la guida

Rischio clinico e sanità digitale: come conoscerlo e gestirlo

La gestione della sicurezza del supporto digitale in ambito sanitario deve basarsi su un approccio che tenga conto di tutte le caratteristiche e degli aspetti che incidono di fattori di rischio. Da un’indagine dell’Altems, vediamo come arrivare a una classificazione dei livelli di sicurezza nelle strutture sanitarie

24 Feb 2020
Fabrizio Massimo Ferrara

Docente di Informatica presso ALTEMS - Alta Scuola di Economia e Management dei Sistemi Sanitari, Università Cattolica del Sacro Cuore


Ripensare il rischio clinico nell’era digitale. E’ ormai ampiamente riconosciuto che in una azienda sanitaria moderna il supporto digitale – dal sistema informativo centralizzato fino alle singole app – non può essere considerato e gestito come un semplice insieme di tecnologie e programmi software più o meno correlati fra loro.

Deve costituire invece uno strumento completo ed integrato per il governo della struttura, sia dal punto di vista della gestione corrente che sotto il profilo della strategia evolutiva, assicurando la continuità dei processi aziendali attraverso i diversi settori e l’integrazione e la disponibilità del patrimonio informativo sotto il profilo sia clinico che amministrativo. E questo sia all’interno dell’azienda che nel contesto della rete territoriale per la continuità del percorso assistenziale del paziente.

Cos’è il rischio clinico in Sanità

In una tale visione, una valenza particolare assume ovviamente la gestione della “sicurezza” (includendo in questo termine anche gli aspetti di protezione dei dati personali, secondo quanto prescritto dal recente Regolamento UE 2016/679), che va intesa non solo dal punto di vista prettamente tecnologico, ma in quadro più ampio, tale da garantire l’esecuzione sicura e corretta dei processi aziendali, minimizzando e prevenendo –per quanto possibile– tutti i rischi ai quali l’azienda può essere esposta. Rischi che –nel settore sanitario– assumono una rilevanza particolare in quanto possono avere implicazioni anche sulla stessa salute del paziente. E’ quello che si intende per rischio clinico.

Figura 1. Il rischio clinico è correlato con la incompletezza del supporto digitale nell’ambito di alcuni processi

Normativa sul rischio clinico

Anche per quanto riguarda il profilo normativo del rischio clinico, vale la pena di sottolineare come il Regolamento UE sulla protezione dei dati personali definisca principi e regole di ampio respiro, non circoscrivibili a singole attività o procedure ma di rilevanza per tutte le attività dell’organizzazione. Il loro rispetto nell’ambito del sistema informativo, pertanto, richiede un approccio organico ed integrato che tenga conto di tutti gli aspetti in tutti i settori: dall’organizzazione dei dati, alle funzionalità, alle tecnologie.

In questa visione maggiormente strategica, anche le modalità organizzative secondo cui viene valutato, monitorato ed evoluto il sistema e le caratteristiche funzionali ed informative del supporto digitale costituiscono quindi elementi fondamentali e qualificanti ai fini della sicurezza e della gestione del rischio nell’azienda sanitaria.

In estrema sintesi l’obiettivo finale di un sistema informativo sicuro è quello di assicurare che le tutte le attività possano essere condotte nel rispetto dei requisiti tipici dell’atto medico:

  • Safety, ovvero evitare di fare danno per errore
  • Security, ovvero evitare la possibilità di danni a fronte di dolo,
  • Resilience, ovvero capacità di operare in tutte le condizioni
  • Trust, ovvero garantendo affidabilità ed il rispetto delle norme

Procedure di gestione del rischio clinico

Che si traduce nella capacità di:

  • seguire e supportare senza soluzione di continuità i processi dell’organizzazione (sia quelli che si esauriscono all’interno di un singolo settore che –soprattutto– quelli che si articolano attraverso settori diversi e sul territorio),
  • integrare e proteggere i dati raccolti attraverso applicazioni, contesti e dispositivi anche eterogenei rendendoli disponibili quando e come necessario alle persone autorizzate,
  • fornire un contributo attivo nell’identificazione di rischi e situazioni di allarme, anche correlando autonomamente informazioni diverse, anche nel caso di co-morbilità e dimenticanze da parte dell’utente.

Il tutto basato su una infrastruttura tecnologica robusta ed affidabile e gestito secondo una organizzazione e criteri formalizzati e misurabili, secondo principi di monitoraggio e miglioramento progressivo.

La gestione della sicurezza del supporto digitale, anche nell’ambito di strategie evolutive che tengano conto sia delle possibilità connesse a nuovi modelli organizzativi e a nuove tecnologie, sia delle normative sempre più precise e stringenti, si deve necessariamente basare su un approccio multi-dimensionale che tenga conto di tutte le caratteristiche e di tutti gli aspetti che incidono di fattori di rischio.

Come conoscere il rischio clinico

Questo approccio può basarsi sulla integrazione degli ambiti di analisi dei sistemi informativi, formalizzati nel modello standard di rifermento ISO ODP 10746 (aspetti organizzativi, aspetti informativi, aspetti funzionali, aspetti tecnologici), con le prospettive dell’ Health Technology Assessment[1],[2], quali il rischio clinico[3], l’impatto sul paziente, la protezione dei dati, l’aspetto economico, le implicazioni etiche, la rispondenza alle normative, etc. come schematizzato in figura 2.

Figura 2

Seguendo questa metodologia, è possibile definire un quadro di correlazione fra le varie tipologie di rischio e le caratteristiche del sistema (Figura 3).

Figura 3

Per valutare l’impatto del rischio sulla salute del paziente, la FDA suggerisce un approccio basato su cinque livelli qualitativi di gravità per determinare se il rischio per le prestazioni cliniche del dispositivo è controllato (accettabile) o non controllato (inaccettabile):

1. Trascurabile: disagio o disagio temporaneo

2. Minore: lesioni o menomazioni temporanee che non richiedono un intervento medico

3. Serio: lesioni o menomazioni che richiedono un intervento medico professionale

4. Critico: Lesioni critiche, menomazioni permanenti o lesioni pericolose per la vita

5. Catastrofico: morte del paziente

WHITEPAPER
Telemedicina: come attivare una valida rete ospedale-medici-territorio
Sanità

Questi livelli di rischio rappresentano il termine di riferimento ultimo ai quali relazionare i vari aspetti della sicurezza, considerati nel loro insieme e tenendo conto che l’affidabilità di un sistema complesso è determinata dall’affidabilità del componente più debole.

Seguendo questo approccio è quindi necessario per l’organizzazione sanitaria implementare un processo per valutare il rischio relativo relazionando il livello complessivo (ovvero tenendo conto di tutti gli aspetti) di sicurezza del supporto digitale con la possibile gravità dell’impatto sulla salute dei pazienti, come schematizzato in figura 4. Agendo sui vari aspetti (organizzativi, informativi, funzionali e tecnologici) della sicurezza si deve ridurre il rischio ad un livello accettabile.

Figura 4 – Valutazione del rischio in funzione del livello di sicurezza

Secondo questa metodologia, nel 2017 in collaborazione con la Direzione Generale dei sistemi informativi del Ministero della Salute, l’ALTEMS (Alta Scuola di Economia e Management dei Sistemi Sanitari) ha condotto una indagine a livello nazionale a cui hanno partecipato 131 strutture ospedaliere di tutte le Regioni.

Lo studio[4] ha prodotto una fotografia dello scenario degli aspetti complessivi di sicurezza nei sistemi informativi sanitari secondo un insieme di indicatori -organizzativi, funzionali, informativi e tecnologici- di validità generale ed indipendenti da specifici prodotti ed implementazioni, ed ha proposto una metodologia ed un “modello di maturità” secondo cui rappresentare le modalità di gestione ed il livello di sicurezza complessiva nei sistemi informativi sanitari.

La rilevanza crescente dei dispositivi medici

Evolvendo da questo primo risultato, nel 2019 è stato condotto un nuovo studio[5] finalizzato ad estendere il modello di riferimento agli aspetti di sicurezza dei contesti -sempre più rilevanti- in cui i dispositivi medici rivestono un ruolo significativo nel processo assistenziale e di cura.

Va infatti considerato che sempre di più le prestazioni erogate in ambito sanitario sono basate su un impiego intensivo di apparecchiature e dispositivi medici connessi con il sistema (IDC stima che entro il 2020 il 16% dei dati sanitari sarà proveniente da dispositivi medici, inclusi gli scenari di IoT).

Il contesto del sistema informativo si amplia quindi fino ad includere dispositivi medici, e la sicurezza complessiva dipende sempre di più dalla sicurezza del binomio “sistema informativo + dispositivi connessi”, come schematizzato nella figura 5.

Figura 5

I dispositivi medici connessi presentano una varietà di caratteristiche e di utilizzo estremamente ampia (dal robot operatorio all’IoT). Una analisi indiscriminata di tutti i contesti non porterebbe quindi a risultati significativi. Per assicurare la validità generale del modello, indipendentemente dalle specifiche patologie e processi clinici, i dispositivi sono stati quindi classificati in funzione del loro ruolo all’interno del processo assistenziale e delle modalità di utilizzo nel contesto organizzativo:

  • dispositivi “individuali”: quelle apparecchiature utilizzabili individualmente da parte del paziente (all’esterno o all’interno del centro) e/o da personale sanitario nell’ambito dell’attività clinica e/o assistenziale per la rilevazione di parametri (es. strumenti commerciali, ECG ed altra strumentazione portatile, misuratori portatili di valori ematici, etc.).  Rientrano in questo contesto anche i dispositivi genericamente individuati nel “mondo IoT”.
  • dispositivi “condivisi”: quelle apparecchiature in dotazione all’interno di una specifica UO della struttura per la misurazione di parametri vitali e/o l’effettuazione di esami diagnostici complementari alle attività cliniche della struttura stessa (es. ecografi, flussimetri, ecc.). Operano autonomamente (collegate o meno con il sistema sanitario centrale dell’organizzazione) e non necessitano di sistemi informatici articolati e complessi per il loro controllo.
  • dispositivi “centralizzati”: quelle apparecchiature di alto costo e complessità, collegate con e controllate da sistemi informatici complessi e dedicati (cosiddetta diagnostica “pesante”, apparecchiature di laboratorio, robot chirurgici, ecc.) stabilmente installate all’interno di UO della struttura, e costituenti strumenti essenziali e critici per l’effettuazione delle attività della UO stessa. Oltre che per il loro numero relativamente ridotto, per motivi di costo, complessità e rilevanza clinico/organizzativa, queste apparecchiature “centralizzate” sono usualmente acquisite, installate e gestite nell’ambito di processi e procedure formalizzate, valide per tutta la struttura.

Per rappresentare il contesto secondo criteri di validità generale, indipendenti da specifici prodotti e/o tecnologie, sono stati individuati indicatori secondo le quattro prospettive tipiche di analisi dei sistemi informativi: gli aspetti organizzativi, gli aspetti informativi, gli aspetti funzionali e gli aspetti tecnologici. Gli indicatori sono stati correlati con le varie tipologie di rischio, classificate, secondo l’approccio di Health Technology Assessment, in tre prospettive: sicurezza del paziente, protezione dei dati personali, aspetti economici (come in Figura 3), ed è stato quindi progettato un modello di maturità in grado di rappresentare le modalità secondo cui l’azienda affronta le diverse problematiche inerenti alla sicurezza.

Simmetricamente rispetto alle tipologie di indicatori definiti, il modello si articola secondo le seguenti prospettive:

Prospettiva organizzativa

Analizza le caratteristiche secondo cui è organizzata l’azienda dal punto di vista della valutazione, del controllo e della gestione dei rischi, sia a livello preventivo che in caso di incidenti

Prospettiva implementativa, suddivisa in aspetti funzionali ed aspetti informativi

Analizza le caratteristiche del contesto sotto il profilo delle operatività attualmente implementate nel supporto ai processi assistenziali, sia dal punto di vista funzionale che sotto il profilo della gestione e della protezione dei dati.

Prospettiva tecnologica

Analizza le caratteristiche strutturali ed operative della infrastruttura tecnologica di supporto ai dispositivi medici nell’ambito del sistema informativo

Per ogni prospettiva sono stati individuati quattro livelli – dal valore 0 al valore 3 secondo una scala crescente, da uno stadio preliminare a quello più avanzato e, di conseguenza, più maturo e completo in termini di sicurezza. Molto sinteticamente, gli scenari corrispondenti ad i singoli livelli sono descritti nel seguito.

Livello 0 – Preliminare

Denota un contesto in cui le problematiche inerenti al supporto digitale sono ancora affrontate separatamente nei vari contesti operativi, secondo criteri e soluzioni frammentate per i singoli dispositivi (essenzialmente quelli centralizzati), senza una visione integrata nell’azienda e delle diverse prospettive del rischio.

Livello 1 – Iniziale

Denota un contesto in cui l’azienda dimostra sensibilità e di aver cominciato ad affrontare in modo organico le problematiche inerenti alla sicurezza ed alla protezione dei dati anche in un contesto integrato con dispositivi medici.

Le conseguenti caratteristiche operative sono però ancora ancora ad uno stato iniziale, circoscritte ad un numero limitato di settori e di processi, principalmente per quanto riguarda i dispositivi centralizzati. L’infrastruttura tecnologica presenta fattori di elevata criticità.

Livello 2 – Intermedio

Denota un contesto in cui l’azienda dimostra di affrontare in modo organico le problematiche inerenti alla sicurezza ed alla protezione dei dati nella gestione nella gestione del contesto integrato con dispositivi medici.

L’organizzazione della gestione è omogenea e sono presenti caratteristiche implementative in grado di contribuire alla sicurezza dei dati e dei processi anche mediante la centralizzazione di informazioni, regole e funzionalità.

Il contesto presenta tuttavia ancora fattori di rischio non trascurabili: le attività di gestione e controllo sono focalizzate sui dispositivi centralizzati e -non totalmente- sui dispositivi condivisi, una elevata percentuale di dati permane stabilmente sui dispositivi condivisi (senza particolari misure di protezione) e l’infrastruttura di comunicazione presenta ancora alcuni aspetti di criticità.

Livello 3 – Avanzato

Denota un contesto in cui l’azienda affronta in modo organico le problematiche inerenti alla sicurezza, tenendo in forte considerazione anche le problematiche relative al supporto integrato a processi clinici ed operando secondo un approccio propositivo, di monitoraggio, pianificazione e di continuo miglioramento.

La gestione dei dispositivi centralizzati e condivisi, ed -in parte- anche di quelli individuali avviene secondo criteri omogenei, sia pur a livello implementativo diverso nei diversi settori.

Sono presenti (sia pur a livello diverso nei vari contesti) caratteristiche implementative e procedure operative in grado di contribuire alla sicurezza dei processi ed alla protezione dei dati, anche mediante la centralizzazione di informazioni, regole e funzionalità di uso comune, e l’esistenza di meccanismi di protezione sui singoli dispositivi. L’infrastruttura tecnologica di comunicazione non presenta elementi di particolare criticità.

Sono inoltre presenti meccanismi proattivi per l’evidenziazione automatica di situazioni di rilevanza e per la prevenzione del rischio sia a livello funzionale che tecnologico.

I risultati dell’indagine ALTEMS

Partendo da questo modello, è stata condotta una indagine, cui hanno partecipato 112 strutture ospedaliere dalla quasi totalità delle regioni italiane, che hanno fornito informazioni (per un totale di oltre 17.000 dati raccolti) sulle caratteristiche del loro sistema informativo e dei dispositivi medici connessi.

Figura 6

I principali ambiti di utilizzo dei dispositivi, all’interno dell’organizzazione ed in contesti di telemedicina, sono rappresentati in figura 7.

Figura 7

Dal punto di vista organizzativo, è innanzi tutto da osservare come -a livello complessivo- in circa il 70% dei casi non esista una collaborazione formalizzata fra le funzioni responsabili della sicurezza del sistema informativo e quelle responsabili del rischio clinico.

Relativamente ai dispositivi, l’attenzione agli aspetti di rischio e la gestione della sicurezza nei dispositivi (in particolar modo quelli condivisi ed individuali) sono di gran lunga inferiori rispetto a quanto presente nel sistema informativo.

Questa situazione è riscontrata relativamente tutte le tipologie di rischio analizzato. In particolare va evidenziato come la diversità dei prodotti e delle tecnologie, insieme alla non integrazione e modalità di gestione frammentata specialmente per quanto riguarda i dispositivi condivisi ed individuali, renda molto alta la percentuale dei casi in cui si riscontra anche un forte rischio in termini di rischio clinico e protezione dei dati personali, in termini di

  • assenza di procedure formalizzate a livello organizzativo circa le modalità di comportamento e di controllo relativamente ai dati acquisiti e gestiti,
  • assenza di procedure di verifica periodica del rischio,
  • mancanza di controlli (a volte impossibili, stante la distribuzione logistica dei dispositivi e la loro non integrazione con il resto del sistema) per quanto riguarda la non diffusione di credenziali

Figura 8 – alcuni indicatori di rischio dipendenti dagli aspetti organizzativi

Questa minore attenzione dell’organizzazione verso i dispositivi condivisi ed individuali si traduce anche in maggiori rischi sotto il profilo informativo, funzionale e tecnologico.

Aspetti informativi

I dati acquisiti dai dispositivi condivisi che vengono integrati nel sistema informativo sono in quantità nettamente inferiore di quanto avviene per i dispositivi centralizzati, per giungere ad una percentuale trascurabile nel caso di dispositivi individuali. Parallelamente rimane alta la percentuale dei dati che rimangono registrati permanentemente sui dispositivi condivisi e individuali.

Questi aspetti determinano sia limitazioni in termini di disponibilità di informazioni complete a supporto delle attività cliniche in tutta la struttura (con conseguenti rischi per la salute del paziente), sia rischi in termini di protezione dei dati, stante la bassa integrazione dei dispositivi condivisi e individuali con il sistema informativo e la loro intrinsecamente maggiore vulnerabilità in termini di gestione e controllo.

Inoltre, sui dispositivi condivisi ed individuali sono poco presenti meccanismi di associazione sicura dell’identità del paziente ai dati rilevati e funzionalità in grado di evidenziare situazioni di allarme.

Aspetti funzionali

I dispositivi condivisi ed individuali presentano elevati livelli di rischio nella gestione delle attività e nella protezione e sicurezza dei dati, in particolare:

  • è molto alta l’assenza di meccanismi di autenticazione e di abilitazione centralizzata nell’accesso;
  • è molto alta l’assenza di meccanismi di log delle attività effettuate dagli utenti;
  • sono praticamente assenti meccanismi in grado di tenere traccia della storia dei dati raccolti e di ripristinare versioni precedenti (questo unito al fatto che gran parte delle informazioni rimangono stabilmente registrate sul dispositivo).

Aspetti tecnologici

Per quanto riguarda le caratteristiche dell’infrastruttura:

  • in oltre il 10% dei contesti non viene gestito un inventario dei componenti collegati alla rete (come sarebbe peraltro richiesto dalle normative AgID);
  • la continuità di esercizio non è assicurata in circa il 15% dei casi ed è garantita solo per le aree critiche (Pronto soccorso, rianimazione, sale operatorie, etc.) in solo il 60% dei casi e solo per il sistema informativo ed i dispositivi centralizzati. Questa percentuale scende a meno del 20% dei casi per i dispositivi condivisisi ed in meno dell’8% dei casi per i dispositivi individuali.

Anche l’operatività dei dispositivi condivisi ed individuali presenta livelli di rischio più elevati:

  • è molto alta l’assenza di meccanismi identificazione e rimozione di software dannosi;
  • è molto alta l’assenza di protocolli protetti per la comunicazione sulla rete;
  • è molto alta (ovvero poco controllata) la possibilità di comunicazione autonoma con l’esterno (ad esempio mediante modem locali), il che amplifica i rischi riscontrati in termini di assenza di meccanismi centralizzati di identificazione ed autenticazione.

I dati raccolti dai 112 ospedali partecipanti all’indagine sono stati analizzati secondo gli indicatori ed organizzati nell’ambito del modello di maturità. Mediante tale elaborazione si è ottenuta la classificazione dei livelli di sicurezza nelle strutture sanitarie come rappresentata in figura 7.

Come evidenziato, la composizione del campione, sia in termini geografici che di tipologia di aziende sanitarie è rappresentativa della realtà nazionale. L’applicazione del modello di maturità rappresenta pertanto una fotografia ragionevolmente significativa del livello di sicurezza dei dispositivi sanitari nel contesto dei sistemi informativi delle aziende sanitarie italiane.

Va comunque considerato che le strutture che hanno partecipato all’indagine sono probabilmente caratterizzate da una maggiore sensibilità verso le problematiche della sicurezza. La percentuale delle strutture classificabili secondo livelli di minore maturità può pertanto essere, nella realtà, superiore a quella evidenziata dall’indagine.

Figura 9

____________________________________________________________________

  1. Ferrara, “ICT e HTA: il ruolo dell’HTA nella valutazione dei sistemi informativi sanitari”; IX congresso SIHTA, Ottobre 2016
  2. Ferrara F.M., Cicchetti A., “I sistemi informativi e l’Health Technology Assessment”, Progettare per la Sanità, Novembre 2016
  3. Ferrara F.M., Pillon S. “Medicina Digitale – Sicurezza per il medico e per il paziente”, Progettare per la Sanità, Settembre 2016
  4. https://altems.unicatt.it/altems-i-sistemi-informativi-sanitari-per-il-governo-dell-organizzazione-analisi-della-sicurezza
  5. https://altems.unicatt.it/altems-i-sistemi-informativi-sanitari-per-il-governo-dell-organizzazione-hissa-md
WHITEPAPER
IoT Security: i fattori prioritari e i modelli da considerare nelle valutazioni dei rischi
IoT
Legal

@RIPRODUZIONE RISERVATA

Articolo 1 di 2