Diverse ricerche e osservatori (1) evidenziano

Transcript

1 Temi caldi, priorità e criticità per la sanità elettronica CLAUDIO CACCIA presidente di Aisis ANDREA GELMETTI Irccs Policlinico San Matteo di Pavia - coordinatore Gruppo di Lavoro sull Ict di Aiic Diverse ricerche e osservatori (1) evidenziano tra le priorità nell ambito dell Ict in sanità le seguenti aree: cloud, mobile health e virtualisation nell area tecnologica, cartelle cliniche elettroniche e dematerializzazione, gestione dei medical device e loro interoperabilità, sistemi per la continuità assistenziale ospedale-territorio, business intelligence e business analytics per l area applicativa, maggior focalizzazione sui processi di business per una vera Ict governance. La nostra percezione conferma la centralità di alcuni di questi temi su cui vorremmo dare un contributo attraverso questo breve articolo, sottolineando come, a fronte di significativi risparmi che la sanità elettronica potrebbe consentire, il livello ancora scarso di implementazione di soluzioni e sistemi veramente pervasivi nelle aziende sanitarie e ospedaliere sia il sintomo di persistenti barriere culturali che vanno a sommarsi alle croniche difficoltà di budget. Diverse ricerche (NextValue, NetConsulting, Osservatorio Cloud del Politecnico di Milano) hanno evidenziato che i settori del Cloud, insieme a quello della Business Intelligence e Business Analitycs, sono gli unici settori del mercato Ict in costante crescita. In particolare i servizi cloud sono aumentati nel periodo di oltre il 40%. Una prima serie di considerazioni di scenario (riprese dall Osservatorio Cloud nella PA di NetConsulting) evidenzia come il nuovo modello di sanità ospedale-centrico si stia trasformando in un modello di assistenza e cura ter- ritoriale o trasversale che richiede l integrazione di molti soggetti, tra i quali lo stesso cittadino che avrà un ruolo sempre più proattivo nella cura del proprio benessere. In questo scenario trovano collocazione nuove esigenze organizzative, funzionali e tecnologiche che possono trovare nel cloud un utile supporto. Un altra rilevante area oggetto di riflessioni riguarda le esigenze che sempre più emergono tra gli utilizzatori di informazioni cliniche: collaboration - la necessità di consultare informazioni specifiche può originarsi in posti diversi (esempio: Pdta ospedali-territorio): attraverso tecnologie cloud le informazioni vengono sincronizzate e condivise in tempo reale; velocità - i servizi cloud consentono un accesso più rapido alle informazioni; mobilità - possibilità di accesso alle informazioni ovunque e in qualsiasi momento: anytime, anywhere, any device; sicurezza e privacy - nel cloud i 48

2 fornitori di servizi sono tenuti a rispettare con maggiore attenzione norme di sicurezza e privacy; riduzione dei costi - il cloud tende ad abbassare i costi di investimento e manutenzione, rendendo possibili politiche di pay per use. Tutti questi fattori portano a una previsione di crescita del mercato cloud computing nel settore sanitario del 20,5% nel quinquennio (2). Una terza area oggetto di considerazioni riguarda l Ict Governance: in misura sempre maggiore i Cio sono chiamati a garantire un supporto ai processi di business in una logica di service management con concertazione degli Sls con gli utilizzatori dei servizi Ict. In tale contesto l utilizzo del cloud può facilitare l attivazione di adeguati processi di service management che costituiscono una logica intrinseca del modello cloud. Il cloud non è quindi un problema tecnologico ma di un nuovo modello culturale, organizzativo e di governance dell Ict in azienda, a cui si aggiunge la necessità/opportunità di alcuni approfondimenti di tipo normativo. In un recente convegno si è affrontato il tema della normativa e della privacy legata al cloud e le indicazioni emerse e condivise con il mondo delle imprese e dell università ci dicono che la normativa italiana non pone vincoli giuridici all utilizzo del cloud in sanità, utilizzo che è anzi in qualche modo favorito dall adozione di alcune normative quadro (come il Codice della Privacy e il Cad). I suggerimenti e le attenzioni da dedicare a un progetto cloud si sostanziano in punti di attenzione su tre aree: tipologia del contratto, adempimenti sulla privacy, adempimenti sulla sicurezza. In merito alla tipologia del contratto, si può affermare che sotto il profilo giuridico il contratto di cloud rientra nella tipologia dei contratti atipici riconducibili sostanzialmente agli appalti di servizi o ai contratti di somministrazione. In questa tipologia di contratti appare necessario definire con molta attenzione e in modo esaustivo alcuni requisiti dello stesso: definizione dell oggetto reale del contratto; definizione degli Sla (e di ciò che è necessario ex ante per evitare contenziosi; esempio: penali e clausole risolutorie) e delle verifiche da porre in essere per la verifica degli stessi; definizione delle garanzie legate ai risultati; definizione chiara dei livelli di responsabilità con particolare riguardo a ri-trasferimento dati in caso di rescissione del contratto o al termine del contratto, formati e leggibilità dei dati nel tempo, accessibilità e sicurezza dei dati, tutela della proprietà intellettuale. Secondo le linee guida Fda, app è ciò che è pensato «per essere usato come accessorio per un dispositivo medico regolamentato o per trasformare una piattaforma mobile in un dispositivo medico regolamentato» Relativamente alla privacy è evidente la necessità di una corretta individuazione dei ruoli (definizione del gestore del cloud come responsabile esterno del trattamento, ma in alcuni casi può essere definito anche titolare) e di un integrazione del consenso al trattamento (indicando che i dati verranno conservati da terzi). In tale contesto è consolidato il fatto che la legge applicabile nel trattamento dei dati per un azienda che ha sede in Italia, anche se la server farm è collocata in territorio non italiano, è la normativa italiana ai sensi dell art 5 del d.lgs. 196/03 e che quindi si applicano le sanzioni previste per eventuali violazioni al Codice della Privacy sopra richiamato. Riguardo alla sicurezza, ancora una volta occorre richiamare le misure minime di sicurezza di cui all Allegato B del d.lgs. 196/03 (che hanno rilevanza penale), ma anche l adozione delle misure idonee di cui all art. 31 del d.lgs. 196/03 al fine di evitare/ridurre contenziosi per responsabilità civile. In definitiva il cloud può rappresentare anche per la sanità un opportunità di efficienza e miglioramento del sistema informativo aziendale che può essere realizzato attraverso un percorso in cui sono necessarie attenzioni, ma che appare sempre più sostenibile. Mobile health e apps Con il termine mobile health o mhealth si fa riferimento a un nuovo modello di assistenza sociosanitaria complessiva del cittadino-paziente, orientata allo stato di salute, stimolata e attuata attraverso una forte proattività del cittadino-paziente e realizzata attraverso l utilizzo di dispositivi mobili e tecnologie multimediali, quali cellulari, smartphones, dispositivi di monitoraggio dei pazienti, Personal Digital Assistants (PDAs), e altri dispositivi wireless (3). Il mhealth include anche il mondo delle apps legate allo stato di salute e agli stili di vita e si può ulteriormente estendere all Health IoT (Internet of Things), vale a dire al mondo delle rilevazioni di biosegnali e/o bioimmagini derivanti dalla connessione a medical devices o altri sensori (esempio: braccialetti, orologi, rilevatori para- 49

3 Si prevede una crescita del mercato cloud computing nel settore sanitario del 20,5% nel quinquennio metri biologici ecc.) così come sistemi che forniscono informazioni sulla salute o reminder via sms. L insieme di dati e informazioni che ne derivano possono consentire al cittadino una gestione proattiva del proprio stato di salute, una migliore interazione con i team sociosanitari che lo hanno preso in cura, una disponibilità di informazioni on line e on time per i team che seguono il paziente per interventi maggiormente efficaci e condivisi con il paziente stesso, abbattendo barriere spaziali, temporali e organizzative. In questo contesto si modifica il perimetro di azione dei Cio e dei loro team, che dovranno assicurare servizi attraverso il paradigma delle 4A: anyone - significa una sostanziale modifica del cliente dei sistemi informativi delle aziende sanitarie, che non sono più solo i professionisti che operano in essa, ma tutti gli stakeholder coinvolti nei processi trasversali di cura e assistenza (team medico-infermieristici delle aziende ospedaliere, Mmg e Pls, team di assistenza domiciliare, team delle strutture socioassistenziali ecc.), nonché i cittadini che utilizzeranno o utilizzano già la rete dei servizi sociosanitari e i loro caregiver (persone che si prendono cura di persone fragili o non autosufficienti); anywhere - significa una modifica sostanziale dei confini aziendali che diventano permeabili; nuovi modelli di cura richiedono necessariamente nuovi modelli di erogazione di servizi Ict, anche di tipo continuativo e in mobilità, in ospedale, a livello territoriale, a domicilio del paziente, che richiederanno adeguate attenzioni alla privacy e soprattutto alla sicurezza; anytime - significa adottare una capacità di dare risposte concrete si parla di mobile e apps economy, un modello di business che, secondo alcune stime (4), varrebbe circa 40 miliardi di euro, vale a dire circa il 2% del Pil, di cui circa 6 miliardi di investimenti delle aziende e 34 miliardi di consumi dei clienti che sono e saranno i principali promotori dell utilizzo delle apps. Il rapido sviluppo del settore mhealth solleva qualche preoccupazione circa il trattamento appropriato dei dati raccolti attraverso applicazioni, dispositivi mhealth e alla loro possibile elaborazione (Health Big Data). In tale contesto si pone il problema della sicurezza delle apps, della validità dei dati trasmessi e, non ultimo, della loro eventuale certificazione, laddove possano essere assimilate a un dispositivo medico. Il dibattito in proposito è piuttosto complesso e articolato. Riteniamo opportuno richiamare in proposito i contenuti delle linee guida sulle mobile medical applications, emanate dalla Us Fda nel settembre 2013 (5). In effetti, il documento di linee guida cerca in primo luogo di distinguere tra apps che forniscono informazioni sociosanitarie e/o sono utilizzate per la condivisione di dati sociosanitari (un elenco di tipologie di tain qualsiasi momento, h24x7. Il cittadino 2.0, cioè tutti noi, è abituato a usufruire di informazioni in tempo reale. Un nuovo modello di interazione con i cittadini deve consentire di soddisfare questo requisito che in altri settori è diventato la normalità. Ciò richiede la capacità di garantire adeguati livelli di business continuity, facendo anche attenzione al mondo delle apps che consentono la fruizione di servizi in modalità semplice riducendo il digital divide, ma al tempo stesso possono comportare criticità e pericoli; anydevice - significa attenzione a usare tecnologie di sviluppo e di presentation che consentano l erogazione di servizi information intensive su qualsiasi device. In tale contesto si segnala che diverse ricerche empiriche hanno evidenziato un salto tecnologico: le persone che utilizzano servizi digitali sono fortemente orientate a usare il mondo delle apps su device mobili piuttosto che soluzioni su altri tipi di device. In tale contesto riteniamo necessario un richiamo al mondo delle apps. Il mercato del mobile e delle apps non è più una tendenza ma rappresenta un nuovo modello economico. In effetti in misura sempre maggiore CIO e IT Manager classificazione per categoria % di rispondenti sul Panel totale 38% Technology 34% Business Process 18% Technology % Client 28% Client Fonte: NEXTVALUE - Ricerca sulla Domanda di Software e Servizi in Italia, 2013 Figura 1 - Classificazione dei Cio e It manager 48% Business Process 50

4 I servizi cloud sono aumentati nel periodo di oltre il 40% li applicazioni sono contenute negli allegati A e B) e apps che sono in qualche modo assimilabili a medical device (contenute nell allegato C). In merito a queste ultime, le linee guida dell Fda sono abbastanza esplicite: sono da considerare mobile medical apps e quindi soggette a regolamentazione solo le apps che «soddisfano la definizione di dispositivo nella sezione 201 (h), del Federal Food & Drug, and Cosmetic Act (Fda & C Act)» ed è destinato «per essere usato come un accessorio per un dispositivo medico regolamentato o per trasformare una piattaforma mobile in un dispositivo medico regolamentato».a nostro avviso è auspicabile un approccio in grado di coniugare lo sfruttamento del grande potenziale offerto dal mondo delle apps al fine di migliorare sia la proattività del cittadino nella gestione del proprio stato di salute-benessere sia l efficienza delle strutture sociosanitarie, senza sottovalutare la necessità di una validazione/certificazione dei contenuti trasmessi attraverso le apps, ma le strutture sanitarie è rappresentata dai sistemi di cartella clinica elettronica o Emr (Electronic medical record). In tale contesto è evidente che l integrazione con i medical device costituisce sicuramente un fattore di criticità, ma è al tempo stesso un elemento di spinta evolutiva notevole. Si pensi infatti alla miriade di applicazioni nelle quali i parametri elettrofisiologici e di monitoraggio delle funzioni vitali potrebbero essere trasferiti automaticamente dalle apparecchiature di rilevazione (monitor multiparametrici, ventilatori polmonari, pompe infusionali ecc.) ai sistemi informatizzati di cartella clinica. Nell ambito di un sondaggio effettuato da Aami (Association for the Advancement of Medical Instrumentation) nel corso del 2012 che ha interessato un significativo numero di operatori statunitensi dell information technology sanitaria, è emerso come al primo posto tra le sfide che riguardano i medical device ci sia la loro gestione e sicurezza all interno dei sistemi Ict. Parimenti in un recente studio pubblicato da Ecri (6) è emerso che tra i principali pericoli individuati nel settore delle tecnologie sanitarie le tematiche legate all integrità dei dati nei sistemi di Emr/Ehr e il corretto change management nei sistemi composti da dispositivi interconnessi tra loro e in rete siano ai primissimi posti. Un lavoro pubblicato dal WestHealth Institute a marzo 2013 ha stimato un possibile risparmio (riferito al modello di sistema sanitario Us) di ben 35 miliardi di dollari, dovuto all introduzione di efficaci meccanismi di interoperabilità da e verso i medical device. Un aiuto in questo ambito può essere lo standard Iec (Application of risk management for It-networks incorpoanche senza eccessive rigidità che determinerebbero solo l ennesimo ritardo di sistema circa l adozione di un modello culturale, economico e tecnologico innovativo e ormai ampiamente diffuso. La mobile health non è quindi un problema solo di carattere tecnologico anche se, mai come in questo caso, l Ict può oggettivamente abilitare e/o favorire l adozione di un nuovo approccio strategico alla sanità, di nuovi modelli di interazione con il cittadino, di nuovi modelli di erogazione dei servizi, coerentemente al modello di porter sulla catena del valore che inserisce i sistemi informativi come strumenti di supporto alla strategia oltre che come strumenti fortemente pervasivi di tutte le aree di erogazione dei servizi. Sistema informativo aziendale e medical device Anche in quest ambito la quasi totalità degli operatori sanitari nonché degli osservatori costituiti per monitorare i trend del settore evidenziano che la sfida primaria in ambito Ict per 52

5 A proposito di Cio Un ultima considerazione è legata all evoluzione del ruolo dei Cio all interno delle aziende sanitarie. Una serie di indagini e ricerche (Politecnico di Milano, NetValue) sta evidenziando che - pur ostacolata dalla mancanza di budget adeguati, a volte di infrastruttura e di regia - la cosiddetta sanità elettronica diventerà sempre più pervasiva, penetrando in ogni processo e spazio di relazione interno ed esterno all organizzazione. In questo contesto, l impatto sul ruolo dei Cio e sull organizzazione delle strutture di supporto diventa particolarmente rilevante. Il Cio è sempre più chiamato a svolgere funzioni di gerating medical devices) che si pone l obiettivo di affrontare e prevenire i potenziali problemi derivanti dall implementazione di It medical network. Il punto centrale della Iec è la definizione dei ruoli e delle responsabilità nella gestione del rischio, esplicitando le attività e i processi da svolgere e derivandoli sostanzialmente dalla Iso (Dispositivi medici - Applicazione della gestione dei rischi ai dispositivi medici). All interno di un azienda sanitaria sarebbe quindi auspicabile una collaborazione tra due aree professionali differenti (i Cio e gli ingegneri clinici) nella definizione di un piano di gestione dei rischi e di regole condivise che consentano la connessione sicura di medical device alla rete aziendale e l interoperabilità dei dati clinici dai dispositivi verso i sistemi di cartella clinica elettronica. L integrazione dei medical device nasce quindi da una serie di fattori che vengono alimentati da concrete esigenze cliniche e gestionali e la loro interoperabilità costituisce un fondamentale elemento facilitatore per l analisi comparativa di set di dati clinici provenienti da sorgenti differenti che possono quindi essere di supporto alla cura dei pazienti attraverso l alimentazione automatica del dossier sanitario del paziente, senza dimenticare che un efficace integrazione in rete dei medical device consente altresì la gestione integrata e sicura degli allarmi, la gestione remota dei device stessi, la gestione degli aggiornamenti software, la possibilità di monitorare il flusso dei dati scambiati MD2MD e MD2HIS. Ancora una volta si segnala la necessità di creare sinergie tra l area Ict e l area dell ingegneria clinica attraverso l adozione di protocolli/procedure operative e l adozione di un pia- no dei rischi condiviso, evitando uno sterile dibattito sulla convergenza di due aree professionali con contenuti tecnici oggettivamente differenti, focalizzando invece l attenzione sulla indispensabile collaborazione per poter affrontare, gestire e monitorare le problematiche derivanti dall integrazione dei medical device e il sistema informativo aziendale. NOTE store dell innovazione digitale e di governance complessiva dei servizi Ict (compresa la valutazione dei risultati aziendali derivanti dall utilizzo dell Ict in azienda) che potranno essere erogati con infrastrutture miste (on premise o in cloud), ma in ogni caso sempre più in una logica di service management con utilizzatori dei servizi Ict che diventeranno in misura sempre maggiore utilizz-attori (7), non solo quindi fruitori dei servizi ma direttamente chiamati alla concertazione e alla verifica dei livelli di servizio. L indagine NextValue (vedere la figura 1) in proposito evidenzia come la componente tecnologica delle competenze del Cio tenda a diventare marginale seppur indiscutibilmente necessaria. I Cio devono dunque percepire e recepire che il processo di complessiva digitalizzazione del business richiede loro di farsi promotori dell evoluzione culturale indispensabile all interno delle aziende sanitarie e ospedaliere per poter attivare processi di innovazione digitale, dotandosi di competenze, strumenti e strutture organizzative adeguate allo scopo. 1) IDC, 2014 state CIO Top10, nov 213; Forbes, The top10 strategic issues for 2014; Osservatorio Ict Politecnico di Milano, 2014, Osservatorio Ict NetConsulting, ) Healthcare Cloud Computing (Clinical, EMR, SaaS, Private, Public, Hybrid) Market - Global Trends, Challenges, Opportunities & Forecasts ( ) by Markets&Markets 3) mhealth. New horizons for health through mobile technologies, in Global Observatory for ehealth series 2011, World Health Organization: Geneva, Switzerland 4) Osservatorio Digital Innovation, Politecnico di Milano, ) Mobile Medical Applications: Guidance for Industry and Food and Drug Administration Staff, Fda settembre 2013, MedicalDevices/.../UCM pdf 6) Emergency Care Research Institute - Top 10 Health Technology Hazards For ) Il concetto di utilizz-attori (C. Caccia, i2consulting, 2014) implica che l utente del sistema informativo non sia solo un utilizzatore finale, ma contribuisca in modo proattivo sia alla fase di definizione dei fabbisogni di Ict sia alle fasi di concertazione degli Sla e di monitoraggio dei livelli di servizio che i team Ict devono garantire RIPRODUZIONE RISERVATA 53