The slides describe the main regulations applicable to the sector of healthcare software and software medical devices. More information about this topic can be found at the site http://www.informaticasanitaria.it

1. Il software usato in ambito
sanitario: tipologia e contesto
normativo
Ospedale di Cona (FE) 26/09/2014
Pierfrancesco Ghedini
http://www.informaticasanitaria.it

2. Sommario
 Illustrazione delle principali normative applicabili ai
sistemi informativi sanitari
 Considerazioni sulla applicabilità della normativa
esistente – percorribilità tecnica, sostenibilità
economica… - al contesto delle nostre aziende
 Considerazioni organizzative sulla gestione dei
progetti nelle aziende sanitarie
 Conclusioni
Pierfrancesco Ghedini http://www.informaticasanitaria.it 2 26/09/14

3. Normativa applicabile ai sistemi
informativi sanitari
Pierfrancesco Ghedini http://www.informaticasanitaria.it 3 26/09/14

4. Codice dell’amministrazione digitale
 D.lvo 82/2005 e s.m.i. rappresenta il modello normativo al quale
rapportare ogni possibile percorso di informatizzazione
all’interno della pubblica amministrazione
 Definisce e norma la produzione e gestione del documento
informatico e la sua firma (firma avanzata, qualificata e digitale)
 Pone importanti requisiti per la gestione della continuità
operativa (Business Continuity e Disaster Recovery) ai sensi
dell’art. 50bis
 È la norma che consente la definitiva transizione da una gestione
su Carta ad una gestione completamente informatizzata che
mantenga il pieno valore giuridico della documentazione - anche
attraverso tecniche di firma del documento informatico -.
Pierfrancesco Ghedini http://www.informaticasanitaria.it 4 26/09/14

5. Normativa privacy 1/2
 D.lvo 196/2003 e s.m.i. è il cardine normativo per la
gestione dei dati sensibili
 Obbliga alla sistematica valutazione dei principi di pertinenza
e non eccedenza in ogni trattamento che viene effettuato da
un certo titolare
 Impone l’adozione di misure minime di sicurezza – la cui non
adozione è penalmente sanzionabile – e di misure opportune
(nell’ambito delle misure opportune è possibile inquadrare
praticamente ogni buona pratica: ad esempio si potrebbe
applicare la ISO/IEC 29115/13 – Entity Authentication
Assurance)
Pierfrancesco Ghedini http://www.informaticasanitaria.it 5 26/09/14

6. Normativa privacy 2/2
 Attraverso diverse pronunce e linee guida il Garante
privacy ha puntualizzato ed esteso la normativa originaria
normando importanti temi quali:
 il FSE – Fascicolo Sanitario Elettronico - e il Dossier;
 il trattamento dei dati genetici;
 la pubblicazione dei referti in internet;
 La video sorveglianza,
 ecc…
 Questa vasta documentazione pone in evidenza il principio
che la privacy è il limite normativo alla naturale tendenza
alla trattabilità informatizzata dei dati sanitari
Pierfrancesco Ghedini http://www.informaticasanitaria.it 6 26/09/14

7. L’integrazione con i sistemi aziendali,
regionali e nazionali
 Il sistema informativo aziendale di un azienda sanitaria è composto
da diversi moduli applicativi eterogenei che si integrano in maniera
più o meno stretta:
 Integrazione a livello di RDBMS
 Integrazione a livello applicativo (ad esempio attraverso la chiamata di
funzionalità WEB con passaggio di parametri nell’URL…)
 Cooperazione applicativa attraverso messaggistica (HL7, FHIR, IHE,
ecc…)
 Scambio di documenti in formato CDA e documentazione iconografica in
DICOM
 Il trasporto delle informazioni può essere ottenuto attraverso WS*
e tecnologia REST…
 … oppure attraverso il Sistema Pubblico di connettività - DPCM
01/04/08 -
 in attesa di adozione del Retrieve, Locate, Update Service
Functional Model (RLUS SFM)
Pierfrancesco Ghedini http://www.informaticasanitaria.it 7 26/09/14

8. Requisiti di accessibilità e usabilità
 Norme sulla accessibilità dei siti WEB (comprensiva
dei requisiti tecnici di accessibilità previsti dalla legge
9 gennaio 2004, n. 4)
 Norme sulla usabilità ed ergonomicità degli
applicativi:
 Applicativi tradizionali – desktop -;
 Applicativi usabili in mobilità o in contesti “mission
critical” come ad esempio l’uso “senza mani” in sala
operatoria
Pierfrancesco Ghedini http://www.informaticasanitaria.it 8 26/09/14

9. La fida ultima dell’interoperabilità:
la convergenza semantica
 È stata di recente prodotta una linea guida
denominata “Profilo Funzionale di Fascicolo Sanitario
Elettronico (FSE) regionale”
 Tale documento rappresenta una localizzazione di
EHR-S FM
 fra i fini specifici di EHR-S FM troviamo il seguente
“Facilitate describing end-user defined benefits such
as patient safety, quality outcomes and cost
efficiencies in terms of standard EHR-S functions”
Pierfrancesco Ghedini http://www.informaticasanitaria.it 9 26/09/14

10. Standard relativi al Service
management in ambito IT
 Esiste una letteratura ormai piuttosto consolidata che
codifica le buone pratiche necessarie a fornire servizi
informatici di qualità adeguata (It Infrastructure
Library – ITIL) che seppure non costituisce una
normativa cogente per le aziende pubbliche è il
naturale presupposto culturale agli studi di Business
Continuity e Disaster Recovery che sono alla base dei
progetti resi indispensabili dal CAD – art. 50bis –
Pierfrancesco Ghedini http://www.informaticasanitaria.it 10 26/09/14

11. Altri aspetti normativi
 Altre norme rilevanti per la produzione di software e per la
valutazione del rischio:
 il sistema qualità descritto nell’ISO-IEC 25000/14 che introduce
(Systems and software Quality Requirements and Evaluation -
SQuaRE-)
 La IEC 80001 “Application of risk management for IT-networks
incorporating medical devices”
 Normativa sul crimine informatico così come enunciata dall’art.
615ter del Codice Penale (accesso abusivo ad un sistema
informatico); NOTA BENE: questa norma attiene non a come è
fatto il sistema informativo, ma a come deve essere usato.
Pierfrancesco Ghedini http://www.informaticasanitaria.it 11 26/09/14

12. La struttura a “cipolla” dei vari
adempimenti normativi
CAD + ITIL
(BC e Disaster Recovery)
CAD
(Documenti informatici e Firma)
Privacy
(Pertinenza e non eccedenza)
Interfacce Standard
HL7/IHE
 Nel software sanitario i vari
adempimenti normativi si
stratificano l’uno sull’altro
senza un particolare ordine
per cui è possibile affermare
che le norme applicabili
sono date dall’unione di
tutte le normative vigenti
Normativa
DM
Funzionalità
Applicativa
Pierfrancesco Ghedini http://www.informaticasanitaria.it 12 26/09/14

13. La “cipolla” capovolta che sta sotto
la funzionalità applicativa
 La funzionalità applicativa a
sua volta è garantita da un
connubio di funzionalità
applicative e caratteristiche
concettuali (struttura
concettuale del DB
utilizzato) che girano su una
determinata piattaforma
hardware e di rete
Funzionalità applicativa
Requisiti di buona progett.
Funzionale
Requisiti di buona progett.
Concettuale (RDBMS)
Requisiti
di Sic. Inform. e Network.
Requisiti HW
Requisiti
componenti
Pierfrancesco Ghedini http://www.informaticasanitaria.it 13 26/09/14

14. Sostenibilità di un approccio che
persegua la sicurezza applicativa in
maniera documentabile
Pierfrancesco Ghedini http://www.informaticasanitaria.it 14 26/09/14

15. Il software in ambito sanitario come
attrezzatura pericolosa
 Il software utilizzato in ambito sanitario deve essere considerato
alla stregua di una attrezzatura pericolosa meritevole di un
approccio multidisciplinare che prevede la collaborazione del
 DB Manager (qualora il software integri un DB)
 Network Manager (Qualora il software funzioni in un contesto di
rete)
 System Integrator – esperto di interfacce HL7/IHE (qualora il
modulo sia interfacciato con altri moduli)
 Medical Devices Manager (qualora il software sia certificabile
come DM)
 Usability manager - Human Factors specialist – (qualora il
software disponga di una interfaccia utente)
Pierfrancesco Ghedini http://www.informaticasanitaria.it 15 26/09/14

16. Il collaudo da parte dell’azienda
acquirente
 Il collaudo da parte dell’azienda acquirente è il momento
topico nel quale si deve prevedere la validazione di quanto
messo in produzione
 La nuova funzionalità introdotta deve essere testata al fine
di garantirne complessivamente SAFETY e RELIABILITY
Collaudo MD Network Non MD
Coop. App.
Pierfrancesco Ghedini http://www.informaticasanitaria.it 16 26/09/14

17. Gestione di progetti software
 Chi si deve occupare di gestire l’introduzione di nuove
funzionalità applicative in azienda ?
Il Project Manager che si avvale delle competenze di:
 DB Manager
 Network Manager/Security Manager
 System Integrator – esperto di interfacce HL7/IHE -
 Medical Devices Manager
 Usability manager (Human Factors specialist)
 Ecc…
Pierfrancesco Ghedini http://www.informaticasanitaria.it 17 26/09/14

18. Conclusioni
Pierfrancesco Ghedini http://www.informaticasanitaria.it 18 26/09/14

19. Alcune considerazioni conclusive
 La gestione del software nelle aziende sanitarie è una
attività assai complessa che richiede la collaborazione di
svariate competenze specialistiche
 La gestione dei progetti deve essere affidata a Project
Manager competenti che abbiano maturato competenze
adeguate
 L’estrema integrazione che deve esistere fra esperti di
Dispositivi Medici e gli altri specialisti sconsiglia la
costituzione di soluzioni organizzative che precludano un
forte scambio di competenze e forti sinergie fra gli esperti
dei diversi ambiti tecnici
Pierfrancesco Ghedini http://www.informaticasanitaria.it 19 26/09/14

20. Grazie
Pierfrancesco Ghedini
www.informaticasanitaria.it
Pierfrancesco Ghedini http://www.informaticasanitaria.it 20 26/09/14