Ing. Andrea Gelmetti

Transcript

1 Ing. Andrea Gelmetti

2 Un Sistema Informativo Ospedaliero è un sistema che organizza e gestisce in modo efficace ed efficiente le informazioni necessarie per perseguire uno o più scopi mediante: Applicativi Medicali Applicativi Clinici Applicativi Sanitari Applicativi Amministrativi e Gestionali Banche Dati centrali Componenti tecnologici del SIO: Rete Server DB S.O. Applicativi PDL

3 Supporta gli operatori nei processi assistenziali Organizza i dati digitali Gestisce i flussi informativi Gestisce l accesso alle informazioni Serve per il governo aziendale Archivia e conserva i dati

4

5 Art. 32 della Costituzione (diritto alla salute) Leggi nazionali e direttive comunitarie AGID (Agenzia per l Italia Digitale) CAD (Codice Amministrazione Digitale) Progetti Nazionali (Ricetta dematerializzata, FSE Fascicolo Sanitario Elettronico, etc.) D.Lgs. 196/2003 Direttiva 93/42/CEE e s.m.i. ISO CEI Normative regionali Regolamenti aziendali

6 Schema di identificazione del software ( fonte da Guida CEI )

7 Mancata o carente valutazione dell impatto organizzativo Problemi di interoperabilità fra applicativi Gli standard e le piattaforme di integrazione Necessità di disaccoppiare i dati dalle logiche applicative e dalle interfacce Integrazione con le reti aziendali Presenza di progetti sovra aziendali, regionali e/o nazionali

8 La formazione del personale Individuazione dei K-users Il coordinamento dei dati prodotti con i flussi informativi aziendali La gestione nel tempo del software Firma digitale e marcatura temporale Mobile Health e paradigma del Anytime, Anywhere, Any Device Conservazione legale dei documenti clinici e delle bioimmagini

9 Perché garantire la sicurezza e la privacy? Per il valore dei dati e perché la riservatezza è un diritto! Policy di dominio Livelli di identificazioni e accesso ai dati Firewall/IDS/IPS Antivirus Backup dei dati e degli ambienti virtuali Continuità Operativa e Disaster Recovery (RTO e RPO)

10 Sistema di Gestione della Sicurezza delle Informazioni (ISMS) che abbia l obiettivo di progettare, implementare e mantenere un insieme coerente di policy, processi, procedure e sistemi, in modo da garantire livelli accettabili di rischio per la sicurezza informazioni e dei dati trattati Security Information Event Management (SIEM) a supporto della sicurezza dell infrastruttura ICT tramite tool di monitoraggio dedicati

11 Mappare le responsabilità (per una corretta gestione) cioè «chi fa che cosa» Amministratori di sistema Titolare dei dati Responsabili del trattamento dei dati Incaricati del trattamento dati Responsabile esterno del trattamento dei dati

12 La normativa pone particolare attenzione al fatto che l interfacciamento di sistemi è un operazione che può comportare rischi anche rilevanti. L ORGANIZZAZIONE RESPONSABILE dovrebbe evitare che siano resi disponibili al personale sanitario dati o informazioni, sui quali potrebbe essere prese decisioni mediche/diagnostiche, derivanti da suddetti sistemi, senza aver prima condotto una gestione suppletiva dei rischi associati L ORGANIZZAZIONE RESPONSABILE dovrà garantire il mantenimento nel tempo della sicurezza dei sistemi interconnessi tramite la revisione periodica (un anno o ad ogni aggiornamento o modifica del sistema)

13 La Guida CEI suggerisce, anzitutto, la valutazione dei seguenti 5 parametri: destinazione d uso (fornita dal Fabbricante) contesto di destinazione (desunto dalle informazioni fornite dal Fabbricante) uso effettivo (ricavabile solo dall OR) contesto d uso (ricavabile solo dall OR) possibili effetti sulla salute e/o sulla sicurezza (ricavabili solo dall OR)

14 Per la CEI è necessario approcciare la problematica dell integrazione di un DM in rete IT con la metodologia propria dell analisi del rischio. Creata una matrice del rischio iniziale sul network, ogni sua modifica determina la riconsiderazione di un analisi finalizzata alla ridefinizione della matrice stessa. La norma esplicita anche il fatto che dovrebbe essere prodotta un apposita documentazione contenente tutte le istruzioni riguardanti: le procedure di inserimento di DM nella rete IT-medicale le modalità di trasferimento dati dei DM attraverso la rete le caratteristiche di base dei DM che l utente abilitato dovrebbe conoscere per utilizzare al meglio e responsabilmente il dispositivo

15 Alcuni possibili rischi: i dati clinici possono essere visualizzati da dispositivi non medici l aggiornamento di alcuni componenti del sistema possono causare problemi alle parti che sono dispositivi medici gli operatori possono trovarsi con condizioni d errore non pensate per l ambiente medico che non indicano cosa fare generando gravi pericoli per il paziente le prestazioni della rete dati possono non essere sufficienti e compatibili con i dispositivi aggiornamenti sistemi operativi e patch in generale verifiche periodiche e/o manutenzioni preventive sulle componenti hardware e software

16 Adozione diffusa di device mobili e crescente uso di servizi di cloud computing tendenti ad allargare sempre di più i confini del sistema informativo fino a costituire un complesso ecosistema di servizi e sistemi interoperanti. Difficoltà di monitorare la user experience che nel contesto clinico sanitario è spesso sinonimo di clinician experience laddove le performance di sistemi anche molto complessi non sono adeguate.

17 La norma ISO/IEC (Application of risk management for IT-networks incorporating Medical Devices) definisce ruoli, responsabilità e attività necessarie per il Risk Mangement delle reti IT medicali basandosi su 3 Key Properties : safety, effectiveness, data & system security. Il corretto controllo della effectiveness dei sistemi software medicali può essere realizzato disponendo di strumenti di Application Performance Monitoring (APM).

18 In ambito clinico-sanitario (contesto) la performance e la disponibilità di un applicazione DM (sistema) può determinare il funzionamento del DM fuori specifiche minime e situazioni di rischio non accettabile Gli strumenti di AMP possono contribuire a: a) ridurre il rischio clinico migliorando l affidabilità ed efficienza b) supportare l attività di Risk Management c) aumentare produttività migliorando la disponibilità d) aumentare la qualità del servizio migliorando l efficienza e) ottimizzare i costi monitorando le prestazioni erogate

19

20 Poor alignment between the configuration of a health IT (HIT) system and a facility s workflow increases the opportunity for medical errors, putting patients at risk. Problems can arise if the HIT system is not configured to support the processes and workflow used in a particular care area, or if the workflows and standard operating procedures are not adjusted to accommodate the capabilities of HIT systems. This can lead to issues such as: - Missed information or the inability to find needed information within the HIT system - The mistaken application of default values for dosing, time, or orders instead of the desired values - Input errors - The use of workarounds Any of the above problems can result in patient harm due to delayed, incorrect, or undelivered therapies. Facilities should consider configuration issues during the HIT system selection phase and should modify and validate workflows to confirm that they align with the system s capabilities.

21

22