Notizie

Home Page » Documentazione » Notizie » Sicurezza in Sanità, le policy che mancano in Italia

Sicurezza in Sanità, le policy che mancano in Italia

itallian Digital Revolution
12-09-2016

E’ ora di prendere seriamente in considerazione il tema, con policy forti, a livello centrale, l’aiuto degli esperti tecnici, senza delegare alle regioni o ai tecnici competenze che non hanno. Gli inglesi e gli americani hanno indicato una strada, a noi recepire il meglio, affinarlo ed adattarlo, per il bene di tutti, degli operatori del settore e dei cittadini.

I dispositivi medici intelligenti e realtà aumentata sono le innovazioni digitali, tra tutte le piu’ recenti, che hanno il maggior bisogno di migliorare la security, secondo i ricercatori della Carnegie Mellon.

Nel rapporto del  CERT / CC della Carnegie Mellon USA dell’aprile 2016, intitolato Emerging Technology Domain Risk Survey il capitolo 7.2 recita:

7.2 raccomandazione
A causa dell'impatto di dispositivi medici intelligenti sulle vite umane , il CERT / CC raccomanda una priorità di sensibilizzazione per questo dominio nel 2016. La struttura normativa di questo dominio ha dimostrato che la Industrial Control Systems Cyber Emergency Response Team (ICS-CERT)  e la FDA saranno i leader per la promozione di buone pratiche di sicurezza in questo settore. Inoltre  il National Health Information Sharing and Analysis Center (NH-ISAC) ha iniziato a sviluppare le buone pratiche per migliorare la sicurezza dei dispositivi medici.

Il patto per la sanità digitale è stato approvato dalla conferenza Stato Regioni e si avvierà una cabina di regia con il compito di introdurre l’innovazione digitale nel sistema sanitario. Per chi come me vive la realtà quotidiana della Digital Health uno dei primi pensieri è stato “e adesso”? Il mondo che io vedo è fatto da sistemi ospedalieri dove un direttore di struttura deve ricordarsi almeno 10 password differenti, che cambiano ogni tre mesi, senza sigle sign-on per mille attività, che è spesso costretto a delegare, con conseguente distribuzione della password al personale, medici di famiglia che trasferiscono il flusso delle ricette  “cosiddette” elettroniche ogni sera, su linee pubbliche con procedure batch, a volte non criptate, con file che contengono anche username e password del medico, l’accesso con semplice codice fiscale e password a tutto il sistema della certificazione di invalidità e di malattia, analogo accesso al sistema della prescrizione on line, dispositivi di wellness utilizzati come fossero dispositivi medici ed inseriti in percorsi di diagnosi e cura, telemonitoraggi fatti con dati che viaggiano in chiaro… Una fiction passata recentemente sui canali a pagamento “Mr Robot” realizzata , a dire degli autori con il contributo di Anonymous, (ha suscitato pensanti critiche da parte degli esperti di sicurezza per la eccessiva spettacolarizzazione del tema,a mio pare necessaria per lasciare un segno), mostra un giovane hacker che promette alla psicologa che lo segue che smetterà di drogarsi e che farà un test con cadenza periodica per mostrarle la sua determinazione. Poi si “leggono” i suoi pensieri: i sistemi ospedalieri della sua assicurazione sanitaria sono basati di versioni obsolete e non piu’ supportate da Microsoft, team di tecnici inadeguati per competenza e per numero, guidati da un management totalmente ignaro dei problemi. E nei suoi pensieri il referto da positivo per oppioidi diventa negativo.

Sinceramente non mi sento di escludere che questa sia una realtà possibile nel nostro SSN, purtroppo mi sembra una realtà probabile. Su un altro versante oggi abbiamo migliaia inutili e pericolosissime APP che promettono di controllare la pressione, lo scompenso cardiaco, l'asma, il diabete.Alcune di queste riportano il termine Prank, che vuol dire scherzo ma in realtà quasi nessuno di quelle che le scaricano lo capisce e si legge dai commenti che lasciano sugli store. Abbiamo addosso sensori approssimativi che calcolano attività e calorie, il mio smartwatch mi fa fare 10.000 passi al giorno se con lo scooter passo in zona piazza Venezia a Roma, in mezzo al pave'.

Una giungla di approssimazione che non tiene conto delle basi capisaldo dell'atto sanitario (non dell’atto sanitario digitale ma di quello medico erogato anche attraverso l'ICT): Safety, Security, Resilience e Trust, che sono da sempre elementi chiave della professione sanitaria. Per chiarirci, Safety (evitare di fare danno per errore) per il medico/infermiere richiede apparati certificati, medici competenti, locali idonei, modelli organizzativi collaudati ecc. Security (evitare di fare danno perché un malintenzionato ha usato maliziosamente il sistema) richiede apparati protetti da manipolazioni intenzionali, luoghi accessibili solo a chi e' autorizzato, cartelle accessibili solo agli aventi diritto, metronotte che sorvegliano o studio, telecamere alla porta ed in sala di attesa per evitare rapinatori e tossicodipenenti interessati ai farmaci ed ai ricettari/timbri ecc.

Resilience (funzionare anche in presenza di guasti ) richiede apparecchiature e presidi di scorta,manutenzione entro poche ore h24, medici che sostituiscono il collega in caso di malattia, backup sicuro dei dati clinici ecc.

Trust (affidabilità e qualità della prestazione) richiede competenze professionali ed aggiornamento costante, referenze certificate, aggiornamenti e pubblicazioni scientifiche. La privacy a mio parere è solo il risultato della messa in atto del precedente e dell'obbligo legale e deontologico di segreto professionale). Aggiungere il digitale a questi processi è ormai attuale e richiede un ripensamento delle regole, non caso per caso, non generico, ma su forte indicazione centrale. Gli inglesi hanno una autority specifica, Dame Fiona Caldicott, National Data Guardian for Health and Care,  che ha recentemente pubblicato un report  "Raccomandazioni per rafforzare la sicurezza delle informazioni sulla salute e sulle cure e per garantire che le persone possano fare scelte informate su come vengono utilizzati i propri dati" , Review of Data Security, Consent and Opt-Outs-

Il rapporto in estrema sintesi indica tre obblighi per le organizzazione sanitarie, poi declinati nel dettaglio

1)    il personale : garantire che il personale sia capace e competente a gestire le informazioni con rispetto e sicurezza , secondo i Caldicott Principles.

2)    i processi: garantire che l'organizzazione in modo proattivo sia in grado diu impedire violazioni della sicurezza dei dati e sappia rispoendere in modo appropriato ad incidenti accaduti o appena sfiorati

3)    la tecnologia: garantire che la tecnologia sia sicura e up- to-date

inoltre almeno  per le grandi organizzazioni, devono essere complianti con gli standard principali, come ad esempio la serie 27000 ISO / IEC, gli standard della ISF  di buona pratica per la sicurezza delle informazioni e gli standard IASME

il documento completo puo’ essere scaricato qui.

Dobbiamo, noi “sanitari”, prenderci la governance dell'atto medico digitale ed utilizzare le nostre competenze per guidare l'atto di cura o il PDTA come abbiamo sempre fatto, anche attraverso strumenti digitali, con la massima tutela del medico e del paziente. Non è una specificità del digitale, safety,security,resilience e trust sono la BASE dell'atto medico. E’ ora di prendere seriamente in considerazione il tema, con policy forti, a livello centrale, l’aiuto degli esperti tecnici, senza delegare alle regioni o ai tecnici competenze che non hanno. Gli inglesi e gli americani hanno indicato una strada, a noi recepire il meglio, affinarlo ed adattarlo, per il bene di tutti, degli operatori del settore e dei cittadini

 

Sergio Pillon, 

Coordinatore della Commissione Tecnica Paritetica per lo sviluppo della telemedicina Nazionale - Ministero della Salute, Conferenza Stato regioni

 Fonte: http://www.agendadigitale.eu/infrastrutture/sicurezza-in-sanita-le-policy-che-mancano-in-italia_2363.htm

Condividi questo contenuto

Notizie e Comunicati correlati

GENTILONI
La firma del premier attesa a giorni. Stop ai data center nella PA, Spid obbligatorio da marzo 2018 e nuove regole per il procurement i punti salienti Il commissario al Digitale Diego Piacentini aveva annunciato la presentazione del Piano triennale di ....
mar 30 mag, 2017
riability
Attualmente si parla molto di gamification e di serious games, i due termini vengono spesso associati o trattati come sinonimi. In realtà si tratta di due approcci diversi con presupposti e significati ben distinti. Con la parola gamification ....
lun 29 mag, 2017

Eventi correlati

Salute
Dal 10-11-2016
al 12-11-2016
Luogo: Milano, Palazzo Lombardia
Convention S@lute2016: prevenire per essere e restare sani, curare, assistere e prendersi cura. Dal 10 al 12 novembre a Milano, a Palazzo Lombardia.
Presentazione camera dei deputati Associazione Ita
Data: 04-05-2016
Luogo: Sala della Regina Camera dei Deputati, Piazza Montecitorio
Viviamo nell'era della RIVOLUZIONE DIGITALE. Una rivoluzione che interessa tutti i settori della società. Riguarda l'istruzione e il mondo della cultura, la salute, i mezzi di trasporto, la politica, il mondo del lavoro. Il digitale ha ormai modifi

In questa pagina

I nostri partner

Qwant
SIELTE
Service Tech
Pro Q
WhereApp
Echopress
Consorzio Vini Mantovani
Binario 96

Accordi di collaborazione

Gi Group
Anaip
I sud del mondo
LABOS
Ambiente e Società

Associazione Italian Digital Revolution (IDR)
Via Terenzio, 10 – 00193 Roma
info@aidr.itwww.aidr.it - Tel. 3471097655
Codice Fiscale: 97886610589