L’obsolescenza tecnologica in ambito sanitario: criticità e metodi di prevenzione
Le strutture sanitarie italiane affrontano sfide nella gestione dei dati sanitari di qualità, dovute a obsolescenza tecnologica e organizzativa. L’utilizzo di apparecchiature e software obsoleti compromette l’affidabilità dei dati e la sicurezza dei pazienti. La gestione della sicurezza dei dati è spesso inadeguata, con potenziali conflitti di interesse. L’Health Technology Assessment emerge come soluzione per valutare e migliorare tecnologie e processi: superare le resistenze al cambiamento è fondamentale per innovare e garantire un servizio sanitario efficiente e conforme alle normative vigenti.
Il dato sanitario come fulcro delle attività sanitarie
Il dato sanitario è l’insieme delle informazioni utili a rivelare lo stato di salute di una persona ed è costituito da informazioni anamnestiche, risultati di esami strumentali o di laboratorio, immagini diagnostiche, referti ed altre informazioni sensibili. Esso, per sua stessa natura, rappresenta il fulcro delle attività delle strutture sanitarie. Le organizzazioni sanitarie, in un’ottica di miglioramento continuo, devono fornire al cittadino un dato di qualità, ovvero affidabile, sicuro e facilmente fruibile. Gli obiettivi sopraindicati, nel panorama italiano, vanno inoltre perseguiti con scarse risorse, all’interno di un quadro normativo e tecnologico in continuo cambiamento.
Le organizzazioni sanitarie sono pertanto chiamate a standardizzare e a semplificare i processi, individuando chiari obiettivi specifici, perseguibili e monitorabili nel tempo. Uno di questi è sicuramente l’individuazione e la dismissione di tecnologie e di processi obsoleti. Questi ultimi, infatti, non solo ostacolano la standardizzazione e la semplificazione dei processi, ma aggiungono inevitabilmente complessità, eccezioni e ridondanze nelle organizzazioni sanitarie con conseguente aumento di rischi e costi.
Esempi di obsolescenza tecnologica nelle strutture sanitarie italiane
Il quadro di ristrettezze economiche sopracitato tende a prolungare il ciclo di vita di tutte le attrezzature sanitarie. Un tipico esempio in tal senso è fornito dalla dotazione di ecografi e di apparecchiature radiologiche. I primi sono largamente utilizzati in tutte le strutture sanitarie italiane, all’interno delle quali la presenza di sistemi obsoleti risulta particolarmente significativa. Utilizzare ecografi obsoleti significa abbassare l’accuratezza diagnostica e conseguentemente l’affidabilità del dato sanitario. La bassa qualità delle immagini richiede poi la ripetizione di esami con spreco di risorse gestionali ed economiche.
Le considerazioni sopra riportate sono valide anche per le apparecchiature radiologiche datate. Oltre al basso contenuto informativo delle immagini, apparecchi obsoleti rendono difficoltosa la registrazione dei dati relativi ad ogni singolo esame, come richiesto dalla Direttiva 59/2013 in ambito radioprotezionistico. Questi dovranno pertanto essere trascritti manualmente, con inevitabile aggiunta di eccezioni nei processi e possibilità di errori da parte degli operatori sanitari.
Un terzo esempio di criticità molto diffusa all’interno delle strutture sanitarie italiane è rappresentato dalla componente software. Quest’ultima, in particolare, può risultare come una obsolescenza tecnologica in tempi molto brevi qualora si verifichi almeno una delle seguenti condizioni:
- il framework di sviluppo del codice sorgente non è manutenuto o non è manutenibile;
- il codice sorgente è scritto in un linguaggio di programmazione fuori dagli standard e quindi difficilmente utilizzabile;
- i fornitori forniscono prodotti non conformi;
- le soluzioni software sono home made: sviluppate in casa da singoli professionisti al di fuori di un team dedicato.
In tutti i casi sopracitati di obsolescenza tecnologica del software, le ripercussioni sono evidenti a livello di mancata standardizzazione e di semplificazione dei processi all’interno delle strutture sanitarie. Un software obsoleto espone inoltre l’organizzazione ad ulteriori rischi come lo SPOF – Single Point of Failure.
Obsolescenza organizzativa nella gestione della sicurezza dei dati sanitari
Oltre ai casi di obsolescenza tecnologica sopra riportati, vanno anche ricordati quelli di natura organizzativa. Un tipico esempio in tal senso è dato dalla gestione della sicurezza del dato sanitario, materia più volte riesaminata dal legislatore. Il quadro normativo in continuo cambiamento rende difficoltosa la gestione organica e a lungo termine del dato clinico. Come conseguenza, i singoli professionisti che operano all’interno delle organizzazioni sanitarie, spesso considerano la protezione dei dati degli assistiti un ostacolo all’erogazione tempestiva delle procedure cliniche. Gran parte delle strutture sanitarie nazionali delegano quindi al solo CIO la responsabilità delle politiche di sicurezza delle informazioni.
Il CIO, tuttavia, non è in grado di svolgere da solo questo compito: la sua missione consiste nell’assicurare l’erogazione dei servizi in termini di automazione, innovazione ed efficienza, e non nel definire, da solo, le politiche aziendali sulla sicurezza del dato. Affidare al solo Chief Information Officer (CIO) la gestione della sicurezza del dato sanitario è in palese contraddizione con lo standard di sicurezza ISO27001 e con il General Data Protection Regulation 2016/679 (Art. 38, comma 6) che vietano espressamente di delegare la protezione del dato a figure soggette a potenziali conflitti di interessi, secondo il principio della Separazione dei Compiti (Segregation of Duties).
Il raggruppamento di compiti e responsabilità di diversa natura in capo ad un’unica persona od unità organizzativa, infatti, potrebbe permettere allo stesso attore di compiere errori, frodi e violazioni sui dati, trovandosi nella condizione di poter occultare l’atto compiuto ed esponendo l’azienda a gravi rischi.
Health Technology Assessment: una soluzione per migliorare la qualità dei dati sanitari
Fornire al cittadino un dato sanitario affidabile, sicuro e facilmente fruibile non può prescindere da una visione generale dei processi. Questi possono essere standardizzati e semplificati se le criticità, come quelle indicate nel precedente paragrafo a titolo esemplificativo, sono individuate, valutate e rimosse. Nello svolgimento delle attività di governance della sicurezza informatica, le organizzazioni sanitarie possono avvalersi dell’approccio metodologico dell’Health Technology Assessment (HTA). L’HTA è una metodica multidisciplinare che valuta gli effetti reali di una tecnologia e/o di un processo su più dimensioni come l’efficacia, la sicurezza, i costi, l’impatto sociale ed organizzativo.
In particolare, l’analisi HTA condotta su tecnologie e processi esistenti può evidenziare situazioni critiche, come ad esempio gli asset core elencati nel precedente paragrafo che, sebbene largamente utilizzati, potrebbero risultare superati ed inadeguati. L’eventuale disinvestment di obsolescenza tecnologica e dei processi, se condotto secondo i criteri HTA, migliora il servizio al cittadino aderendo alla normativa vigente. Con riferimento agli esempi del precedente paragrafo, è questo il caso della Direttiva Europea 59/2013 in ambito di radioprotezione: eliminare l’obsolescenza tecnologica delle apparecchiature radiologiche significa anche rimuovere le difficoltà nell’adempimento dello stesso.
Anche per quanto concerne la gestione della sicurezza del dato sanitario, l’approccio multidisciplinare dell’HTA risulta conforme alle indicazioni del General Data Protection Regulation 2016/679 (Art. 32, Sicurezza del trattamento) in relazione alla presenza di possibili conflitti di interesse.
Superare le resistenze al cambiamento per innovare le strutture sanitarie italiane
I dati sanitari sono trattati in un dominio tecnologico molto complesso che, oltre ad invecchiare velocemente, è spesso condizionato dalla presenza di eccezioni. Queste deroghe alla gestione standard dei processi aggiungono costi, complessità e ridondanze nel sistema, sempre a scapito del buon funzionamento delle organizzazioni sanitarie. Nel presente lavoro sono state descritte alcune criticità, legate a tecnologie e processi che, sebbene obsoleti, permangono all’interno delle strutture sanitarie. L’utilizzo appropriato dell’HTA fornisce uno strumento capace di intaccare queste fonti di inefficienze, rischi e sprechi.
L’attività da svolgere è sicuramente notevole. Ad accrescere le difficoltà stanno le immancabili resistenze, senza il cui superamento risulta impossibile innovare. Molto probabilmente, gran parte delle energie dovranno essere profuse nel rimuovere le opposizioni al cambiamento tecnologico e organizzativo, spesso legate all’esistenza di vincoli tecnico/operativi, ma anche ad insufficiente determinazione manageriale.
SUGGERIMENTI BIBLIOGRAFICI
Società Italiana Health Technology Assessment – http://www.sihta.it/
Osservatorio Europrivacy – http://europrivacy.info/it/
ENISA Risk of using discontinued software – https://www.enisa.europa.eu/publications/info-notes/flash-note-risks-of-using-discontinued-software
TIOBE – Programming Community index – http://www.tiobe.com/tiobe-index/
A cura di:
Dott. Giampaolo Franco – Azienda Provinciale per i Servizi Sanitari di Trento
Dott. Diego Trevisan – Azienda Provinciale per i Servizi Sanitari di Trento
Dott. Giovanni Maria Guarrera – Azienda Provinciale per i Servizi Sanitari di Trento