Chi è responsabile in caso di "incidenti informativi" di dispositivi medici diagnostici?

Uno dei motori della digitalizzazione è l'industria informatica, che vuole piazzare la sua tecnologia nelle compagnie di assicurazione sanitaria, nei centri di fatturazione, negli ospedali e negli studi medici. Oltre ai giganti dell'IT come IBM e SAP, questo include anche il gigante farmaceutico Roche. Il suo modello di business si basa sul collegamento tra i prodotti farmaceutici e la sua diagnostica. L'azienda farmaceutica svizzera si considera il "leader di mercato" nella sanità personalizzata.

SAP non è meno ambiziosa - già nel 2013, il gruppo si vantava in un evento interno a Lucerna di poter elaborare "100.000.000 di valori" "in tempo reale" - "per paziente"! Nel 2015, l'azienda di Walldorf ha vinto il Red Dot Award per il suo software: "Medici, ricercatori e altro personale medico possono accedere a tutti i dati clinici rilevanti di un paziente in tempo reale attraverso un unico sistema", ha lodato Christof von Kalle, portavoce del consiglio di amministrazione del Centro nazionale per le malattie tumorali (NCT) di Heidelberg.

Tuttavia, il rovescio della medaglia della digitalizzazione dell'assistenza sanitaria non è così brillante come alcune campagne vorrebbero farci credere

problema di accesso
L'ospedale di Thun è particolarmente avanzato nella digitalizzazione: è l'unica clinica in Svizzera ad essere salita al livello 6 della Healthcare Information and Management Systems Society (HIMMS).

La scala a sette punti misura il grado di avanzamento della digitalizzazione. Bruno Guggisberg, CEO di Spital STS AG, sottolinea: "Le degenze ospedaliere stanno diventando più brevi, e l'importanza dell'IT e della digitalizzazione continuerà a crescere." Fin qui tutto bene - se solo non ci fosse il problema della sicurezza dei dati:

"eHealth Suisse", l'"Ufficio di competenza e di coordinamento della Confederazione e dei Cantoni", chiede un "Identity and Access Management" e lo definisce come "la gestione dell'identificazione unica delle persone e la loro assegnazione a identità elettroniche". "Inequivocabile" significa che per ogni accesso, deve essere registrato se il responsabile amministrativo, il primario o lo studente infermiere ha effettuato l'accesso. Inoltre, c'è il Regolamento generale sulla protezione dei dati dell'Unione europea (GDPR): secondo l'Incaricato federale della protezione dei dati e dell'informazione (IFPDT), si applica anche alle "imprese con sede in Svizzera, nella misura in cui trattano questi dati per le loro offerte di beni e servizi nell'UE".

Riformulazioni
Martin Eckert, partner legale dello studio legale MME Legal, Tax, Compliance crede negli "effetti extraterritoriali" del regolamento e si aspetta che anche i fornitori di servizi svizzeri "possano" rientrare nel regolamento. Questa possibilità è negata dall'avvocato Christian Peter - ma: l'IFPDT Adrian Lobsiger ha previsto l'aggiornamento della legge svizzera sulla protezione dei dati già per l'estate 2018.

Secondo Lobsiger, questo sarà basato sulla Convenzione 108 del Consiglio d'Europa, proprio come il GDPR. Tuttavia, gli esperti avvertono che l'importanza della sicurezza dei dati nelle pratiche mediche federali è "sottovalutata" o - ancora peggio! - è addirittura "insufficiente" nelle cliniche.

Se uno studio medico è vittima di una violazione dei dati, per esempio a causa della "divulgazione" "involontaria" o "non autorizzata" di dati personali, la "parte responsabile" ha 72 ore per segnalarlo alla sua autorità di vigilanza. Inoltre, deve preparare la documentazione di "tutti i fatti relativi alla violazione dei dati personali". Di conseguenza, questa documentazione deve mostrare se, per esempio, un impiegato (involontariamente) ha sbagliato l'indirizzo delle lettere dei pazienti o ha copiato (illegalmente) i dati dei pazienti per venderli a terzi "per migliaia di dollari".

Per ridurre i rischi criminali, non solo si deve registrare l'accesso ai dati, ma si deve anche definire con quali diritti questo accesso deve essere associato: L'impiegato amministrativo ha bisogno dei dati bancari, ma difficilmente di quelli della diagnosi. Il medico, a sua volta, non ha bisogno dei dati bancari. Il trattamento dei dati deve avvenire sotto la "supervisione" del rispettivo responsabile del trattamento. Il responsabile del trattamento è la persona che "determina le finalità e i mezzi del trattamento dei dati personali".

Un concetto particolarmente importante del regolamento è la "responsabilità": "Il controllore è responsabile e deve essere in grado di dimostrare il rispetto del paragrafo 1 (nell'articolo 5 del regolamento, nota dell'autore)". In questo paragrafo 1, ci sono requisiti sulla "liceità" del trattamento, la "limitazione delle finalità" dei dati raccolti, la "minimizzazione dei dati", l'"accuratezza", la "limitazione della conservazione" e l'"integrità e riservatezza".

Lacune nella sicurezza
Già nel 2009, il laboratorio di ricerca IBM di Zurigo, insieme a un ospedale in Danimarca, si dice abbia sviluppato un software "innovativo" che può collegare i dati sanitari elettronici con un modello tridimensionale del corpo umano. L'anno scorso, il gruppo ha affermato di utilizzare il suo sistema di AI "Watson" "in più di 50 ospedali in tutto il mondo". Mentre IBM ha collaborato con la casa farmaceutica Pfizer, Roche si è alleata con GNS Healthcare - una giovane società di IA con sede a Cambridge negli Stati Uniti. Tuttavia, Watson di IBM è già stato accusato di trattamenti "malsani e scorretti", Roche ha dovuto richiamare ufficialmente una "app per la gestione del diabete" e la lista delle vulnerabilità di sicurezza, talvolta gravi, del sistema Hana di SAP è lunga1 . Attualmente, secondo il regolamento generale sulla protezione dei dati dell'UE (GDPR), il controllore o l'incaricato del trattamento è esonerato dalla responsabilità "se dimostra che non è responsabile in alcun modo dell'evento che ha causato il danno" (art. 82 GDPR - Responsabilità e diritto al risarcimento; paragrafo 2).