Search
× Search
Menu
  1. Aiop Liguria
    1. Chi Siamo
    2. Contatti
    3. Statuto e codice etico
    4. Cariche Sociali
  2. Strutture associate

Notizie dalla Liguria

Riprende il dialogo Aiop-Aris con le Organizzazioni Sindacali Riprende il dialogo Aiop-Aris con le Organizzazioni Sindacali

Riprende il dialogo Aiop-Aris con le Organizzazioni Sindacali

Il rinnovo del Contratto nazionale del personale non medico, che opera nella componente di diritto privato del Ssn è, da sempre, un’assoluta priorità per Aiop e Aris, e non è mai stato messo in discussione, nel rispetto dei legittimi interessi delle parti. A seguito dell’improvvisa interruzione delle trattative, avvenuta il 27 gennaio scorso, Barbara Cittadini, Presidente nazionale Aiop e Padre Virginio Bebber, Presidente nazionale Aris, hanno avviato immediati contatti con tutti gli interlocutori istituzionali, ribadendo l'assoluta volontà di rispettare gli impegni assunti nei confronti degli oltre 100mila lavoratori che ogni giorno, con grande professionalità, consentono agli italiani di avere una risposta alla propria domanda di salute, tenuto conto delle esigenze delle strutture rappresentate.

Il cammino verso il rinnovo del CCNL del personale non medico ha compiuto un nuovo passo in avanti Il cammino verso il rinnovo del CCNL del personale non medico ha compiuto un nuovo passo in avanti

Il cammino verso il rinnovo del CCNL del personale non medico ha compiuto un nuovo passo in avanti

Forte segnale di responsabilità da parte dell’Assemblea AIOP

L’Assemblea generale dell’Aiop, convocata a Roma il 22 gennaio u.s., per esprimersi sul tema del rinnovo del CCNL, ha ribadito la volontà di definire, in tempi rapidi, l’intesa per il rinnovo del contratto del personale non medico della componente di diritto privato del Ssn, nel rispetto degli accordi e dei risultati con le Istituzioni e le Organizzazioni sindacali.
RSS
1345678910Last

Notizie Aiop Nazionale

Errori e incidenti: quanto può costare la violazione della privacy all’ospedalità privata?
2612

Errori e incidenti: quanto può costare la violazione della privacy all’ospedalità privata?

Una riflessione sul quadro sanzionatorio che interessa l’ospedalità privata, cosa prevede il GDPR e quali obblighi devono assolvere le strutture

avv. Maria Livia Rizzo, Studio Legale Stefanelli&Stefanelli

 

Il 2021 è stato un anno che ha visto molte strutture sanitare colpite da provvedimenti emessi dal Garante Privacy. Le ordinanze-ingiunzioni del Garante che hanno riguardato la sanità privata sono conseguite principalmente a reclami di pazienti e a notifiche di violazioni di dati (data breach).

Protagonisti delle violazioni privacy sono stati i referti e le cartelle cliniche.

L’invio dei referti a pazienti sbagliati

La violazione più frequente che interessa le strutture sanitarie è l’errore nella comunicazione dei referti. Tipicamente, la trasmissione referto nei casi sanzionati è avvenuta,

  • tramite invio a mezzo posta tradizionale o via e-mail, a un destinatario errato
  • o mediante inserimento nella cartella clinica di un altro paziente.

Interessante è notare come si sia trattato sempre di un errore umano, dovuto talvolta alla presenza di casi di omonimia, altre volte semplicemente a distrazione.

Un banale errore materiale che è arrivato a costare dai 5.000 ai 45.000 euro alle strutture ospedaliere private sanzionate.

Violazioni nella trasmissione della cartella clinica

Anche la cartella clinica è stata oggetto in alcuni casi di data breach. Il Garante ha sanzionato in questo contesto:

  • sia comportamenti conseguenti ad errori umani,
  • sia incidenti dovuti a malfunzionamenti dell’infrastruttura informatica dell’ospedale.

Nel primo caso il provvedimento dell’Autorità ha colpito l’invio, tramite PEC all'indirizzo mail del richiedente, di una cartella clinica sbagliata, contenente i dati di un altro paziente.

Nel secondo caso, in 19 cartelle cliniche di un ospedale privato sono comparsi i dati di altri pazienti. L’errore informatico è intervenuto nel processo di stampa delle cartelle, che avveniva tramite un tool automatico, ed è stato causato di un bug che non teneva in considerazione il codice paziente.

Le ordinanze del Garante hanno inflitto ammonimenti e sanzioni pecuniarie fino a 15.000 euro.

Le casistiche appena descritte accendono un faro sulla necessità di prevenire violazioni di dati, non solo per evitare il pagamento di sanzioni amministrative elevate, ma anche per prevenire il conseguente danno di immagine.

Come prevenire errori e incidenti?

Quando si parla di violazioni in ambito privacy, il fattore umano è costantemente l’elemento più critico. D’altra parte, anche la sempre maggiore digitalizzazione dell’ospedalità comporta rischi:

  • sia connessi all’uso delle tecnologie da parte dell’uomo;
  • sia intrinseci al funzionamento automatizzato dei sistemi informativi.

Sappiamo che il rischio di errori o incidenti non può essere mai essere eliminato al 100%. Tuttavia, il Reg UE 679/2016 (GDPR) all’art. 32 prevede l’obbligo per chi tratta dati personali di adottare misure tecniche e organizzative adeguate al rischio di perdita, modifica arbitraria o comunicazione/accesso illeciti ai dati personali.

Proprio per questo, quando il Garante Privacy sanziona i titolari del trattamento, lo fa, in molti casi perché queste misure di sicurezza non sono state adottate. Così è accaduto nei casi sopra descritti.

Ma quali sono le misure che i titolari del trattamento devono adottare?

Il GDPR è un regolamento che non prescrive misure specifiche, ma adotta un approccio basato di volta in volta sul rischio concreto: ogni struttura sanitaria dovrà quindi individuare le misure a seconda delle caratteristiche dei trattamenti di dati che svolge.

In ogni caso, per fronteggiare il rischio di commissione di un errore umano è sicuramente indispensabile la formazione del personale. A seconda delle caratteristiche e delle esigenze della struttura la formazione, può essere incentrata in diversa misura:

  • sull’utilizzo degli strumenti informatici o cartacei;
  • sulla prevenzione degli attacchi informatici;
  • sulle modalità di segnalazione di data breach;
  • e, in ogni caso, sulle best practice intese come norme generali di comportamento da adottare con riferimento alla protezione dei dati degli interessati.

Il rischio di malfunzionamento degli strumenti informatici, invece, può essere correttamente gestito – previo adeguato censimento degli strumenti – attraverso:

  • la verifica dell’aggiornamento dei sistemi operativi
  • e, in generale, la valutazione regolare dell’efficacia delle misure di sicurezza adottate (ad es. tramite testing periodico).

Parallelamente è determinante per la struttura sanitaria adottare policy aziendali, linee guida e/o procedure dettagliate, sia di tipo organizzativo che informatico, finalizzate rispettivamente a:

  • delineare i principi fondamentali e le regole che devono essere seguite nella struttura;
  • fornire raccomandazioni a supporto delle politiche di sicurezza delle informazioni;
  • descrivere, step by step, le condotte a cui è necessario attenersi.

A monte, è imprescindibile strutturare un Sistema di Gestione Privacy che sia calato nella specifica realtà operativa, e che sia finalizzato a pianificare, eseguire, monitorare e revisionare gli adempimenti, le misure di sicurezza e le procedure aziendali in tema di protezione del dato.

Non solo: in un’epoca in cui i dati sono l’asset più significativo per un’azienda dal punto di vista economico, il GDPR non rappresenta solo un obbligo legislativo, ma è anche il trampolino di lancio per l’utilizzo strategico dei dati.

In altre parole, la costruzione di un Sistema di Gestione Privacy non è solo funzionale a dimostrare il corretto adempimento degli obblighi previsti dal GDPR in caso di contestazioni o in sede di accertamenti ispettivi di parte dell’Autorità Garante.

Gestire i dati all’interno di un sistema strutturato e compliant è cruciale, anche per l’ospedalità privata, ad esempio per:

  • ricorrere lecitamente a soluzioni tecnologiche innovative (come telemedicina, intelligenza artificiale, robot chirurgici, stampa 3D, etc.);
  • progettare nuove strategie di business (es. campagne promozionali di screening, fornitura di servizi connessi alla degenza) in conformità agli obblighi normativi;
  • e, in generale, organizzare le informazioni in modo tale da ottimizzare i processi aziendali.

 

 

 

Previous Article Il Fisco del 2022
Next Article Sergio Mattarella riconfermato alla Presidenza della Repubblica
Please login or register to post comments.

Rassegna Stampa Regionale

Articoli delle principali testate giornalistiche nazionali e della stampa locale relativi a sanità, ricerca scientifica e medicina, con una maggior attenzione alla realtà ligure. Il servizio integrale è riservato agli associati Aiop Liguria.

 

Rassegna Stampa Nazionale

RassAiop3HP

La rassegna stampa 
della sanità privata
Servizio riservato agli associati Aiop

Link Istituzionali

NELLA RETE

Aiop Giovani
AiopTV

Uehp
European Union
of Private Hospitals

F.I.S.O.P.A.
Federazione Italiana;
Società Scientifiche
Ospedalità Privata Accreditata

CONTATTACI

AIOP Associazione Italiana Ospedalità Privata
SEDE REGIONALE LIGURIA
presso GVM Care & Research
Corso Garibaldi, 11
48022 LUGO (Ravenna)
Tel. 0545909705
Fax 0545909776
Email info@aiopliguria.it
   

Copyright 2024 by Aconet srl
Back To Top