GDPRadmin

/GDPRadmin

About GDPRadmin

This author has not yet filled in any details.
So far GDPRadmin has created 39 blog entries.

XI congresso SIHTA – La protezione dei dati nei dispositivi medici

13 Ottobre 2018

XI Congresso SIHTA

La protezione e la sicurezza dei dati nei dispositivi medici

La  protezione dei dati e la sicurezza nei dispositivi medici non sono un solo fatto tecnologico circoscritto a singoli settori, ma
coinvolgono tutti gli aspetti dell’organizzazione e del sistema informativo, per assicurare

  • la sicurezza e la qualità dell’attività medica e dei processi aziendali
  • il rispetto del Regolamento UE 2016/679
  • in un quadro di appropriatezza, qualità,  efficacia ed economicità delle prestazioni erogate al paziente
    XI congresso SIHTA – La protezione dei dati nei dispositivi medici2018-10-13T16:58:18+01:00

    La protezione e la sicurezza dei dati nel contesto dei dispositivi medici

    27 Settembre 2018

    La protezione e la sicurezza dei dati nel contesto
    del sistema informativo sanitario integrato con i dispositivi medici

    Le attività sanitarie si basano sempre più sull’impiego di dispositivi medici.
    La sicurezza complessiva del binomio “sistema informativo + dispositivo medico” influenza, direttamente e indirettamente, la protezione dei dati, la qualità del servizio erogato e -in definitiva- la salute del paziente

      La protezione e la sicurezza dei dati nel contesto dei dispositivi medici2018-10-01T09:27:19+01:00

      Modello di riferimento sui trattamenti ver 0.1

      21 settembre 2018

      Alla luce di quanto emerso in questi mesi di attività, anche in termini di dubbi e difficoltà nel definire le sezioni del codice si può dedurre che descrizione del contesto sanitario nel suo complesso sotto il profilo delle esigenze e dei trattamenti dei dati personali, rappresenti sempre di più un pre-requisito essenziale per poter derivare in modo logico e giustificabile le specifiche esigenze e quindi le regole del codice (sempre poi da verificare ed adattare sotto il profilo giuridico)

      Si è quindi iniziato a definire un modello di riferimento -di validità generale ed indipendente dalle specifiche caratteristiche organizzative e tecnologiche dei singoli contesti- dei processi -clinici, amministrativi e organizzativi- condotti nelle organizzazioni sanitarie che interessano la gestione dei dati personali, individuando per ognuno di questi le finalità, le tipologie di utenza coinvolta e le relative necessità di accesso ai dati. (rispondendo quindi già indirettamente agli aspetti di liceità, finalità ed essenzialità -protezione predefinita- nei vari contesti)

      Raffinando la descrizione a maggiore livello di dettaglio diventa poi possibile individuare puntualmente i singoli momenti e le singole attività, con le relative esigenze per le quali definire delle regole di comportamento, sia dal punto di vista organizzativo che per quanto riguarda gli aspetti tecnologici.

      Il documento allegato (fmf-160/0918 ver 0.3) rappresenta un primo livello, senza pretesa di completezza ma sufficientemente consolidato costituire la base di partenza per successivi approfondimenti

      E’ stata data priorità alla descrizione del processo di erogazione dei servizi sanitari alla persona, che costituisce la missione principale (e quindi il trattamento principale) delle organizzazioni sanitarie. Gli altri trattamento sono semplicemente individuati ma non ancora descritti.

      Tutti i partecipanti sono richiesti di esprimere il loro consenso ed eventuali integrazioni compilando il modulo allegato e inserendolo come commento al post,  entro il 3 ottobre 2018.

      La non compilazione del modulo sarà interpretata come consenso

      Sulla base dei commenti ricevuti si valuterà il consenso e si procederà con i raffinamenti successivi.

      8 Ottobre 2018

      Download del documento di analisi delle dichiarazioni di consenso (rif. 178/1018 ver 1.0)

        Modello di riferimento sui trattamenti ver 0.12019-02-24T17:32:13+01:00

        Incontro ALTEMS il 14.9.2018

        10 Settembre 2018

        Nell’ambito del “Corso di perfezionamento sui sistemi informativi sanitari” e del “Master su competenze e servizi giuridici in sanità”, il14 Settembre 2018, presso l’ALTEMS, incontro con il dottor Modafferi sul tema “Il nuovo regolamento europeo per la protezione dei dati personali e l’attuazione in Italia nel settore sanitario“.

          Incontro ALTEMS il 14.9.20182018-09-28T08:09:58+01:00

          R1 – bozza ver 0.1 della sezione relativa alla gestione del consenso

          31 Agosto 2018

          *** Prima bozza di discussione ***

          Sulla base dei contributi pervenuti e degli incontri avuti, si è provato a organizzare una prima bozza -versione 0.1., allegata- della possibile sezione, relativamente alle due sezioni essenziali

          1) requisiti specifici e peculiarità del contesto sanitario
          2) regole e soluzioni applicabili in merito

          La bozza volutamente non entra nel dettaglio dei riferimenti giuridici, allo scopo di definire e raggiungere il consenso sulle esigenze e gli aspetti operativi, formalizzati i quali una terza parte sarà finalizzata all’analisi ed alla formalizzazione delle regole proposte sotto il profilo giuridico.

          Tutti i partecipanti del Gruppo di lavoro R1, e -più in generale- tutti i partecipanti all’iniziativa, sono inviati a fornire la loro opinione ai punti evidenziati  (in termini di aggiunte e/o emendamenti) mediante un post nell’area R1 del sito, entro domenica 9 settembre 2018.

          Sulla base di tali contributi sarà consolidata una nuova versione sulla quale verrà valutato il consenso prima di procedere con la formalizzazione degli aspetti giuridici

            R1 – bozza ver 0.1 della sezione relativa alla gestione del consenso2018-09-01T19:21:49+01:00

            Indagine sulla sicurezza dei dispositivi medici collegati al sistema informativo

            10 Agosto 2018

            *** INVITO A PARTECIPARE ***

            Sempre più le attività sanitarie -nell’ospedale e sul territorio- si basano su un impiego intensivo di dispositivi medici, in varia misura collegati con il sistema informativo sanitario. La sicurezza complessiva del binomio “sistema informativo + dispositivo medico collegato” influenza quindi, direttamente ed indirettamente, sia la qualità del servizio erogato che la sicurezza dei dati e, in definitiva, del paziente stesso.

            Nell’ambito dell’iniziativa per la definizione del Codice di Condotta, un Gruppo di Lavoro è per l’appunto focalizzato su queste problematiche.

            Come prescritto dal Regolamento, la protezione dei dati personali e, più in generale, la sicurezza del sistema informativo sanitario non possa limitarsi ai soli aspetti tecnologici, ma debba inquadrarsi in un ecosistema comprendente anche fattori organizzativi, funzionali ed informativi, in modo da prevenire i rischi e supportare l’esecuzione sicura dei processi clinici ed organizzativi.

            Seguendo questo approccio, tipico dell’ Health Technology Assessment, il Laboratorio sui sistemi informativi sanitari dell’ALTEMS ha avviato uno studio per approfondire gli aspetti di protezione dei dati personali e di sicurezza, specifici di quei contesti in cui i dispositivi medici sono integrati con il sistema informativo e rivestono un ruolo significativo nel processo assistenziale e di cura.

            Lo studio è finalizzato alla definizione di un modello di riferimento, indipendente da specifiche soluzioni e prodotti, ed utilizzabile autonomamente dalle Aziende e dalle Istituzioni per la valutazione dell’esistente e per la definizione delle proprie strategie evolutive.

            Per ottenere una fotografia degli scenari delle aziende sanitarie italiane, sulla base della quale costruire il modello, sono stati individuati alcuni indicatori sul contesto dei dispositivi medici collegati al sistema informativo, indipendenti da specifici prodotti o tecnologie adottate, ed è stato progettato un breve questionario.

            Tutte le aziende sanitarie sono invitate a partecipare, compilando il questionario, accessibile on-line a questo link

            29 Agosto 2018

            Su Agenda Digitale un articolo di Sergio Pillon sulla sicurezza dei dispositivi medici e sullo studio in corso

              Indagine sulla sicurezza dei dispositivi medici collegati al sistema informativo2018-08-30T08:51:52+01:00

              R3 – contributo Tania Caputo

              Da: Caputo Tania <tania.caputo@poliambulanza.it>
              Inviato: martedì 3 luglio 2018 08:35
              A: ‘Nevio.Boscariol@gdpr-sanita.it’ <Nevio.Boscariol@gdpr-sanita.it>
              Cc: ‘FabrizioMassimo.Ferrara@unicatt.it’ <FabrizioMassimo.Ferrara@unicatt.it>
              Oggetto: Codice di Condotta R3_osservazioni

              Ciao Nevio,

              ecco le mie osservazioni al Gruppo R3 da te coordinato.

              L’introduzione rispetto al tema delle peculiarità andrebbe esteso anche agli altri ambiti di competenza: socio-sanitario, formazione. Andrebbe poi evidenziato il carattere di estrema delicatezza legato all’unico diritto che ad oggi la nostra Costituzione definisce come fondamentale: la salute. Rimarcherei questi aspetti perché credo che il nostro settore sia troppo particolare rispetto a tutti gli altri.

              Per lo scenario organizzativo, sarebbe utile elencare i documenti necessari per garantire una buona gestione di un sistema complesso come è quello della privacy. Perfetto il gruppo multidisciplinare (ho costituito il DPO Team nel 2016 e anche dopo l’entrata in vigore del GDPR, ci stiamo riunendo ogni mese per aggiornare le tematiche e approfondire/assegnare nuovi temi). Credo sia utile elencare gli strumenti che dovranno essere predisposti: un organigramma/funzionigramma, una procedura/politica master, una procedura/regolamento del DPO.

              Sempre dal punto di vista organizzativo, riterrei utile definire i flussi da/verso gli organi di controllo o le figure del GDPR.

              Resto a disposizione per chiarimenti,

              Tania

              Tania Aida Caputo

                R3 – contributo Tania Caputo2018-07-03T19:12:03+01:00

                R1 – contributo Tania Caputo

                Da: Caputo Tania <tania.caputo@poliambulanza.it>
                Inviato: martedì 3 luglio 2018 08:25
                A: ‘Eleonora.Carrer@gdpr-sanita.it’ <Eleonora.Carrer@gdpr-sanita.it>
                Cc: ‘Nevio.Boscariol@gdpr-sanita.it’ <Nevio.Boscariol@gdpr-sanita.it>; ‘FabrizioMassimo.Ferrara@unicatt.it’ <FabrizioMassimo.Ferrara@unicatt.it>
                Oggetto: Codice di Condotta R1_osservazioni

                Buongiorno Eleonora,

                ti scrivo per le osservazioni al Gruppo R1 Consenso da te coordinato. Sono Tania e coordino il gruppo R4.

                Ti lascerei qualche nota e qualche proposta per ogni punto proposto in discussione

                Informativa:

                1)     Contenuti: starei molto aderente a quanto indica il GDPR, da valutare invece la possibilità di tradurre l’informativa in lingue diverse, data la multiculturalità presente nei nostri Ospedali

                2)     Modalità: elenco le modalità attualmente scelte, sarebbe utile censire tutte quelle utilizzate nel gruppo in modo da standardizzarle. Pubblicazione Internet e Portale del Paziente, affissione in A3 in tutti gli spazi di accoglienza o accettazione dei pazienti, copia stampate pronte alla distribuzione nel caso il paziente lo richieda, brochure illustrativa (la mia è in fase di revisione ma posso metterla a disposizione per capire come viene costruita e utilizzata).

                3)     Modalità digitali: sistema interessante, specie per chi utilizza la firma grafometrica per la raccolta dei consensi

                4)     Formazione operatori: da noi viene eseguita annualmente ed è specifica per chi raccoglie i consensi. Viene refreshata ogni volta che abbiamo una modifica all’informativa o ai metodi (mediante comunicazione interna). Inoltre, per garantire una maggiore aderenza/omogeneità delle risposte, abbiamo predisposto delle FAQ a disposizione sia dell’operatore che del paziente.

                Consenso/Raccolta

                1. a) Formazione: OK
                2. b) Modalità: i nostri consensi privacy vengono raccolti informaticamente dall’operatore, stampati e firmati dal paziente e caricati a sistema in modo che siano sempre consultabili nelle anagrafiche del paziente (la raccolta informatica consente di “governare” anche le scelte sul dossier sanitario, il caricamento è rapido perché il modulo viene generato con un codice a barre assegnabile al paziente)
                3. c) Consenso Dossier: è verificabile informaticamente e le scelte effettuate generano i vincoli al sistema informativo. Le scelte effettuabili con l’operatore solo le principali, per le scelte di dettaglio viene richiesto di inviare un e-mail con un modulo firmato all’ufficio del DPO che poi, tramite un modulo informatico, governa le nuove limitazioni al dossier. Tutta la gestione del dossier, le sue regole, le sue limitazioni, sono centralizzate in Direzione.
                4. d) Diversi tipi di consenso: abbiamo censito tutti i tipi di consenso e tutte le informative in uso nella procedura privacy. Sono numerose e talvolta specifiche (es. consenso all’uso delle immagini per finalità di pubblicazione), se volete possiamo condividere un elenco di quelle in uso nelle diverse strutture aderenti ai gruppi.
                5. e) Dati genetici: quando parli di Titolari, cosa intendi? Il Titolare in linea teorica è l’Ospedale…non riesco a capire se intendi definire il caso di raccolta del materiale e invio a laboratorio esterno.

                Trattamenti diversi e consensi non necessari

                Questo argomento è ampiamente trattato nella bozza di decreto ma forse varrebbe la pena provare ad elencare nel dettaglio le nostre casistiche. Il tema della profilazione per screening non viene citato in modo così esplicito nel decreto, mi pare quindi giusto dettagliare con esempi chiarificatori.

                Accesso ai dati

                Il tema dell’accesso ai dati richiede una analisi specifica delle attività che vengono eseguite e una impostazione generale del sistema informatico. Nella nostra struttura abbiamo costruito regole generali/verticali/dipartimentali e regole orizzontali/logiche. Nelle regole logiche, rientrano le casistiche del medico di guardia, dei gruppi di lavoro (secondo opinion, ricerca, PDTA). In pratica si crea un gruppo simile ad un Dipartimento con alimentazione dell’afferenza da parte dei sistemi informativi. La creazione del Gruppo apre la visione/accesso del dato specifico. Ti potrei fare l’esempio della Breast Unit o del Gruppo di Studio epatobiliopancreatico: in entrambi i casi di gruppi devono poter accedere non solo ai dati del proprio dipartimento (es. Oncologia o Chirurgia Generale) ma anche a numerosi altri dati presenti in struttura e necessari ai fini del percorso di cura (es. Medicina Nucleare, Radiologia…).

                Resto a disposizione per qualsiasi chiarimento,

                Tania Aida Caputo

                  R1 – contributo Tania Caputo2018-07-03T19:10:14+01:00

                  G2 – contributo Tania Caputo

                  Da: Caputo Tania <tania.caputo@poliambulanza.it>
                  Inviato: martedì 3 luglio 2018 08:49
                  A: ‘Alfiero.Ortali@gdpr-sanita.it’ <Alfiero.Ortali@gdpr-sanita.it>
                  Cc: ‘Nevio.Boscariol@gdpr-sanita.it’ <Nevio.Boscariol@gdpr-sanita.it>; ‘FabrizioMassimo.Ferrara@unicatt.it’ <FabrizioMassimo.Ferrara@unicatt.it>
                  Oggetto: Codice di Condotta G2_osservazioni

                  Buongiorno Alfiero,

                  ti scrivo per le osservazioni al Gruppo G2 da te coordinato. Sono Tania e coordino il gruppo R4.

                  Ti lascerei qualche nota e qualche proposta per ogni punto proposto in discussione, in particolare sull’unico punto per il quale posso dire qualcosa, dato che gli altri sono punti tecnici.

                  Il tema degli accessi del personale amministrativo non può essere risolto semplicemente generalizzando con una frase del tipo: se è amministrativo, non vede i dati clinici ma solo quelli anagrafici.

                  Ci sono uffici/collaboratori amministrativi che effettuano attività specifiche (per le quali hanno ricevuto l’incarico al trattamento dei dati) che accedono per forza a notizie cliniche. Ti elenco alcune casistiche:

                  –        Segreteria o Uffici che effettuano controllo delle cartelle cliniche o rendicontazione verso gli Enti preposti

                  –        Segreterie o Accettazioni che verificano documentazione sanitaria ai fini del ricovero o dei controlli

                  –        Ufficio Privacy o DPO Team che gestiscono le richieste/diritti dei pazienti in merito alle tematiche di oscuramento/deoscuramento

                  –        Ufficio Relazione con il Pubblico/Mediazione dei Conflitti che spesso accedono al data clinico per verificare errori materiali, ritardi, inadeguatezze, esenzioni dei ticket, contestazione codici bianchi in PS

                  –        Ufficio Legale che adempie agli obblighi verso l’Autorità Giudiziaria, per esempio estraendo documenti specifici richiesti o verificando la conformità della documentazione sanitaria presentata ai fini assicurativi.

                  –        Amministrativi di Farmacia che verificano elementi presenti in cartella clinica per le rendicontazioni File F o per la gestione dei farmaci

                  I casi sono numerosi, per evitare di limitare o creare problemi operativi, andrebbe individuata una frase/paragrafo che autorizzi i profili amministrativi ad operare nell’ambito degli specifici incarichi ad essi attribuiti e sulla base delle indicazioni contenute nelle lettere di incarico al trattamento.

                  Resto a disposizione per qualsiasi chiarimento,

                  Tania Aida Caputo

                    G2 – contributo Tania Caputo2018-07-03T19:08:36+01:00

                    Questo sito si serve di cookie tecnici. Proseguendo la navigazione se ne accetta l'utilizzo. maggiori informazioni

                    Questo sito utilizza cookie tecnici per fornire la migliore esperienza di navigazione possibile.
                    I cookie non rivelano l’indirizzo e-mail, né consentono in altro modo un’identificazione personale. I cookie non possono essere usati per eseguire programmi o trasmettere virus al computer dell’utente.
                    Le informazioni raccolte attraverso i cookie vengono utilizzate per aiutarci a migliorare i contenuti del Sito, nonché statistiche aggregate anonime circa l’utilizzo del sito stesso.
                    Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o cliccando su "Accetta" permetti il loro utilizzo.

                    Chiudi