Dossier sanitario e sicurezza dei sistemi informativi

18/12/2015
di Leonardo

Il seminario dell’Autorità garante per la protezione dei dati personali Sistemi informativi in ambito sanitario e protezione dei dati personali, tenutosi a Roma lo scorso 4 Dicembre 2015, è stata un’occasione utile per condividere ed approfondire alcuni aspetti del provvedimento del 4 Giugno 2015, n. 331 – Linee guida sul dossier sanitario elettronico.

Partendo dal lavoro preparatorio del provvedemento, gli interventi dei relatori ne hanno evidenziato le caratteristiche più rilevanti, soprattutto alla luce degli accertamenti ispettivi effettuati dal Garante. Diverse le criticità emerse da sistemi informativi inefficienti che hanno dipinto un quadro deludente ed hanno portato l’Autorità a ribadire le priorità di riferimento per il trattamento dati, nel rispetto dell’uso corretto dell’informativa e del consenso, delle misure di sicurezza per garantire l’esattezza, l’integrità e la disponibilità dei dati, nonché di una buona politica di comunicazione e di condivisione.

Dossier sanitario vs. fascicolo sanitario elettronico

medical_25464374_lIl dossier sanitario è, per sua natura, destinato alla condivisione poiché rappresenta l’insieme dei dati generati da eventi clinici presenti e trascorsi riguardanti l’interessato, messi in condivisione logica dai professionisti sanitari che lo assistono al fine di documentare la storia clinica del processo di cura. Come più volte ricordato, tale strumento si differenzia dal Fascicolo sanitario elettronico (Fse), per il fatto che le informazioni in esso contenute sono state generate da un solo titolare del trattamento (ad esempio, un ospedale o una clinica privata) al cui interno operano più professionisti, ma non raccoglie l’intera storia clinica dell’assistito, eventi clinici presenti e trascorsi condivisi da più strutture sanitarie, come avviene per il Fse.

Le criticità dei dossier

Nonostante il dossier raccolga informazioni provenienti dalla stessa struttura sanitaria, l’interazione degli operatori con i sistemi a presidio del dossier rappresenta una delle maggiori criticità riscontrate dall’Autorità durante la sua attività ispettiva: per essere strumenti efficienti nei processi di diagnosi e cura dei pazienti, devono rispettare la certezza dell’origine e della correttezza dei dati e l’accessibilità degli stessi solo da parte di soggetti legittimati. Gli accertamenti del Garante purtroppo rilevano che molto spesso i dossier sanitari implementati nelle strutture sanitarie derivano da iniziative improvvisate di informatizzazione delle cartelle cliniche di reparto o di ambulatorio. I sistemi informativi così generati, senza un processo di gestione considerato nel suo insieme, sono viziati dalla mancanza di certezza sulla veridicità delle informazioni e dalla conseguente possibilità che i dati siano accessibili, modificabili e perfino diffusi da soggetti non legittimati.

dossier_sanitario_garante

Profili tecnologici e misure di sicurezza

I relatori presenti al seminario hanno cercato di offrire soluzioni a queste vulnerabilità, offrendo un quadro delle misure di sicurezza più significative poste a protezione dei sistemi informativi in ambito sanitario. In particolare:

  • Adottare sistemi di autenticazione e di autorizzazione che assicurino l’accesso selettivo ai dati in linea con i principi di necessità, pertinenza, non eccedenza e indispensabilità e Principio del «need to know»;
  • Tracciare gli accessi delle operazioni, registrando in modo automatico le operazioni di accesso in appositi file di log ai fini della verifica della liceità del trattamento dei dati; In particolare i file log consentono l’identificazione del soggetto incaricato che ha materialmente disposto l’operazione, la data e l’ora, la tipologia dell’operazione compiuta sui dati (anche laddove l’operazione sia di semplice consultazione );
  • utilizzare sistemi di audit log: i file di log devono essere disponibili per un periodo di conservazione non inferiore a 24 mesi dalla data di registrazione dell’operazione; il controllo interno deve prevedere l’attivazione di specifici alert che individuino comportamenti anomali.
  • Determinare criteri per la separazione e la cifratura dei dati, in particolare per quelli atti a rivelare lo stato di salute e la vita sessuale dagli altri dati personali, prevedendo all’occorrenza anche tecnologie crittografiche
  • organizzare attività di controllo interno e comunicare al Garante il verificarsi di violazioni dei dati (Data breach) o incidenti informatici entro 48 ore.
  • Individuare all’interno della struttura sanitaria una figura di responsabile della protezione dei dati che svolga il ruolo di referente con il Garante (c.d. DPO – data protection officer), i cui compiti devono prevedere l’attuazione della normativa e la tenuta del registro dei trattamenti effettuati anche in relazione ai casi di data breach.

Obiettivi e sfide

L’obiettivo di una sanità integrata presuppone la condivisione delle informazioni sulla salute del paziente al fine di migliorare le diagnosi, sviluppare cure e ridurre le spese di esami clinici inutilmente replicati. Tuttavia, l’integrazione dei dati sanitari non può prescindere dal rispetto dei diritti dell’interessato e da una gestione diligente delle sue facoltà: il consenso deve rimanere libero, specifico ed incondizionato e dettagliare modalità e misure di autotutela del trattamento; l’individuo deve poter scegliere di negare il consenso, revocarlo o selezionare dati da escludere dal trattamento. Principi generali sempre validi per proteggere l’identità e la dignità delle persone, ma particolarmente rilevanti per la delicatezza dei dati di natura sanitaria.

Riproduzione riservata ©

ALTRE NEWS

La nuova direttiva europea sulla musica online: un perfetto ‘balancing test’

“La proposta di direttiva europea sui servizi di musica online si pone perfettamente in linea con le diverse esigenze dei soggetti coinvolti nel settore: standard… Leggi Tutto

Evento: GDPR europea, prodotti e servizi ICT: quali impatti e quali obblighi

Approvato definitivamente lo scorso 14 aprile dal Parlamento Europeo in sessione plenaria, il testo del Regolamento Europeo per la Protezione dei Dati è stato pubblicato… Leggi Tutto

Prorogato al 31 dicembre 2004 il dps privacy

Slittano  le scadenze previste per gli adempimenti principali dettati dal Codice in materia di protezione dei dati personali entrato in vigore il primo gennaio 2004…. Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form