The slides describe the main regulations applicable to the sector of healthcare software and software medical devices. More information about this topic can be found at the site http://www.informaticasanitaria.it
Cloud computing: Proteggere i dati per non cadere dalle nuvole
Normativa relativa al software sanitario e ai dispositivi medici
1. Il software usato in ambito
sanitario: tipologia e contesto
normativo
Ospedale di Cona (FE) 26/09/2014
Pierfrancesco Ghedini
http://www.informaticasanitaria.it
2. Sommario
Illustrazione delle principali normative applicabili ai
sistemi informativi sanitari
Considerazioni sulla applicabilità della normativa
esistente – percorribilità tecnica, sostenibilità
economica… - al contesto delle nostre aziende
Considerazioni organizzative sulla gestione dei
progetti nelle aziende sanitarie
Conclusioni
Pierfrancesco Ghedini http://www.informaticasanitaria.it 2 26/09/14
3. Normativa applicabile ai sistemi
informativi sanitari
Pierfrancesco Ghedini http://www.informaticasanitaria.it 3 26/09/14
4. Codice dell’amministrazione digitale
D.lvo 82/2005 e s.m.i. rappresenta il modello normativo al quale
rapportare ogni possibile percorso di informatizzazione
all’interno della pubblica amministrazione
Definisce e norma la produzione e gestione del documento
informatico e la sua firma (firma avanzata, qualificata e digitale)
Pone importanti requisiti per la gestione della continuità
operativa (Business Continuity e Disaster Recovery) ai sensi
dell’art. 50bis
È la norma che consente la definitiva transizione da una gestione
su Carta ad una gestione completamente informatizzata che
mantenga il pieno valore giuridico della documentazione - anche
attraverso tecniche di firma del documento informatico -.
Pierfrancesco Ghedini http://www.informaticasanitaria.it 4 26/09/14
5. Normativa privacy 1/2
D.lvo 196/2003 e s.m.i. è il cardine normativo per la
gestione dei dati sensibili
Obbliga alla sistematica valutazione dei principi di pertinenza
e non eccedenza in ogni trattamento che viene effettuato da
un certo titolare
Impone l’adozione di misure minime di sicurezza – la cui non
adozione è penalmente sanzionabile – e di misure opportune
(nell’ambito delle misure opportune è possibile inquadrare
praticamente ogni buona pratica: ad esempio si potrebbe
applicare la ISO/IEC 29115/13 – Entity Authentication
Assurance)
Pierfrancesco Ghedini http://www.informaticasanitaria.it 5 26/09/14
6. Normativa privacy 2/2
Attraverso diverse pronunce e linee guida il Garante
privacy ha puntualizzato ed esteso la normativa originaria
normando importanti temi quali:
il FSE – Fascicolo Sanitario Elettronico - e il Dossier;
il trattamento dei dati genetici;
la pubblicazione dei referti in internet;
La video sorveglianza,
ecc…
Questa vasta documentazione pone in evidenza il principio
che la privacy è il limite normativo alla naturale tendenza
alla trattabilità informatizzata dei dati sanitari
Pierfrancesco Ghedini http://www.informaticasanitaria.it 6 26/09/14
7. L’integrazione con i sistemi aziendali,
regionali e nazionali
Il sistema informativo aziendale di un azienda sanitaria è composto
da diversi moduli applicativi eterogenei che si integrano in maniera
più o meno stretta:
Integrazione a livello di RDBMS
Integrazione a livello applicativo (ad esempio attraverso la chiamata di
funzionalità WEB con passaggio di parametri nell’URL…)
Cooperazione applicativa attraverso messaggistica (HL7, FHIR, IHE,
ecc…)
Scambio di documenti in formato CDA e documentazione iconografica in
DICOM
Il trasporto delle informazioni può essere ottenuto attraverso WS*
e tecnologia REST…
… oppure attraverso il Sistema Pubblico di connettività - DPCM
01/04/08 -
in attesa di adozione del Retrieve, Locate, Update Service
Functional Model (RLUS SFM)
Pierfrancesco Ghedini http://www.informaticasanitaria.it 7 26/09/14
8. Requisiti di accessibilità e usabilità
Norme sulla accessibilità dei siti WEB (comprensiva
dei requisiti tecnici di accessibilità previsti dalla legge
9 gennaio 2004, n. 4)
Norme sulla usabilità ed ergonomicità degli
applicativi:
Applicativi tradizionali – desktop -;
Applicativi usabili in mobilità o in contesti “mission
critical” come ad esempio l’uso “senza mani” in sala
operatoria
Pierfrancesco Ghedini http://www.informaticasanitaria.it 8 26/09/14
9. La fida ultima dell’interoperabilità:
la convergenza semantica
È stata di recente prodotta una linea guida
denominata “Profilo Funzionale di Fascicolo Sanitario
Elettronico (FSE) regionale”
Tale documento rappresenta una localizzazione di
EHR-S FM
fra i fini specifici di EHR-S FM troviamo il seguente
“Facilitate describing end-user defined benefits such
as patient safety, quality outcomes and cost
efficiencies in terms of standard EHR-S functions”
Pierfrancesco Ghedini http://www.informaticasanitaria.it 9 26/09/14
10. Standard relativi al Service
management in ambito IT
Esiste una letteratura ormai piuttosto consolidata che
codifica le buone pratiche necessarie a fornire servizi
informatici di qualità adeguata (It Infrastructure
Library – ITIL) che seppure non costituisce una
normativa cogente per le aziende pubbliche è il
naturale presupposto culturale agli studi di Business
Continuity e Disaster Recovery che sono alla base dei
progetti resi indispensabili dal CAD – art. 50bis –
Pierfrancesco Ghedini http://www.informaticasanitaria.it 10 26/09/14
11. Altri aspetti normativi
Altre norme rilevanti per la produzione di software e per la
valutazione del rischio:
il sistema qualità descritto nell’ISO-IEC 25000/14 che introduce
(Systems and software Quality Requirements and Evaluation -
SQuaRE-)
La IEC 80001 “Application of risk management for IT-networks
incorporating medical devices”
Normativa sul crimine informatico così come enunciata dall’art.
615ter del Codice Penale (accesso abusivo ad un sistema
informatico); NOTA BENE: questa norma attiene non a come è
fatto il sistema informativo, ma a come deve essere usato.
Pierfrancesco Ghedini http://www.informaticasanitaria.it 11 26/09/14
12. La struttura a “cipolla” dei vari
adempimenti normativi
CAD + ITIL
(BC e Disaster Recovery)
CAD
(Documenti informatici e Firma)
Privacy
(Pertinenza e non eccedenza)
Interfacce Standard
HL7/IHE
Nel software sanitario i vari
adempimenti normativi si
stratificano l’uno sull’altro
senza un particolare ordine
per cui è possibile affermare
che le norme applicabili
sono date dall’unione di
tutte le normative vigenti
Normativa
DM
Funzionalità
Applicativa
Pierfrancesco Ghedini http://www.informaticasanitaria.it 12 26/09/14
13. La “cipolla” capovolta che sta sotto
la funzionalità applicativa
La funzionalità applicativa a
sua volta è garantita da un
connubio di funzionalità
applicative e caratteristiche
concettuali (struttura
concettuale del DB
utilizzato) che girano su una
determinata piattaforma
hardware e di rete
Funzionalità applicativa
Requisiti di buona progett.
Funzionale
Requisiti di buona progett.
Concettuale (RDBMS)
Requisiti
di Sic. Inform. e Network.
Requisiti HW
Requisiti
componenti
Pierfrancesco Ghedini http://www.informaticasanitaria.it 13 26/09/14
14. Sostenibilità di un approccio che
persegua la sicurezza applicativa in
maniera documentabile
Pierfrancesco Ghedini http://www.informaticasanitaria.it 14 26/09/14
15. Il software in ambito sanitario come
attrezzatura pericolosa
Il software utilizzato in ambito sanitario deve essere considerato
alla stregua di una attrezzatura pericolosa meritevole di un
approccio multidisciplinare che prevede la collaborazione del
DB Manager (qualora il software integri un DB)
Network Manager (Qualora il software funzioni in un contesto di
rete)
System Integrator – esperto di interfacce HL7/IHE (qualora il
modulo sia interfacciato con altri moduli)
Medical Devices Manager (qualora il software sia certificabile
come DM)
Usability manager - Human Factors specialist – (qualora il
software disponga di una interfaccia utente)
Pierfrancesco Ghedini http://www.informaticasanitaria.it 15 26/09/14
16. Il collaudo da parte dell’azienda
acquirente
Il collaudo da parte dell’azienda acquirente è il momento
topico nel quale si deve prevedere la validazione di quanto
messo in produzione
La nuova funzionalità introdotta deve essere testata al fine
di garantirne complessivamente SAFETY e RELIABILITY
Collaudo MD Network Non MD
Coop. App.
Pierfrancesco Ghedini http://www.informaticasanitaria.it 16 26/09/14
17. Gestione di progetti software
Chi si deve occupare di gestire l’introduzione di nuove
funzionalità applicative in azienda ?
Il Project Manager che si avvale delle competenze di:
DB Manager
Network Manager/Security Manager
System Integrator – esperto di interfacce HL7/IHE -
Medical Devices Manager
Usability manager (Human Factors specialist)
Ecc…
Pierfrancesco Ghedini http://www.informaticasanitaria.it 17 26/09/14
19. Alcune considerazioni conclusive
La gestione del software nelle aziende sanitarie è una
attività assai complessa che richiede la collaborazione di
svariate competenze specialistiche
La gestione dei progetti deve essere affidata a Project
Manager competenti che abbiano maturato competenze
adeguate
L’estrema integrazione che deve esistere fra esperti di
Dispositivi Medici e gli altri specialisti sconsiglia la
costituzione di soluzioni organizzative che precludano un
forte scambio di competenze e forti sinergie fra gli esperti
dei diversi ambiti tecnici
Pierfrancesco Ghedini http://www.informaticasanitaria.it 19 26/09/14
20. Grazie
Pierfrancesco Ghedini
www.informaticasanitaria.it
Pierfrancesco Ghedini http://www.informaticasanitaria.it 20 26/09/14