Professione Sicura: parte 2

Ripartiamo con i “focus” che ScudoMedico desidera realizzare per gli iscritti in termini di sicurezza dei dati e rispetto delle normative vigenti, per vivere la propria professione in sicurezza e serenità.

In questo numero parliamo di cloud computing, Rispetto della Privacy del paziente e formazione del personale.

Sicurezza del Cloud Computing

Se si utilizza un sistema Cloud computing per il backup e/o la condivisione dei dati, il fornitore deve dare garanzie sulla sicurezza dati ed in particolare:

  • Crittografia “ forte” del dato in fase di transito (estrazione dal data base del MMG e trasmissione) ed in fase di conservazione nel Data base del Cloud (il cosiddetto “storage”);
  • Database fisicamente residente in Italia – Hosting in una farm italiana;
  • Sistemi di backup e di ripristino automatizzati;
  • Non necessità di “superamministratori”;
  • Impossibilità di attuare operazioni massive sui dati nell’archivio, non consultabile “in chiaro” dai gestori del Cloud;
  • Algoritmi di autenticazione all’accesso (credenziali)

Analoghe garanzie devono essere fornite in merito alla Sicurezza, soprattutto nel caso in cui il cloud computing venga utilizzato come rete clinica per consentire l’accesso ai dati clinici dei pazienti ai medici della AFT/Gruppo, nel rispetto diritti del paziente ed in particolare:

  • Non immediata fruibilità dei dati da parte di tutti i medici della AFT, ma meccanismi espliciti di reciprocità per condividere i dati, basati su algoritmi di autorizzazione reciproca tra i MMG per consentire l’accesso;
  • Possibilità per il medico di escludere, per singoli pazienti e su loro richiesta, la condivisione dei loro dati con altri medici (i dati vanno sul Cloud, ma li può vedere solo il MMG curante) o l’importazione del loro record nel cloud (i dati non vengono importati nel Cloud);
  • Area di accesso per il paziente per controllare i propri dati;
  • Possibilità per il paziente di escludere singoli medici dalla consultazione dei propri dati;
  • Assoluta tracciabilità degli accessi e di tutte le attività svolte.

Rispetto della Privacy del paziente

Al paziente va garantita la necessaria Privacy anche nelle varie attività che si svolgono nei suoi riguardi e pertanto si devono adottare le seguenti misure, specie da parte del personale:

  1. La prenotazione e le visite devono avvenire con modalità tali da evitare che altri pazienti possano sentire le conversazioni e/o individuare l’interlocutore;
  2. Per nessun motivo dovranno essere comunicate telefonicamente patologie, diagnosi o risultati di esami o referti;
  3. In presenza di altri pazienti o terzi in sala di attesa non dovranno essere comunicate ad alta voce patologie, diagnosi o risultati di esami o referti;
  4. E’ necessario evitare di comunicare diagnosi a persone diverse dall’interessato, soprattutto per telefono;
  5. Le prescrizioni mediche, referti e documenti contenenti dati sanitari devono essere consegnate solo al paziente. E’ possibile consegnarle anche a persone diverse, sulla base però di una delega scritta acquisita anche una sola volta e valida per sempre;
  6. La consegna o la “giacenza” di prescrizioni, referti e documenti sanitari deve avvenire sempre mediante busta chiusa e sigillata. Per nessun motivo le ricette/prescrizioni possono essere lasciate in sala di attesa o in altri luoghi accessibili al pubblico, compresa la farmacia.

Formazione del personale

Tutte queste specifiche devono essere oggetto di formazione specifica del personale e devono essere contenute in apposita lettera di incarico di cui una copia va consegnata al personale ed una controfirmata dal personale per attestazione di ricevimento/presa visione va conservata agli atti.

La Lettera di incarico, oltre ad essere obbligatoria è anche un sistema per obbligare i terzi alla massima responsabilità, poiché attraverso tale documento il medico titolare responsabilizza il personale ed altri collaboratori come i medici sostituti. Inoltre, oltre a contenere le indicazioni operative a cui il destinatario si deve attenere le lettere di incarico devono contenere anche la specifica che sulla materia il destinatario è stato formato.

Infine, una nota aggiuntiva.

Il personale deve essere responsabilizzato alla corretta gestione e manutenzione dei sistemi informatici. Anche il personale più efficiente spesso utilizza internet e la posta elettronica per ragioni personali. E’ opportuno, quindi, che oltre alla lettera di incarico sia fornita un’adeguata nota di istruzioni in modo che sia possibile procedere anche disciplinarmente in caso di violazioni. A tal proposito, consigliamo di adottare per i propri collaboratori e dipendenti un “regolamento del personale” che contenga adeguate istruzioni scritte.

Poiché tutte le specifiche azioni da intraprendere relative a sicurezza dei dati, rispetto della Privacy, lettere di incarico e formazione, sono contemplate e proposte dal Documento programmatico sulla sicurezza, se ne consiglia comunque la compilazione quale utile strumento di “check-list” delle azioni da garantire.

Il Documento programmatico sulla sicurezza è gratuitamente disponibile agli iscritti ed è accessibile dal Portale Pegaso utilizzando la propria Service Card.

Dario Grisillo

Vice Presidente ScudoMedico