fbpx
Certificazione degli auditor/lead auditor per la ISO/IEC 27001: c’è ancora troppa confusione!
6 Dicembre 2016
Conservazione, Protezione e Sicurezza dei Dati
12 Dicembre 2016

L’obsolescenza tecnologica in ambito sanitario: criticità e metodi di prevenzione

Introduzione

Il dato sanitario è l’insieme delle informazioni utili a rivelare lo stato di salute di una persona ed è costituito da informazioni anamnestiche, risultati di esami strumentali o di laboratorio, immagini diagnostiche, referti ed altre informazioni sensibili. Esso, per sua stessa natura, rappresenta il fulcro delle attività delle strutture sanitarie. Le organizzazioni sanitarie, in un’ottica di miglioramento continuo, devono fornire al cittadino un dato di qualità, ovvero affidabile, sicuro e facilmente fruibile. Gli obiettivi sopraindicati, nel panorama italiano, vanno inoltre perseguiti con scarse risorse, all’interno di un quadro normativo e tecnologico in continuo cambiamento.

Le organizzazioni sanitarie sono pertanto chiamate a standardizzare e a semplificare i processi, individuando chiari obiettivi specifici, perseguibili e monitorabili nel tempo. Uno di questi è sicuramente l’individuazione e la dismissione di tecnologie e di processi obsoleti. Questi ultimi, infatti, non solo ostacolano la standardizzazione e la semplificazione dei processi, ma aggiungono inevitabilmente complessità, eccezioni e ridondanze nelle organizzazioni sanitarie con conseguente aumento di rischi e costi.

Esempi di obsolescenza

Il quadro di ristrettezze economiche sopracitato tende a prolungare il ciclo di vita di tutte le attrezzature sanitarie. Un tipico esempio in tal senso è fornito dalla dotazione di ecografi e di apparecchiature radiologiche. I primi sono largamente utilizzati in tutte le strutture sanitarie italiane, all’interno delle quali la presenza di sistemi obsoleti risulta particolarmente significativa. Utilizzare ecografi obsoleti significa abbassare l’accuratezza diagnostica e conseguentemente l’affidabilità del dato sanitario. La bassa qualità delle immagini richiede poi la ripetizione di esami con spreco di risorse gestionali ed economiche.

Le considerazioni sopra riportate sono valide anche per le apparecchiature radiologiche datate. Oltre al basso contenuto informativo delle immagini, apparecchi obsoleti rendono difficoltosa la registrazione dei dati relativi ad ogni singolo esame, come richiesto dalla Direttiva 59/2013 in ambito radioprotezionistico. Questi dovranno pertanto essere trascritti manualmente, con inevitabile aggiunta di eccezioni nei processi e possibilità di errori da parte degli operatori sanitari.

Un terzo esempio di criticità molto diffusa all’interno delle strutture sanitarie italiane è rappresentato dalla componente software. Quest’ultima, in particolare, può risultare obsoleta in tempi molto brevi qualora si verifichi almeno una delle seguenti condizioni:

  • il framework di sviluppo del codice sorgente non è manutenuto o non è manutenibile;
  • il codice sorgente è scritto in un linguaggio di programmazione fuori dagli standard e quindi difficilmente utilizzabile;
  • i fornitori forniscono prodotti non conformi;
  • le soluzioni software sono home made: sviluppate in casa da singoli professionisti al di fuori di un team dedicato.

In tutti i casi sopracitati di obsolescenza del software, le ripercussioni sono evidenti a livello di mancata standardizzazione e di semplificazione dei processi all’interno delle strutture sanitarie. Un software obsoleto espone inoltre l’organizzazione ad ulteriori rischi come lo SPOF – Single Point of Failure.

Oltre ai casi di obsolescenza tecnologica sopra riportati, vanno anche ricordati quelli di natura organizzativa. Un tipico esempio in tal senso è dato dalla gestione della sicurezza del dato sanitario, materia più volte riesaminata dal legislatore. Il quadro normativo in continuo cambiamento rende difficoltosa la gestione organica e a lungo termine del dato clinico. Come conseguenza, i singoli professionisti che operano all’interno delle organizzazioni sanitarie, spesso considerano la protezione dei dati degli assistiti un ostacolo all’erogazione tempestiva delle procedure cliniche. Gran parte delle strutture sanitarie nazionali delegano quindi al solo CIO la responsabilità delle politiche di sicurezza delle informazioni. Il CIO, tuttavia, non è in grado di svolgere da solo questo compito: la sua missione consiste nell’assicurare l’erogazione dei servizi in termini di automazione, innovazione ed efficienza, e non nel definire, da solo, le politiche aziendali sulla sicurezza del dato. Affidare al solo Chief Information Officer (CIO) la gestione della sicurezza del dato sanitario è in palese contraddizione con lo standard di sicurezza ISO27001 e con il General Data Protection Regulation 2016/679 (Art. 38, comma 6) che vietano espressamente di delegare la protezione del dato a figure soggette a potenziali conflitti di interessi, secondo il principio della Separazione dei Compiti (Segregation of Duties).

Il raggruppamento di compiti e responsabilità di diversa natura in capo ad un’unica persona od unità organizzativa, infatti, potrebbe permettere allo stesso attore di compiere errori, frodi e violazioni sui dati, trovandosi nella condizione di poter occultare l’atto compiuto ed esponendo l’azienda a gravi rischi.

Una possibile soluzione

Fornire al cittadino un dato sanitario affidabile, sicuro e facilmente fruibile non può prescindere da una visione generale dei processi. Questi possono essere standardizzati e semplificati se le criticità, come quelle indicate nel precedente paragrafo a titolo esemplificativo, sono individuate, valutate e rimosse. Nello svolgimento delle attività di governance della sicurezza informatica, le organizzazioni sanitarie possono avvalersi  dell’approccio metodologico dell’Health Technology Assessment (HTA). L’HTA è una metodica multidisciplinare che valuta gli effetti reali di una tecnologia e/o di un processo su più dimensioni come l’efficacia, la sicurezza, i costi, l’impatto sociale ed organizzativo. In particolare, l’analisi HTA condotta su tecnologie e processi esistenti può evidenziare situazioni critiche, come ad esempio gli asset core elencati nel precedente paragrafo che, sebbene largamente utilizzati, potrebbero risultare superati ed inadeguati. L’eventuale disinvestment di tecnologie e processi obsoleti, se condotto secondo i criteri HTA, migliora il servizio al cittadino aderendo alla normativa vigente. Con riferimento agli esempi del precedente paragrafo, è questo il caso della Direttiva Europea 59/2013 in ambito di radioprotezione: eliminare apparecchiature radiologiche obsolete significa anche rimuovere le difficoltà nell’adempimento dello stesso. Anche per quanto concerne la gestione della sicurezza del dato sanitario, l’approccio multidisciplinare dell’HTA risulta conforme alle indicazioni del General Data Protection Regulation 2016/679 (Art. 32, Sicurezza del trattamento) in relazione alla presenza di possibili conflitti di interesse.

Conclusioni

I dati sanitari sono trattati in un dominio tecnologico molto complesso che, oltre ad invecchiare velocemente, è spesso condizionato dalla presenza di eccezioni. Queste deroghe alla gestione standard dei processi aggiungono costi, complessità e ridondanze nel sistema, sempre a scapito del buon funzionamento delle organizzazioni sanitarie. Nel presente lavoro sono state descritte alcune criticità, legate a tecnologie e processi che, sebbene obsoleti, permangono all’interno delle strutture sanitarie. L’utilizzo appropriato dell’HTA fornisce uno strumento capace di intaccare queste fonti di inefficienze, rischi e sprechi.

L’attività da svolgere è sicuramente notevole. Ad accrescere le difficoltà stanno le immancabili resistenze, senza il cui superamento risulta impossibile innovare. Molto probabilmente, gran parte delle energie dovranno essere profuse nel rimuovere le opposizioni al cambiamento tecnologico e organizzativo, spesso legate all’esistenza di vincoli tecnico/operativi, ma anche  ad insufficiente determinazione manageriale.

SUGGERIMENTI BIBLIOGRAFICI

Società Italiana Health Technology Assessment – http://www.sihta.it/

Osservatorio Europrivacy – http://europrivacy.info/it/

ENISA Risk of using discontinued software – https://www.enisa.europa.eu/publications/info-notes/flash-note-risks-of-using-discontinued-software

TIOBE – Programming Community index – http://www.tiobe.com/tiobe-index/

 

A cura di:

Dott. Giampaolo Franco – Azienda Provinciale per i Servizi Sanitari di Trento

Dott. Diego Trevisan – Azienda Provinciale per i Servizi Sanitari di Trento

Dott. Giovanni Maria Guarrera – Azienda Provinciale per i Servizi Sanitari di Trento

Download PDF
Condividi sui Social Network:

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy