Dossier sanitario elettronico: sunto

Privacy 0 Comment

f62a9c41-2b00-4eac-bc05-3e86e7507bf2_medium

Il Garante prosegue la sua azione per incrementare le tutele dei pazienti in ambito sanitario emanando una nuova Deliberazione in tema di “Dossier sanitario” al fine di definire un quadro di riferimento unitario per il corretto trattamento dei dati raccolti nei dossier, già istituiti o che si intendono istituire, da strutture sanitarie pubbliche e private. Vediamo un primo sunto schematico del provvedimento.

Dossier. Il trattamento dati attraverso il dossier differisce dai trattamenti di dati sanitari tipici del mondo clinico ed in particolare non è assimilabile:

  • ne al trattamento effettuato dal professionista sanitario nella cura del singolo evento;
  • ne al trattamento sanitario effettuato mediante la cartella clinica.

Informativa.

  • E’ necessaria una specifica informativa inerente il trattamento mediante dossier.
  • L’interessato deve essere informato del fatto che l’eventuale mancato consenso non pregiudica le cure mediche.
  • L’interessato deve essere informato del fatto che qualora presti il consenso al’apertura del dossier questo potrà essere consultato anche nel caso in cui ciò sia ritenuto indispensabile per la salvaguardia della salute di un terzo o della collettività.
  • I soggetti autorizzati ad accedere al dossier devono poter verificare l’effettiva prestazione dell’informativa e del consenso da parte del paziente.
  • L’interessato deve essere informato dell’eventualità che il dossier sia consultabile anche da parte di professionisti che agiscono in regime di libera professione.
  • L’interessato deve essere informato degli specifici criteri di profilazione degli utenti adottati.
  • L’interessato deve essere informato delle modalità per revocare il consenso all’implementazione del dossier e della facoltà di oscurare alcuni eventi clinici.
  • L’informativa deve essere facilmente consultabile anche successivamente alla prestazione del consenso.

Consenso.

  • Il trattamento di dati per mezzo di dossier è facoltativo.
  • Il consenso al dossier può essere manifestato unitamente a quello previsto per il trattamento dei dati a fini di cura ma deve essere autonomo e specifico.
  • In caso di revoca del consenso il dossier non deve essere ulteriormente implementato. Le informazioni devono restare disponibili al professionista o alla struttura che le ha redatte ed ai fini di conservazione ma non devono più essere condivise.
  • L’inserimento nel dossier di eventi sanitari pregressi all’istituzione del dossier stesso deve fondarsi su un consenso specifico ed informato.
  • Necessità di uno specifico consenso in caso nel dossier siano inserite anche informazioni relative a prestazioni sanitarie inerenti violenza sessuale, pedofilia, hiv, sostanze stupefacenti e psicotrope, alcol, interruzione di gravidanza, parto in anonimato.

Oscuramento dell’oscuramento.

  • L’oscuramento dell’evento clinico deve avvenire con modalità tali da garantire che i soggetti abilitati all’accesso non possano avvenire automaticamente a conoscenza del fatto che l’interessato ha effettuato tale scelta

Diritto alla visione degli accessi al dossier.

  • All’interessato deve essere riconosciuto il diritto di poter richiedere al titolare del trattamento quali siano stati gli accessi al proprio dossier. Deve essere fornito riscontro all’interessato entro 15 giorni.

Accesso al dossier.

  • L’accesso al dossier deve essere limitato al personale sanitario che interviene nel processo di cura e deve essere posto in essere esclusivamente da soggetti operanti in ambito sanitario.
  • Individuare le casistiche di accesso al dossier.
  • L’accesso deve essere limitato al tempo in cui si articola il processo di cura, fermo restando la possibilità di accedere al dossier quando necessario.
  • Modificare la “profondità” degli accessi a seconda delle reali esigenze di accesso degli operatori (es. dividere l’accesso ai dati amministrativi dai dati sanitari).

Sicurezza dei dati.

  • Individuare procedure di verifica periodica della qualità e della coerenza delle credenziali di autenticazione e dei profili di autorizzazione.
  • Registrazione automatica in appositi file di log degli accessi e delle operazioni compiute sul dossier (codice identificativo del’incaricato, data e ora, codice postazione di lavoro, identificativo del paziente, tipologia di operazione compiuta).
  • Tracciare anche le operazioni di semplice consultazione.
  • Conservazione dei log per almeno 24 mesi.
  • Implementazione di sistemi di controllo degli accessi e per il rilevamento di eventuali anomalie attraverso l’utilizzo di indicatori utili per orientare successivi interventi di audit.
  • Comunicazione entro 48 ore all’Autorità di tutte le violazioni dei dati o gli incidenti informatici che possono aver avuto un impatto significativo sui dati personali (data breach).

Dott. Luigi Recupero

 

Luigi Recupero