Autori »
Lista completa degli autori
Area tematica
ICT ed informatica medica
Abstract
Introduzione. Nel processo di diagnosi e cura intervengono sempre più apparecchiature HW e SW atte a produrre dati sanitari digitali. In tema di “trattamento dati” il Regolamento Europeo 2016/679 introduce il concetto di accountability secondo il quale i titolari del trattamento devono adottare approcci e politiche che tengano conto del rischio. L’analisi dei rischi introdotti dal trattamento dei dati diventa lo strumento essenziale per determinare le attività critiche e costruire il “registro dei trattamenti”.
Materiali e Metodi. La rilevazione ed inventariazione degli applicativi software, richiesto tra l’altro dalla Circolare AGID n.1 del 17 marzo 2017, risulta essere fondamentale per la valutazione del rischio. Si propone come strumento di supporto all’attività di analisi una scheda di raccolta di informazioni relative sia alle caratteristiche HW e SW dell’apparecchiatura che al contesto di utilizzo. Tali informazioni concorrono sia alla valutazione e alla mappatura dei rischi, sia alla creazione di un nuovo indicatore per il calcolo dell’indice di priorità di sostituzione (IPS).
Risultati e Conclusioni. Si sta sperimentando l’applicabilità del metodo in due strutture sanitarie lombarde (ASST ed IRCCS). I primi risultati mostrano un elevato numero di apparecchiature elettromedicali che non risultano compliant alla norma, da ritenere non sicure, e per le quali si dovrà prevedere la sostituzione inserendole nel Piano Investimenti Aziendale.
Limiti e criticità. Il metodo proposto per l’analisi dei rischi (matrice di rischio) è di tipo qualitativo e permette di individuare tre macrocategorie da declinare ed approfondire per mezzo di metodi più sofisticati. Le organizzazioni sanitarie risultano impreparate, dal punto di vista organizzativo, ad adempiere al Regolamento in quanto manca una reale percezione del rischio e consapevolezza sul concetto di trattamento illecito. La tecnologia è in grado di offrire vantaggi immediati in termini di comunicazione e diffusione delle informazioni, ma senza una corretta informazione e formazione del personale il rischio è quello di sottovalutare ed ignorare gli aspetti necessari ad una gestione consapevole ed adeguata del dato informatizzato.
Autori
Ilde Maria Barbieri asst bergamo ovest treviglio italy
Camilla Cristina Catelli fondazione irccs ca’ granda ospedale maggiore policlinico milano italy