Dossier sanitario e sicurezza dei sistemi informativi

18/12/2015
di roberto

Il seminario dell’Autorità garante per la protezione dei dati personali Sistemi informativi in ambito sanitario e protezione dei dati personali, tenutosi a Roma lo scorso 4 Dicembre 2015, è stata un’occasione utile per condividere ed approfondire alcuni aspetti del provvedimento del 4 Giugno 2015, n. 331 – Linee guida sul dossier sanitario elettronico.

Partendo dal lavoro preparatorio del provvedemento, gli interventi dei relatori ne hanno evidenziato le caratteristiche più rilevanti, soprattutto alla luce degli accertamenti ispettivi effettuati dal Garante. Diverse le criticità emerse da sistemi informativi inefficienti che hanno dipinto un quadro deludente ed hanno portato l’Autorità a ribadire le priorità di riferimento per il trattamento dati, nel rispetto dell’uso corretto dell’informativa e del consenso, delle misure di sicurezza per garantire l’esattezza, l’integrità e la disponibilità dei dati, nonché di una buona politica di comunicazione e di condivisione.

Dossier sanitario vs. fascicolo sanitario elettronico

medical_25464374_lIl dossier sanitario è, per sua natura, destinato alla condivisione poiché rappresenta l’insieme dei dati generati da eventi clinici presenti e trascorsi riguardanti l’interessato, messi in condivisione logica dai professionisti sanitari che lo assistono al fine di documentare la storia clinica del processo di cura. Come più volte ricordato, tale strumento si differenzia dal Fascicolo sanitario elettronico (Fse), per il fatto che le informazioni in esso contenute sono state generate da un solo titolare del trattamento (ad esempio, un ospedale o una clinica privata) al cui interno operano più professionisti, ma non raccoglie l’intera storia clinica dell’assistito, eventi clinici presenti e trascorsi condivisi da più strutture sanitarie, come avviene per il Fse.

Le criticità dei dossier

Nonostante il dossier raccolga informazioni provenienti dalla stessa struttura sanitaria, l’interazione degli operatori con i sistemi a presidio del dossier rappresenta una delle maggiori criticità riscontrate dall’Autorità durante la sua attività ispettiva: per essere strumenti efficienti nei processi di diagnosi e cura dei pazienti, devono rispettare la certezza dell’origine e della correttezza dei dati e l’accessibilità degli stessi solo da parte di soggetti legittimati. Gli accertamenti del Garante purtroppo rilevano che molto spesso i dossier sanitari implementati nelle strutture sanitarie derivano da iniziative improvvisate di informatizzazione delle cartelle cliniche di reparto o di ambulatorio. I sistemi informativi così generati, senza un processo di gestione considerato nel suo insieme, sono viziati dalla mancanza di certezza sulla veridicità delle informazioni e dalla conseguente possibilità che i dati siano accessibili, modificabili e perfino diffusi da soggetti non legittimati.

dossier_sanitario_garante

Profili tecnologici e misure di sicurezza

I relatori presenti al seminario hanno cercato di offrire soluzioni a queste vulnerabilità, offrendo un quadro delle misure di sicurezza più significative poste a protezione dei sistemi informativi in ambito sanitario. In particolare:

  • Adottare sistemi di autenticazione e di autorizzazione che assicurino l’accesso selettivo ai dati in linea con i principi di necessità, pertinenza, non eccedenza e indispensabilità e Principio del «need to know»;
  • Tracciare gli accessi delle operazioni, registrando in modo automatico le operazioni di accesso in appositi file di log ai fini della verifica della liceità del trattamento dei dati; In particolare i file log consentono l’identificazione del soggetto incaricato che ha materialmente disposto l’operazione, la data e l’ora, la tipologia dell’operazione compiuta sui dati (anche laddove l’operazione sia di semplice consultazione );
  • utilizzare sistemi di audit log: i file di log devono essere disponibili per un periodo di conservazione non inferiore a 24 mesi dalla data di registrazione dell’operazione; il controllo interno deve prevedere l’attivazione di specifici alert che individuino comportamenti anomali.
  • Determinare criteri per la separazione e la cifratura dei dati, in particolare per quelli atti a rivelare lo stato di salute e la vita sessuale dagli altri dati personali, prevedendo all’occorrenza anche tecnologie crittografiche
  • organizzare attività di controllo interno e comunicare al Garante il verificarsi di violazioni dei dati (Data breach) o incidenti informatici entro 48 ore.
  • Individuare all’interno della struttura sanitaria una figura di responsabile della protezione dei dati che svolga il ruolo di referente con il Garante (c.d. DPO – data protection officer), i cui compiti devono prevedere l’attuazione della normativa e la tenuta del registro dei trattamenti effettuati anche in relazione ai casi di data breach.

Obiettivi e sfide

L’obiettivo di una sanità integrata presuppone la condivisione delle informazioni sulla salute del paziente al fine di migliorare le diagnosi, sviluppare cure e ridurre le spese di esami clinici inutilmente replicati. Tuttavia, l’integrazione dei dati sanitari non può prescindere dal rispetto dei diritti dell’interessato e da una gestione diligente delle sue facoltà: il consenso deve rimanere libero, specifico ed incondizionato e dettagliare modalità e misure di autotutela del trattamento; l’individuo deve poter scegliere di negare il consenso, revocarlo o selezionare dati da escludere dal trattamento. Principi generali sempre validi per proteggere l’identità e la dignità delle persone, ma particolarmente rilevanti per la delicatezza dei dati di natura sanitaria.

Riproduzione riservata ©

ALTRE NEWS

Al riparo dal drone indiscreto

Articolo pubblicato su DronEzine Magazine – Luglio 2014 Destinati a rivoluzionare radicalmente la percezione degli spazi e le modalità di controllo di vaste aree, i droni rappresentano… Leggi Tutto

Responsabilità dei motori di ricerca per link a siti pirata

E’ responsabile il gestore di un sistema di web search se fornisce all’utente, tra i risultati, link di collegamento a siti pirata? Tale questione è… Leggi Tutto

ADS Relazione annuale in scadenza: termine ultimo del 15 dicembre 2019

Come ogni anno, si ricorda che entro e non oltre il termine del 15 dicembre 2019, in osservanza degli obblighi derivanti dal Provvedimento del 27… Leggi Tutto

AziendaSpeech & Eventi

COLIN & PARTNERS

CHI SIAMO

Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI

Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE

Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    Informativa Privacy