Le insidie della cartella clinica elettronica EPD
Entro il 2020, gli ospedali, le case di cura, i medici generici e i laboratori dovranno allinearsi al dossier elettronico del paziente (EPD). Sono legalmente obbligati a farlo. Management und Qualität ha intervistato *Claudio Fuchs, un esperto in gestione delle autorizzazioni, per discutere le insidie dell'introduzione dell'EPD.
Con l'introduzione dell'EPD, ci saranno alcuni cambiamenti nella gestione degli utenti e delle autorizzazioni. Da aprile 2020, gli ospedali dovranno gestire per la prima volta un sistema di gestione dell'identità. Signor Fuchs, cosa significa esattamente per gli specialisti come lei?
Prima di tutto, due punti: i pazienti hanno sempre la sovranità sugli accessi. Il paziente dovrebbe quindi avere il pieno controllo dei propri dati. Tuttavia, la gestione elettronica dei dati particolarmente sensibili è complessa. Questo significa, per esempio, che i fornitori di servizi devono specificare i nomi del loro personale di trattamento in modo che i pazienti siano consapevoli del loro accesso e possano impedirlo se lo desiderano.
In Svizzera, è previsto che i pazienti possano impostare autorizzazioni positive e negative sui rapporti individuali.
Ma veniamo al secondo punto: in generale, bisogna fare una distinzione tra la cartella clinica classica come documentazione primaria e il nuovo dossier come documentazione secondaria. L'EPD deve essere scaricato da una directory centrale della comunità master quando i pazienti sono ammessi, in modo che possa essere integrato e caricato di nuovo quando escono.
Il paziente determina quali parti del dossier sono visibili a quali ospedali o medici e quindi ha il controllo dei propri dati, del suo dossier elettronico. Gli ospedali e i successivi partecipanti al processo di trattamento sono legalmente obbligati a essere collegati a una comunità master a partire da aprile 2020.
Vede altre zone grigie tecniche che non sono facili da affrontare?
Uno è la trasformazione dei dossier in archivi di dati sicuri. Tuttavia, ci sono anche questioni meno tecniche, come i tassi di turnover del personale, che tuttavia pongono anche delle sfide. Dal punto di vista della gestione degli utenti e delle autorizzazioni, ci sono due aree principali di azione:
- L'identificazione e l'autenticazione del personale medico e di supporto per l'accesso al dossier presso la comunità di base e il rilascio dei mezzi di identificazione necessari (interfaccia ITI-40 secondo l'architettura di riferimento IHE) e
- la trasmissione dei dati personali attuali e corretti del personale medico e ausiliario interessato alla comunità master (interfaccia ITI-59 secondo l'architettura di riferimento IHE).
Gli ospedali sono pronti per questo e quali sono i maggiori ostacoli per quanto riguarda la gestione degli utenti e delle autorizzazioni EPD?
La situazione varia; ci sono ospedali che hanno già esaminato molti aspetti dell'EPD in dettaglio, compresa la gestione degli utenti e delle autorizzazioni, e altri che sono ancora all'inizio e si stanno rendendo conto dei cambiamenti che l'EPD porterà. Un grande ostacolo è la preparazione e la progettazione della gestione dell'identità. Perché ogni dipendente dell'ospedale deve essere mappato come identità elettronica.
Questo permette la gestione digitale degli account utente associati nei sistemi e nelle applicazioni, così come i mezzi di identificazione, come il badge o SuisseID. Questa identità deve essere riempita correttamente con attributi come il nome, la professione, il titolo, il numero unico del medico o l'istituto e trasmessa regolarmente a una comunità principale. Tutto questo è possibile solo con un sistema IAM automatizzato che possa offrire anche queste qualità e sicurezza richieste.
Tutti questi requisiti richiedono una soluzione universale per l'autenticazione. Cosa consiglia agli ospedali riguardo ai programmi applicativi da integrare - "make or buy"?
Questo è davvero un grande punto aperto al momento. Consiglio quindi di non prendere una decisione in merito adesso. Raccomando di considerare internamente gli uffici responsabili per il rilascio di tali mezzi di identificazione e di prevedere anche compiti corrispondenti nei processi di entrata e di uscita dei dipendenti, ma non ancora di intraprendere alcun appalto tecnico.
C'è anche da aspettarsi che qualche altro fornitore appaia sul mercato e metta in gioco nuove competenze. Quindi, se un ospedale ha la possibilità di agire come fornitore di identità, può fondamentalmente decidere da solo circa il processo e la tecnologia dei mezzi di identificazione. Questi mezzi di identificazione non devono più essere di natura fisica, ma possono funzionare con app e smartphone, per esempio.
Alcuni ospedali usano già l'autenticazione a più fattori. In determinate circostanze, questo può essere esteso in modo che i requisiti siano soddisfatti e i dipendenti possano essere equipaggiati in modo molto flessibile. Ma anche il contrario; per gli ospedali più piccoli può essere che questo sforzo e i costi siano troppo grandi, troppo costosi e quindi si riforniscono sul mercato libero. La direzione dell'ospedale farebbe bene ad esaminare attentamente le varie opzioni.
E l'EPD funziona, ci sono già progetti, al massimo una conclusione?
Sì, c'è. Il cantone di Ginevra ha lanciato una sorta di "EPD light" come progetto pilota e lo ha valutato nel 2017. Si è scoperto che probabilmente negli agglomerati urbani molti pazienti si affidano al futuro digitale. In breve tempo, circa 28.000 pazienti sono stati registrati, il che corrisponde a circa il 5% della popolazione di Ginevra.
Vede altri punti aperti che dovrebbero essere chiariti in seguito?
Se lo chiedi così, una pianificazione tempestiva e sistematica è la cosa migliore da fare. Non si tratta solo di questioni procedurali durante l'installazione del software, ma anche della definizione di appuntamenti multipli del personale (ad esempio come medico senior e allo stesso tempo come medico assistente). Le responsabilità organizzative devono essere regolate in una fase iniziale.
I dipartimenti delle risorse umane sono i primi ad essere messi a fuoco. HR, IT, medici e infermieri devono lavorare in stretta collaborazione. È importante non guardare i processi in modo isolato per un dipartimento. Questo non sarebbe efficace. Gli ospedali devono garantire, per esempio, che i medici abbiano un mezzo di identificazione dal loro primo giorno di lavoro.
Come per una banca, le voci devono essere segnalate per intero in una fase iniziale, e l'IT deve registrare correttamente i mezzi di identificazione e le persone interessate nella comunità master.
*Claudio Fuchs, Managing Director Switzerland & Austria, IPG, è responsabile e coordina il business dei progetti di IPG in Svizzera e Austria. Claudio Fuchs si occupa di IAM da circa 12 anni. Ha ricoperto diverse posizioni come esperto IAM e ha competenze che vanno dalla gestione dei progetti all'implementazione. Claudio Fuchs ha un lavoro part-time come docente di gestione dei progetti e della qualità in un'università svizzera.
