti, in materia di sicurezza del trattamento dei dati personali, soprattutto sensibili, dei pazienti, che devono essere garantiti dagli strumenti di e-health utilizzati.

Alcuni dei più importanti si riproducono di seguito come itinerario da percorrere, per rendere il dispositivo corrispondente alla normativa:

  1. individuazione del Titolare del trattamento dei dati personali dei pazienti e i relativi soggetti che operano i trattamenti eseguibili sui dati medesimi;
  2. utilizzo di un sistema di autenticazione: i dispositivi devono essere capaci di identificare e verificare l’identità di tutti gli utenti prima di consentire loro l’accesso alle risorse;
  3. uso di un sistema di autorizzazione: devono verificarsi i livelli di autorizzazione da associare ad ogni utente che accede al servizio;
  4. utilizzo di una piattaforma in grado di rilevare l’alterazione non autorizzata;
  5. uso di una piattaforma che supporti la protezione dell’integrità dei dati personali e sensibili in essa conservati con l’assicurazione di apposite misure di sicurezza che preservino dall’accesso non consentito;
  6. individuazione di un sistema di trasmissione dei dati dai dispositivi ai server centrali che garantisca la sicurezza attraverso l’uso di protocolli sicuri e crittografati;
  7. uso di un sistema di registrazione dei log di accesso in grado di tenere traccia degli accessi, nonché degli errori e degli incidenti di sicurezza, quali i tentativi di login falliti o di accesso non autorizzato, al fine di scoprire l’abuso del sistema ed eventuali trattamenti illeciti di dati.;
  8. l’individuazione più livelli di sicurezza per evitare un singolo punto di errore;
  9. prevedere l’utilizzo della firma digitale dei soggetti che accedono e inseriscono i dati nel sistema;
  10. l’individuazione delle modalità di collegamento alla nuova piattaforma FSE nazionale ancora in fase di perfezionamento.

Considerando quanto sopra, per un corretto trattamento attraverso i tablet sulle ambulanze sarà dunque necessario:

  • utilizzare sistemi di crittazione e di blocco che permettano di conservare trasferire e operare sui dati con sicurezza;
  • utilizzare password sicure, sufficientemente elaborate e di lunghezza adeguata, che proteggano il tablet da usi impropri e non consentiti;
  • utilizzare canali criptati che garantiscano un certo grado di sicurezza, come ad esempio il VPN o ancora il trasferimento tramite HTTPS.

Sarà inoltre necessario sviluppare, e successivamente mantenere, una policy relativa a limiti e modalità di utilizzo del dispositivo, anche in funzione di una responsabilizzazione e guida dei comportamenti tenuti dai lavoratori.

In tema di consenso ed informativa, da ultimo, occorre inoltre ricordare che il FSE può essere alimentato esclusivamente sulla base del consenso libero e informato dell’assistito, che può decidere se inserirvi tutti o parte dei propri dati sanitari. Come ricordato dal recente provvedimento del Garante privacy titolato “Illeicità nel trattamento di dati personali e sensibili presso una struttura ospedaliera” del 18 dicembre 2014, infatti, la consultazione dei dati e delle informazioni documentali presenti nel FSE da parte del personale medico per le finalità di prevenzione, diagnosi, cura e riabilitazione può avvenire esclusivamente con il consenso del paziente, salvo i casi di emergenza sanitaria, tali ultimi da individuare con estrema precisione. Occorre comunque ricordare che il mancato consenso del paziente all’inserimento dei dati nel FSE non può pregiudicare il suo diritto alla prestazione sanitaria.

Riproduzione riservata ©

ALTRE NEWS

Obbligo disaster recovery per le PA? Scaduto dal 25 Aprile

Organizzare la sicurezza dei dati e dei documenti delle PA e realizzare procedure di emergenza per l´erogazione di servizi on line sono ormai priorità alle… Leggi Tutto

Dati erronei sulla solvibilità? Chi sbaglia, paga

Dati relativi alla solvibilità segnalati erroneamente ad una centrale rischi? Da oggi il danno si paga. Questo quanto stabilito dal Tribunale di Roma con sentenza… Leggi Tutto

Videosorveglianza: come cambia nel tempo il ruolo dei soggetti terzi deputati al trattamento delle immagini

Con l’avvento delle digitalizzazione in ogni settore della nostra vita, si sono aperti nuovi ed interessanti scenari nell’ambito dei sistemi di videosorveglianza; negli ultimi anni… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form