L’obsolescenza tecnologica in ambito sanitario: criticità e metodi di prevenzione

A cura di:Redazione Ore

Introduzione

Il dato sanitario è l’insieme delle informazioni utili a rivelare lo stato di salute di una persona ed è costituito da informazioni anamnestiche, risultati di esami strumentali o di laboratorio, immagini diagnostiche, referti ed altre informazioni sensibili. Esso, per sua stessa natura, rappresenta il fulcro delle attività delle strutture sanitarie. Le organizzazioni sanitarie, in un’ottica di miglioramento continuo, devono fornire al cittadino un dato di qualità, ovvero affidabile, sicuro e facilmente fruibile. Gli obiettivi sopraindicati, nel panorama italiano, vanno inoltre perseguiti con scarse risorse, all’interno di un quadro normativo e tecnologico in continuo cambiamento.

Le organizzazioni sanitarie sono pertanto chiamate a standardizzare e a semplificare i processi, individuando chiari obiettivi specifici, perseguibili e monitorabili nel tempo. Uno di questi è sicuramente l’individuazione e la dismissione di tecnologie e di processi obsoleti. Questi ultimi, infatti, non solo ostacolano la standardizzazione e la semplificazione dei processi, ma aggiungono inevitabilmente complessità, eccezioni e ridondanze nelle organizzazioni sanitarie con conseguente aumento di rischi e costi.

Esempi di obsolescenza

Il quadro di ristrettezze economiche sopracitato tende a prolungare il ciclo di vita di tutte le attrezzature sanitarie. Un tipico esempio in tal senso è fornito dalla dotazione di ecografi e di apparecchiature radiologiche. I primi sono largamente utilizzati in tutte le strutture sanitarie italiane, all’interno delle quali la presenza di sistemi obsoleti risulta particolarmente significativa. Utilizzare ecografi obsoleti significa abbassare l’accuratezza diagnostica e conseguentemente l’affidabilità del dato sanitario. La bassa qualità delle immagini richiede poi la ripetizione di esami con spreco di risorse gestionali ed economiche.

Le considerazioni sopra riportate sono valide anche per le apparecchiature radiologiche datate. Oltre al basso contenuto informativo delle immagini, apparecchi obsoleti rendono difficoltosa la registrazione dei dati relativi ad ogni singolo esame, come richiesto dalla Direttiva 59/2013 in ambito radioprotezionistico. Questi dovranno pertanto essere trascritti manualmente, con inevitabile aggiunta di eccezioni nei processi e possibilità di errori da parte degli operatori sanitari.

Un terzo esempio di criticità molto diffusa all’interno delle strutture sanitarie italiane è rappresentato dalla componente software. Quest’ultima, in particolare, può risultare obsoleta in tempi molto brevi qualora si verifichi almeno una delle seguenti condizioni:

  • il framework di sviluppo del codice sorgente non è manutenuto o non è manutenibile;
  • il codice sorgente è scritto in un linguaggio di programmazione fuori dagli standard e quindi difficilmente utilizzabile;
  • i fornitori forniscono prodotti non conformi;
  • le soluzioni software sono home made: sviluppate in casa da singoli professionisti al di fuori di un team dedicato.

In tutti i casi sopracitati di obsolescenza del software, le ripercussioni sono evidenti a livello di mancata standardizzazione e di semplificazione dei processi all’interno delle strutture sanitarie. Un software obsoleto espone inoltre l’organizzazione ad ulteriori rischi come lo SPOF – Single Point of Failure.

Oltre ai casi di obsolescenza tecnologica sopra riportati, vanno anche ricordati quelli di natura organizzativa. Un tipico esempio in tal senso è dato dalla gestione della sicurezza del dato sanitario, materia più volte riesaminata dal legislatore. Il quadro normativo in continuo cambiamento rende difficoltosa la gestione organica e a lungo termine del dato clinico. Come conseguenza, i singoli professionisti che operano all’interno delle organizzazioni sanitarie, spesso considerano la protezione dei dati degli assistiti un ostacolo all’erogazione tempestiva delle procedure cliniche. Gran parte delle strutture sanitarie nazionali delegano quindi al solo CIO la responsabilità delle politiche di sicurezza delle informazioni. Il CIO, tuttavia, non è in grado di svolgere da solo questo compito: la sua missione consiste nell’assicurare l’erogazione dei servizi in termini di automazione, innovazione ed efficienza, e non nel definire, da solo, le politiche aziendali sulla sicurezza del dato. Affidare al solo Chief Information Officer (CIO) la gestione della sicurezza del dato sanitario è in palese contraddizione con lo standard di sicurezza ISO27001 e con il General Data Protection Regulation 2016/679 (Art. 38, comma 6) che vietano espressamente di delegare la protezione del dato a figure soggette a potenziali conflitti di interessi, secondo il principio della Separazione dei Compiti (Segregation of Duties).

Il raggruppamento di compiti e responsabilità di diversa natura in capo ad un’unica persona od unità organizzativa, infatti, potrebbe permettere allo stesso attore di compiere errori, frodi e violazioni sui dati, trovandosi nella condizione di poter occultare l’atto compiuto ed esponendo l’azienda a gravi rischi.

Una possibile soluzione

Fornire al cittadino un dato sanitario affidabile, sicuro e facilmente fruibile non può prescindere da una visione generale dei processi. Questi possono essere standardizzati e semplificati se le criticità, come quelle indicate nel precedente paragrafo a titolo esemplificativo, sono individuate, valutate e rimosse. Nello svolgimento delle attività di governance della sicurezza informatica, le organizzazioni sanitarie possono avvalersi dell’approccio metodologico dell’Health Technology Assessment (HTA). L’HTA è una metodica multidisciplinare che valuta gli effetti reali di una tecnologia e/o di un processo su più dimensioni come l’efficacia, la sicurezza, i costi, l’impatto sociale ed organizzativo. In particolare, l’analisi HTA condotta su tecnologie e processi esistenti può evidenziare situazioni critiche, come ad esempio gli asset core elencati nel precedente paragrafo che, sebbene largamente utilizzati, potrebbero risultare superati ed inadeguati. L’eventuale disinvestment di tecnologie e processi obsoleti, se condotto secondo i criteri HTA, migliora il servizio al cittadino aderendo alla normativa vigente. Con riferimento agli esempi del precedente paragrafo, è questo il caso della Direttiva Europea 59/2013 in ambito di radioprotezione: eliminare apparecchiature radiologiche obsolete significa anche rimuovere le difficoltà nell’adempimento dello stesso. Anche per quanto concerne la gestione della sicurezza del dato sanitario, l’approccio multidisciplinare dell’HTA risulta conforme alle indicazioni del General Data Protection Regulation 2016/679 (Art. 32, Sicurezza del trattamento) in relazione alla presenza di possibili conflitti di interesse.

Conclusioni

I dati sanitari sono trattati in un dominio tecnologico molto complesso che, oltre ad invecchiare velocemente, è spesso condizionato dalla presenza di eccezioni. Queste deroghe alla gestione standard dei processi aggiungono costi, complessità e ridondanze nel sistema, sempre a scapito del buon funzionamento delle organizzazioni sanitarie. Nel presente lavoro sono state descritte alcune criticità, legate a tecnologie e processi che, sebbene obsoleti, permangono all’interno delle strutture sanitarie. L’utilizzo appropriato dell’HTA fornisce uno strumento capace di intaccare queste fonti di inefficienze, rischi e sprechi.

L’attività da svolgere è sicuramente notevole. Ad accrescere le difficoltà stanno le immancabili resistenze, senza il cui superamento risulta impossibile innovare. Molto probabilmente, gran parte delle energie dovranno essere profuse nel rimuovere le opposizioni al cambiamento tecnologico e organizzativo, spesso legate all’esistenza di vincoli tecnico/operativi, ma anche ad insufficiente determinazione manageriale.

SUGGERIMENTI BIBLIOGRAFICI

Società Italiana Health Technology Assessment – http://www.sihta.it/

Osservatorio Europrivacy – http://europrivacy.info/it/

ENISA Risk of using discontinued software – https://www.enisa.europa.eu/publications/info-notes/flash-note-risks-of-using-discontinued-software

TIOBE – Programming Community index – http://www.tiobe.com/tiobe-index/

 

A cura di:

Dott. Giampaolo Franco – Azienda Provinciale per i Servizi Sanitari di Trento

Dott. Diego Trevisan – Azienda Provinciale per i Servizi Sanitari di Trento

Dott. Giovanni Maria Guarrera – Azienda Provinciale per i Servizi Sanitari di Trento

Condividi sui Social Network:

Articoli simili

Introduzione alla Cyber Intelligence – Pianificare le migliori strategie di cyber difesa nell’era dell’Information Warfare

Introduzione alla Cyber Intelligence – Pianificare le migliori strategie di cyber difesa nell’era dell’Information Warfare

A cura di:Giuseppe Brando Ore Pubblicato il

L’intelligence ha uno scopo predittivo, cioè, sulla base della raccolta delle notizie e a seguito di una loro analisi, cerca di estrarre informazioni utili al fine di fornire supporto su decisioni strategiche o operative. Le principali modalità di raccolta delle informazioni sono[1]: Intelligence umana (HUMINT) Intelligence delle immagini (IMINT) Intelligence dei segnali (SIGINT) Intelligence delle…

Stefano Fratepietro – Intervista al Cyber Crime Conference 2017

Stefano Fratepietro – Intervista al Cyber Crime Conference 2017

A cura di:Redazione Ore Pubblicato il

[video_embed video=”219353418″ parameters=”” mp4=”” ogv=”” placeholder=”” width=”700″ height=”400″] Stefano Fratepietro Esperto di Cyber Security e Digital Forensics La protezione del dato informatico dai recenti tentativi di data exfiltration Da Eye Piramid all’attacco alla Farnesina. Durante l’intervento è stato illustrato sotto forma di case study cosa sappiamo del malware Eye Piramid e di quali sono le…

Stefano Fratepietro – Intervista al Cyber Crime Conference 2018

Stefano Fratepietro – Intervista al Cyber Crime Conference 2018

A cura di:Redazione Ore Pubblicato il

[video_embed video=”266057421″ parameters=”” mp4=”” ogv=”” placeholder=”” width=”900″ height=”460″] Stefano Fratepietro Esperto di Cyber Security e Digital Forensics Fino a poco tempo fa l’ICT Security era una materia per pochi, oggi con la diffusione degli strumenti Smart – come ad esempio quelli per la gestione della casa intelligente – interessa tutti o quasi. Un hacker potrebbe…

Cyberwomen: come conquistarle?

Cyberwomen: come conquistarle?

A cura di:Lisa Da Re Ore Pubblicato il

Nell’ultimo anno ho letto diversi articoli che evidenziavano la “mancanza” di donne nel settore cybersecurity e invitavano le aziende ad aumentare il numero delle “quote rosa” all’interno del loro personale. Molti di questi articoli spiegano tale carenza attraverso una discriminazione del gentil sesso per le posizioni lavorative in ambito cybersecurity. L’obiettivo di questo contributo è…

Il ruolo della Threat Intelligence nella cyber resilience delle organizzazioni – Cyber Security Virtual Conference 2021

Il ruolo della Threat Intelligence nella cyber resilience delle organizzazioni – Cyber Security Virtual Conference 2021

A cura di:Redazione Ore Pubblicato il

27 maggio 2021 – Ore 15:00 Il ruolo della Threat Intelligence nella cyber resilience delle organizzazioni La maggior parte delle organizzazioni non sa nemmeno quando i controlli di sicurezza hanno fallito. L’introduzione dell’A.I. nei sistemi di difesa perimetrali ed interni è sempre più efficace ma opera sul riconoscimento di anomalie, quando cioè è già avviata…

Ecco perché nessuno può definirsi Manager della Resilienza, ma anche perché ogni Organizzazione dovrebbe averne uno

Ecco perché nessuno può definirsi Manager della Resilienza, ma anche perché ogni Organizzazione dovrebbe averne uno

A cura di:Gianna Detoni Ore Pubblicato il

Fino a pochi anni fa era raro incontrare qualcuno in grado di rispondere a questa semplice domanda: “cosa significa resilienza?” Il termine era già ben noto nel contesto scientifico, in particolare nell’ingegneria (la resilienza dei materiali) e in psicologia. Alcune aziende all’avanguardia hanno iniziato ad utilizzarlo già 12-13 anni fa, ma si trattava solo di…