Dati sanitari digitali
«La protezione dei dati non può dipendere dai costi»
Proteggere i dati sanitari è sempre stato un dovere. La crescente digitalizzazione rende la questione ancora più attuale e pone di fronte a sfide importanti sia i fornitori di prestazioni sia i fornitori di servizi IT.
Testo: Roger Welti, Immagini: ©iStock, ©Alamy, ©Keystone, 14 dicembre 2017
La cartella informatizzata del paziente (CIP) è un’occasione per parlare, tra amici come tra professionisti del settore, di protezione e di sicurezza dei dati nella sanità. Secondo quanto rilevato dal Barometro Swiss eHealth 2017 il 65% della popolazione nutre fiducia nei confronti delle strutture che trattano, e devono proteggere, i dati dei pazienti usufruendo della CIP: un valore non esiguo. I professionisti che operano nel settore sanitario si mostrano invece più scettici. Il 35% dei medici e il 42% dei farmacisti non sono propensi a offrire la CIP ai loro pazienti per motivi di protezione dei dati. Quali sono le sfide nella protezione dei dati elettronici dei pazienti? Abbiamo chiesto la loro opinione in merito all’Ufficio federale della sanità pubblica (UFSP), ai fornitori di prestazioni e ai fornitori di servizi IT.
Per cambiare paradigma ci vuole sensibilità
La digitalizzazione nel sistema sanitario, e in particolare la CIP, modificano stabilmente i rapporti di forza nel modo in cui vengono trattati i dati medici. Innanzitutto, il paziente può consultare i propri dati e gestirne l’accessibilità. Sono i finiti i tempi in cui un gruppo non meglio definito di persone aveva accesso ai dati sanitari di un paziente senza che questi ne fosse a conoscenza. «Ci troviamo di fronte a un cambio di paradigma», afferma anche Salome von Greyerz, direttrice del reparto strategie sanitarie dell’UFSP. «Questo cambiamento costringe i fornitori di prestazioni a sviluppare una sensibilità ancora maggiore per i temi inerenti la protezione dei dati.»
Ma non basta la consapevolezza, occorre individuare soluzioni tecniche che soddisfino le nuove esigenze. «Sia per gli ospedali sia per gli altri fornitori di prestazioni aumenteranno i requisiti a livello di autenticazione», afferma von Greyerz. Le nuove procedure di login dovranno essere compatibili con il percorso di cura, per evitare di compromettere i livelli di efficienza e qualità. «Si possono citare numerosi esempi di fornitori di prestazioni e partner tecnologici di provata esperienza che hanno trovato soluzioni interessanti grazie a una collaborazione intensa e costruttiva», afferma von Greyerz.
La possibilità di esternalizzazione a professionisti
Queste soluzioni non sono tuttavia gratuite e anche l’UFSP ne è consapevole. Per quanto riguarda i costi, Salome von Greyerz non ha dubbi: «La protezione dei dati non può dipendere dai costi». Se lo standard minimo richiesto per legge per la protezione dei dati implica dei costi, i fornitori di prestazioni devono incorporarli nelle trattative tariffarie.
L’UFSP ha rilevato un livello particolarmente alto di sensibilità e di know how da parte dei fornitori di servizi IT in materia di protezione e sicurezza dei dati. Il ransomware “WannaCry” e altri casi simili dimostrerebbero però che soprattutto negli ospedali più piccoli, ma anche nelle case di cura e negli ambulatori medici, i sistemi primari sono ancora esposti a eventuali attacchi. «In questo caso può essere utile trasferire il backup dei dati dai sistemi locali al cloud», sostiene von Greyerz. A fronte dell’imminente aggiornamento della strategia eHealth della Confederazione sono anche stati formulati suggerimenti e misure parallele tesi a fornire supporto ai fornitori di prestazioni nel campo della sicurezza dei dati.
Il settore ambulatoriale richiede un compenso
Yvonne Gilli dell’Istituto svizzero per la formazione medica (ISFM) è convinta che lo sviluppo di conoscenze debba essere un obiettivo primario. Per gli specialisti che esercitano in uno studio privato la digitalizzazione ha comportato nuove difficoltà inerenti l’archiviazione, la gestione e lo scambio di dati. «In Svizzera mancano ancora molte conoscenze nell’ambito dell’informatica medica e occorre svilupparle il prima possibile, in particolare a livello universitario», afferma Gilli.
Secondo Gilli non basta però il know how. Gli studi medici privati devono poter contare su un rimborso dei costi sostenuti per i servizi informatici e quindi anche per la protezione dei dati elettronici dei pazienti. «I sistemi di indennizzo non contemplano però un rimborso», spiega Gilli. In nessun Paese al mondo è stato possibile promuovere efficacemente la digitalizzazione degli ambulatori medici senza finanziamenti pubblici. «Anche in Svizzera sarà così, nonostante al momento manchi la volontà politica in tal senso», conclude Gilli.
L’interesse dei pazienti in cura presso studi medici privati è finora basso
Mentre i fornitori di prestazioni stanno lavorando per garantire la protezione e la sicurezza dei dati, i pazienti non sembrano mostrare grande interesse per questi temi, sostiene Yvonne Gilli dell’ISFM. «L’interesse primario degli svizzeri è quello di potere disporre dei loro dati a livello elettronico. Si interessano però ancora poco delle questioni concrete legate alla protezione e alla sicurezza dei dati».
Per quanto riguarda il settore ospedaliero è difficile esprimersi in termini generali sull’interesse dei pazienti per i temi riguardanti la protezione dei dati. «Nell’ambito dell’oncologia, ad esempio, si registra però in Svizzera una maggiore sensibilità da parte dei pazienti», afferma Caroline Piana, direttrice della divisione operativa tariffe eHealth presso l’associazione degli ospedali H+.
Una questione che va ben oltre l’IT
Gli ospedali si trovano a dover affrontare problematiche particolari nella gestione dei dati dei pazienti. Questi dati sono disseminati nei più diversi sistemi informatici, che spesso non sono collegati tra loro, situazione che può essere un vantaggio in caso di attacchi dall’esterno. «Lo svantaggio per gli ospedali è però la difficoltà di avere una panoramica di tutte le raccolte di dati dei pazienti e di farle confluire nella CIP», spiega Piana. La direzione ospedaliera deve delineare le necessarie procedure organizzative e tecniche e le procedure per la definizione dei processi prima di poter partecipare a una piattaforma CIP. «L’interfaccia verso una piattaforma CIP non è quindi solo un progetto informatico, ma interessa l’ospedale nel suo complesso quale azienda, anche dal punto di vista dell’organizzazione e dei processi», sottolinea Piana.
Qual è il livello di know how relativo alla protezione dei dati negli ospedali svizzeri? L’associazione H+ sottolinea che la sicurezza dei dati dei pazienti non ha acquisito importanza solo con la digitalizzazione. «Gli ospedali hanno responsabili interni della protezione dei dati oppure cercano la collaborazione di esperti riconosciuti», afferma Piana. Un problema che sorge nell’ambito della CIP è avere a disposizione sufficiente personale ospedaliero in possesso delle conoscenze specialistiche necessarie. H+ offrirà dei percorsi di formazione mirati per rispondere a queste esigenze.
Ogni direzione ospedaliera dovrà decidere se mettere a disposizione personalmente le conoscenze relative alla protezione dei dati a livello interno, se associarsi con altri ospedali o se richiedere l’intervento di esperti esterni. «Gli ospedali devono verificare continuamente tramite un’analisi dei rischi se la sicurezza e la disponibilità dei dati può essere assicurata in modo efficiente attraverso risorse interne o risorse esterne oppure attraverso una combinazione di entrambe», afferma Piana.
Squadra di difesa dai cyber-attacchi e responsabili della protezione dati
La complessità delle questioni tecniche e giuridiche inerenti alla protezione dei dati implica dunque che i fornitori di prestazioni svizzeri devono contare anche sul supporto di partner esperti. Questa può essere la ragione per cui le spese per la tecnologia dell’informazione e della comunicazione programmate dalle aziende ospedaliere e dalle case di cura saranno sicuramente trasferite nei prossimi anni dalle attività interne ai servizi esterni, come dimostra uno studio recente.
I fornitori di servizi IT offrono agli operatori della sanità svizzera le conoscenze e le soluzioni tecniche che questi ultimi non possono o non vogliono mettere a disposizione. Swisscom, ad esempio, ha un’esperienza pluriennale nell’ambito della protezione dei dati e dispone di oltre 100 esperti di Security. L’importanza che la sicurezza dei dati dei pazienti ricopre per il fornitore di servizi IT è dimostrata anche dal fatto che Swisscom impiega un responsabile addetto alla protezione dei dati in ambito sanitario. Si tratta di Martin Smock, che ha il compito di verificare l’osservanza di tutte le leggi e direttive. Smock è inoltre costantemente in contatto con l’UFSP ed è il referente per l’Incaricato federale della protezione dei dati e della trasparenza.
«La protezione dei dati e della sfera privata dei clienti e dei pazienti è per noi di massima priorità», sottolinea Smock. Quale fornitore di servizi IT, Swisscom è vincolata al principio secondo cui i dati sanitari devono essere protetti con particolare cura e non possono essere analizzati dall’azienda. La proprietà dei dati sanitari e i diritti su di essi rimangono in ogni caso al paziente. «Con la nostra tecnologia diamo un importante contribuito affinché i pazienti possano effettivamente far valere i propri diritti.», conclude Smock.
Newsletter
Desiderate ricevere regolarmente articoli e rapporti avvincenti su tematiche ICT di attualità?
Maggiori informazioni