E-government - pubblica amministrazione digitale e innovazione PA

Le applicazioni del cloud computing in sanità

Per una sanità digitale in linea con la privacy, le aziende ospedaliere stanno muovendo i primi passi verso l’utilizzo di una tecnica che può dare enormi vantaggi

La sanità elettronica o digitale sta attraversando una fase nuova rispetto a quella registratasi fino al 2005 ove gli interventi in materia di Ict erano, in buona parte, dedicati allo sviluppo dei sistemi amministrativo-contabile, mentre oggi la attenzione risulta focalizzata sul core business delle aziende sanitarie. Una spinta decisiva in questa direzione è stata fornita dal piano E-Gov 2012 che si prefigge la realizzazione di un sistema sanitario nazionale i cui vari attori sono messi in rete: servizio sanitario nazionale, regioni, aziende sanitarie, aziende ospedaliere, strutture sanitarie pubbliche e private accreditare, università, associazioni, utenti.
Attraverso lo sfruttamento delle reti telematiche è possibile creare un panel di servizi digitali dedicati al cittadino tale da velocizzare la trasmissione dei dati permettendo, in primo luogo, di:
1. migliorare la comunicazione anche attraverso la introduzione di un sistema di prenotazioni on line;
2. realizzare il pieno diritto all’accesso alle prestazioni sanitarie erogate sul territorio nazionale in qualunque posto si trovi l’utente;
3.  consentire la piena implementazione della cd “cartella clinica elettronica”;
4. raggiungere il traguardo della dematerializzazione dei documenti, intesa come la sostituzione del documento cartaceo per mezzo del documento informatico.
La digitalizzazione dei documenti e, più in generale, dei dati sanitari è parte, quindi, di un processo che nel nostro Paese si trova  a muovere i primi passi. Le difficoltà insite in tale processo  riguardano la specificità del settore, quello della pubblica amministrazione, retto da regole che spesso faticano a coesistere con la adozione di procedure digitalizzate.
Uno degli strumenti maggiormente impiegati per realizzare una sanità digitale è il cloud computing, ma una sua completa implementazione richiede, da parte dei vari attori istituzionali, l’intervento su una serie di aspetti quali:
- la esternalizzazione dei processi (cd outsourcing);
- il diritto di accesso agli stessi;
- il trattamento dei dati personali da parte di soggetti esterni all’ente;
- la adozione ed il mantenimento di standard di sicurezza nella gestione dei dati, ecc.
Le aziende ospedaliere stanno muovendo i primi passi verso l’utilizzo della tecnica del cloud computing al fine di raggiungere una serie di obiettivi, tutti in linea con la ‘sanità digitale’:
1. riduzione dei costi legati all’acquisto del SW necessario alla digitalizzazione dei documenti;
2. riduzione degli spazi necessari per la archiviazione dei documenti cartacei e dei costi relativi alla loro gestione;
3. velocizzazione dei processi di erogazione dei servizi;
4. miglioramento delle prestazioni con conseguente aumento della qualità prodotta e percepita dall’utente.

Esternalizzazione dei processi e diritto di accesso ai dati
In merito a tale aspetto, (cd outsourcing), risulta chiaro che in questo caso non si tratta di una semplice esternalizzazione dei servizi. Da un punto di vista giuridico, siamo di fronte ad un contratto di appalto di servizi. La specificità della tecnologia impiegata richiede la adozione di una serie di misure, rectius protocolli, in grado di favorire una gestione corretta del rapporto tra le parti. Occorre, quindi, superare la impostazione proposta (indotta?) dai fornitori che, ad es., non assumono impegni in merito al raggiungimento o meno di determinate prestazioni.
Vanno,da parte delle aziende sanitarie, negoziati i vari aspetti di ordine tecnico e giuridico
Riguardo il tema del diritto di accesso ai dati, espressamente previsto dalla normativa di settore (artt. 7 e seguenti del codice in materia di protezione dei dati personali) esso diventa di difficile soluzione nel momento in cui attraverso il Cloud computing  i dati vengono archiviati su server distanti anche diverse migliaia di chilometri. Si pensi ai server allocati presso Stati extra europei ove non vigono le stesse tutela in materia di privacy. In base alla Direttiva CE n. 46 del 1995 il trasferimento dei dati personali all’interno degli Stati membri della Comunità europea non incontra restrizioni in quanto gli Stati hanno dovuto adottare una normativa di settore che è, sostanzialmente, omogenea tra loro. Il problema si pone per i dati allocati su server presenti in Stati extra europei, rispetto ai quali è vietato il trattamento se tali Paesi non garantiscono un livello di tutela pari o superiore agli standard europei.

Il trattamento dei dati personali e la applicazione delle misure di sicurezza nella gestione dei dati
Una delle conseguenze prodotte dalla scelta di esternalizzare determinati servizi si concretizza nel fatto che il trattamento dei dati personali viene ad essere svolto da soggetti esterni all’ente. Questo tema è di enorme rilievo soprattutto in ambito sanitario ove vengono trattati in prevalenza dati sensibili. Esistono, quindi, delle remore relativamente al fatto che l’ente in questo modo perde il controllo dei propri dati e questo aspetto  va ad impattare, a sua volta, con almeno due problemi: la sicurezza informatica e il rispetto della riservatezza nel trattamento dei dati personali. A tale riguardo si è in presenza di un atteggiamento schizofrenico di molte aziende che hanno già fatto ricorso al Cloud; se da una parte si evidenziano i problemi legati alla sicurezza dei dati dall’altra sono pochi gli enti che hanno adottato degli SLA  (service level agreement) cioè hanno definito determinati parametri da inserire nei contratti. Ci si riferisce, ad es., al farsi rilasciare dai fornitori attestati in materia di sicurezza logica e fisica dei dati oltre che in tema di disaster recovery, così come riguardo al sottoporsi ad audit svolti da agenzie esterne, ecc.
Attualmente un limite alla diffusione del Cloud, nella sanità, risiede nella assenza di standard condivisi dai vari vendor per cui la presenza di soluzioni basate su cd ‘prodotti proprietari’ rischia  di creare una forte dipendenza della clientela verso le case produttrici. Si pone, quindi, il problema di rivedere all’interno della propria organizzazione, l’organigramma aziendale privacy, definendo il ruolo e le competenze del soggetto terzo proprietario dei server esterni, stabilendo se nominarlo contitolare del trattamento oppure responsabile esterno del trattamento stesso.
Un ulteriore problema è rappresentato dall’applicazione delle misure di sicurezza ed, in particolare, dalla individuazione dell’amministratore di sistema, per quanto attiene all’autorizzazione agli accessi alle piattaforme informatiche esterne all’azienda. Secondo Gartner, un modo per superare i vulnus rappresentati dalle problematiche legate alla sicurezza ed alla riservatezza dei dati consisterebbe nel migrare le informazioni su reti private di cloud anziché ricorrere a reti pubbliche. Tale scelta non ci convince appieno per una serie di motivi: in primo luogo rivolgersi ad un gestore in grado di erogare lo stesso servizio in modalità cd taylored – su misura per le esigenze del cliente - comporterebbe certamente un aggravio dei costi; in secondo luogo, l’utilizzo di una rete di cloud privata risolverebbe, nella migliore delle ipotesi, i problemi legati alla sicurezza dei dati ma lascerebbe insoluto quello legato alla privacy, intesa in termini di riservatezza. Un altro aspetto, connesso alla sicurezza informatica, è quello relativo alla business continuity, cioè alla possibilità di utilizzare i propri dati sempre e comunque, senza che si verifichino delle interruzioni del servizio. A tale proposito da una indagine condotta fra i responsabili I.T. aziendali, che hanno utilizzato il cloud computing, è emerso che almeno un terzo di essi nell’ultimo anno ha subito una perdita di dati o si è trovato nella momentanea impossibilità di poterli utilizzare! Riguardo, invece, a chi fruisce del servizio di archiviazione dati (cd Backup)- che è un altro aspetto in cui si declina la sicurezza informatica, occorre che il fornitore offra le seguenti garanzie:
a. rispetto degli standard fissati dalla normativa di settore;
b. solidità in termini di presenza nel tempo, soprattutto in riferimento al verificarsi di problemi tecnici (cd disservizio);
c. assicurare un flusso dei dati, in entrata ed in uscita, in forma criptata.

Conclusione
Probabilmente, data la particolare forza di innovazione insita nel cloud è preferibile da parte della azienda sanitaria adottare un approccio ‘morbido’ individuando una serie di step finalizzati a graduare il passaggio da una visione basata su un archetipo focalizzato sul rapporto pc client/pc server con una finalizzata allo sfruttamento di banche di dati non più allocate in server dell’azienda ma ubicate al di fuori di essa, da compiere attraverso una migrazione dei dati aziendali. La scelta di procedere per tappe trova giustificazione, a parere di chi scrive, soprattutto dalla necessità di dovere prima mettere ‘sotto esame’ i fornitori del servizio per valutare se, effettivamente, sono in grado di confermare standard di sicurezza tali da garantire una compliance anche con la normativa in materia di protezione dei dati personali. Soprattutto in ambito sanitario, caratterizzato dalla presenza competitiva di più attori, pubblici e privati, la azienda non in grado di proteggere i dati degli utenti rischia di finire fuori mercato! Atteso, quindi, che il valore della azienda è dato dal complesso di informazioni di cui dispone e per mezzo delle quali compete sul mercato (cd valore aggiunto del dato) l’aspetto sicurezza è di primaria importanza e deve essere valutato in tutte le sue sfaccettature dal management aziendale previo supporto tecnico del responsabile It.

Dott. Giovanni Modesti

 

Ti potrebbe interessare anche

• Anziani e disabili: Re-Freedom migliora i servizi innovativi per la domiciliarità
• E-Health, l’innovazione al servizio della salute
• La tutela della privacy sbarca anche in farmacia
• San Matteo: il Policlinico in un click
• Certificati di malattia on line: processo culturale in corso o mantenimento dello status quo?
• Referti medici digitali, esiste una cura

Lascia il tuo commento!

Nome (richiesto) Indirizzo e-mail (richiesto) Copia la scritta che vedi nell'immagine Il tuo commento