Insidie e particolarità tecniche

La Svizzera è in ritardo rispetto ad altri paesi quando si tratta di servizi pubblici digitalizzati. Nel settore della salute, tuttavia, le cose sono ora destinate ad andare avanti: Dal 2020, il fascicolo elettronico del paziente (EPD) sostituirà gradualmente le cartelle cliniche cartacee. Va da sé che la protezione dei dati in questo settore sensibile deve essere una priorità assoluta. E: non tutti sono autorizzati ad accedere ai dati elettronici dei pazienti. Di conseguenza, molte cliniche devono affrontare sfide organizzative e procedurali. Per esempio, la gestione delle identità è necessaria.

Con l'introduzione dell'EPD, ci saranno alcuni cambiamenti nella gestione degli utenti e delle autorizzazioni. Da aprile 2020, gli ospedali dovranno gestire per la prima volta un sistema di gestione dell'identità. Signor Fuchs, cosa significa esattamente questo per gli specialisti come lei?
Prima di tutto, due punti: In primo luogo, i pazienti hanno sempre la sovranità sull'accesso. I pazienti dovrebbero quindi avere il pieno controllo dei propri dati. Tuttavia, la gestione elettronica dei dati particolarmente sensibili è complessa. Questo significa, per esempio, che i fornitori di servizi devono indicare chiaramente il personale che li tratta, in modo che i pazienti sappiano del loro accesso e possano impedirlo se lo desiderano. In Svizzera, è anche previsto che i pazienti possano impostare autorizzazioni positive e negative per i rapporti individuali.

Ma veniamo al secondo punto: in generale, bisogna fare una distinzione tra la cartella clinica classica come documentazione primaria e il nuovo dossier come documentazione secondaria. Quando i pazienti sono ammessi, l'EPD deve essere scaricato da una directory centrale della comunità madre in modo che possa essere integrato e caricato di nuovo al momento della dimissione. Il paziente determina quali parti del dossier sono visibili a quali ospedali o medici, e quindi ha il controllo dei propri dati, il suo dossier elettronico. Gli ospedali e i successivi partecipanti al processo di trattamento sono legalmente obbligati a essere collegati a una comunità master entro aprile 2020.

Vede altre zone grigie tecniche che non sono facili da affrontare?
Uno è la trasformazione dei dossier in archivi di dati sicuri. Tuttavia, ci sono anche problemi meno tecnici, come i tassi di turnover del personale, che pongono anche delle sfide. Dal punto di vista della gestione degli utenti e delle autorizzazioni, ci sono due aree principali di attività: In primo luogo, l'identificazione e l'autenticazione del personale medico e di supporto per l'accesso al dossier presso la comunità di origine e il rilascio degli identificatori necessari (interfaccia ITI40 secondo l'architettura di riferimento IHE). D'altra parte, la trasmissione dei dati personali attuali e corretti del personale medico e ausiliario interessato alla comunità master (interfaccia ITI59 secondo l'architettura di riferimento IHE).

Gli ospedali sono pronti per questo e quali sono i maggiori ostacoli per quanto riguarda la gestione degli utenti e delle autorizzazioni EPD?
Ci sono ospedali che hanno già esaminato molti aspetti dell'EPD in dettaglio, compresa la gestione degli utenti e delle autorizzazioni. Altri sono ancora all'inizio e stanno realizzando quali cambiamenti porterà l'EPD. Un grande ostacolo è la preparazione e la progettazione della gestione dell'identità. Questo perché ogni dipendente dell'ospedale deve essere mappato come identità elettronica. Questo permette la gestione digitale degli account utente associati nei sistemi e nelle applicazioni, nonché i mezzi di identificazione, come i badge o SuisseID. Questa identità deve essere riempita correttamente con attributi come il nome, la professione, il titolo, il numero unico del medico o l'istituto e trasmessa regolarmente a una comunità principale. Tutto questo è possibile solo con un sistema IAM automatizzato che possa offrire anche queste qualità e sicurezza richieste.

Tutti questi requisiti richiedono una soluzione universale per l'autenticazione. Cosa consiglia agli ospedali riguardo ai programmi applicativi da integrare - "make or buy"?
Questo è davvero un grande punto aperto al momento. Ecco perché non consiglio di prendere una decisione in questo momento. Raccomando di considerare internamente i dipartimenti responsabili per l'emissione di tali mezzi di identificazione e di prevedere i compiti corrispondenti nei processi di entrata e uscita dei dipendenti, ma di non effettuare ancora nessun acquisto tecnico. C'è anche da aspettarsi che un certo numero di fornitori sarà ancora
Per garantire che solo il personale medico autorizzato acceda all'EPD, gli ospedali hanno bisogno di un sistema di gestione delle identità. Se un ospedale ha la possibilità di agire come fornitore di identità, può sostanzialmente decidere da solo sul processo e la tecnologia dei mezzi di identificazione. Questi mezzi di identificazione non devono più essere di natura fisica, ma possono funzionare con app e smartphone, per esempio.

Alcuni ospedali usano già l'autenticazione a più fattori. In determinate circostanze, questo può essere ampliato in modo che i requisiti siano soddisfatti e i dipendenti possano essere equipaggiati in modo molto flessibile. Ma è vero anche il contrario; per gli ospedali più piccoli, può essere che questo sforzo e i costi siano troppo alti e che quindi si riforniscano sul mercato libero. La direzione dell'ospedale farebbe bene ad esaminare attentamente le varie opzioni.

E l'EPD funziona, ci sono già progetti - al massimo una conclusione?
Sì, c'è. Il cantone di Ginevra ha lanciato una sorta di "EPD light" come progetto pilota e lo ha valutato nel 2017. Si è scoperto che molti pazienti negli agglomerati urbani sono propensi ad optare per il futuro digitale. In breve tempo, circa 28.000 pazienti sono stati registrati, che corrisponde a circa il cinque per cento della popolazione di Ginevra.

Vede altri punti aperti che dovrebbero essere chiariti in seguito?
Se lo chiedete: una pianificazione tempestiva e sistematica è l'essenziale. Non si tratta solo di questioni procedurali durante l'installazione del software, ma anche di definire più incarichi per il personale (ad esempio come medico senior e allo stesso tempo come medico assistente). Le responsabilità organizzative devono essere definite in una fase iniziale. I dipartimenti delle risorse umane sono i primi ad essere messi a fuoco. HR, IT, medici e infermieri devono lavorare in stretta collaborazione. È importante non vedere i processi come isolati in un solo dipartimento. Questo non sarebbe efficace. Gli ospedali devono garantire, per esempio, che i medici siano il più vicino possibile al paziente. HR, IT, medici e infermieri devono lavorare in stretta collaborazione. È importante non guardare i processi in modo isolato per un dipartimento. Questo non sarebbe efficace. Gli ospedali devono garantire, per esempio, che i medici siano disponibili il più presto possibile.