Nuova metodologia di valutazione di conformità al nuovo regolamento sulla protezione dei dati personali (GDPR) e compilazione del framework NIS delle apparecchiature elettromedicali : l'esperienza presso le unità operative di Ostetricia e Ginecologia del presidio ospedaliero di Busto Arsizio dell'ASST Valle Olona

Technological progress affects different fields in recent decades, including healthcare. If on the one hand it has resulted in many public health benefits with automation of processes, increased efficiency and effectiveness of care and a significant reduction in costs, on the other it has caused an increasing number of organisational and IT risks. Over time electromedical equipment becomes a valuable repository of patients' personal and health data, but it is exposed to information-related dangers such as data loss, virus hacking or computer damage, data alteration, lack of back-up systems and measures for the security of privacy. The solutions must be organizational and technical, but also cultural and applicative, to act on all levels of the organization, starting from the increase of the culture of accountability, promoted by the new EU Regulation n. 679/2016 on the Protection of Personal Data (GDPR), and the increase of cybersecurity, promoted by the NIS (Network Information Security) Directive. Azienda Socio - Sanitaria Territoriale Valle Olona, including the hospital of Busto Arsizio, Gallarate, Saronno and Somma Lombardo, introduces a methodology aimed at the protection of personal and health data which provides for the evolution of the Register of Treatments with the inclusion of content closely related to data recorded by electromedical equipment, defining the devices involved and the measures to be implemented to ensure safety according to GDPR. ASST, as provider of essential services such as health and social-health services in 32 cities, takes at the same time steps to compile the NIS Framework for the census of all medical and application equipment used for the provision of Network-dependent Essential Services. The internal processing controllers from different operating units is involved in the census of electromedical equipment that include entering personal data by filling out a Register tab designed by the corporate Privacy Committee to assess conformity with the EU Regulation. This tab is also useful in NIS Framework filling. The data sheet enables Privacy Committee to uniquely identify each treatment process and the defined information are: the type of treatment, the methods for circulating information (paper or computer), the categories of processed data, the categories of recipients of data, any transfer to third countries, the processing methods, the taken security measures, the management time for each of the types of identified processing, the already implemented network connection and security measures in the department. The Register tab filling is included in a training course that involves 68 professionals with census of 191 devices. From the beginning of the project, the varied technological compound shows a complexity of management of such devices. The main problems are: the variable age of devices so that the managing health data potential are not always known; the limited computer skills of health professionals to functions that do not directly affect the clinical use of the equipment; the large amount of data that can usually be obtained by the use of electromedical equipment. In particular, in relation to the technological evolution of the instrumentation, the Privacy Committee identifies different levels of compliance of the surveyed devices with the GDPR and it agrees to introduce some safety measures that can be different according to the methodology used between "privacy by design" and "privacy by default". In this specific thesis the Operational Unit of Gynaecology and Obstetrics of the hospital of Busto Arsizio is selected to identify the potentialities of the Register tab and to propose an example of the obtained results, with implementation of the NIS Framework. The analyzed O.U. consists of gynaecology surgery, obstetric-gynaecological triage, hospitalization department and delivery room. The surveyed devices are: five echographer, one hysteroscope, one colposcope, eleven electronic fetal monitor, two cardiotocographic unit (connected to fetal monitors), an electrocardiogram and a haemogasanalyser. From the tab, a preference of the paper method of external data circulation is emerged for the visibility to external structures in case of advising or transfer of the patient or the newborn, while the data circulation inside the U.O. is usually in computer mode, therefore through device. The processed data are exclusively personal, biometrics and related to health, such as cardiotocographic, electrocardiographic and ultrasound images. The treatment modalities shows a data storage and management on the equipment, sometimes it is possible to compare and preserve in time, in relation to the medical device storage. Simultaneously to informatic management, the data are inserted in the patient’s medical records and stored in the archive of the hospital. Many analysed devices is connected to network (65%), but the connection is often established for remote maintenance reasons or, such as fetal monitors, for data transmission to the monitoring unit, without connection to a database. There are different data management processes in relation to the technological evolution of the device and it is necessary to identify customized safety measures for each device. The need for a centralized management of the flow of information for devices connected to network is clear: the implementation of a MIS system, maternal Information System, developed similarly to the RIS system, to ensure the traceability of information and intensify data processing control can be the solution. For not connected equipment, safety measures may be control measure, such as placement in locked or with input codes rooms, or authentication systems for access to the equipment database. In the logic "privacy by design", ASST establishes a check list to be included in the tender documentation during the acquisition of new electromedical device as a tool to assess the impact of the introduction of safety measures in the company organisation, in compliance with GDPR requirements and in harmony with the company’s IT infrastructure. A positive note is the great support for the project of health professionals, which highlight a particular attention to the protection of computerized data. The Register tab is also useful in compiling the NIS Framework, allowing to identify the equipment that depends on a network and the classes of essential services for which these devices are essential. The methodology applied in ASST Valle Olona makes the register of treatments and the NIS Framework update possible, including closely linked to the use of medical equipment treatments, it improve the accountability culture of the treatment controllers by stimulating them to recognize the potential of the managed data and it permits to identify the essential devices and applications that need specific cybernetic security.

Il progresso tecnologico negli ultimi decenni ha influenzato molti settori tra cui quello sanitario. Se da una parte questo ha comportato molti benefici per la salute pubblica con automatizzazione della maggior parte dei processi, l’aumento dell’efficienza e dell’efficacia delle cure e una diminuzione consistente dei costi, dall’altra ha comportato un crescente aumento dei rischi di natura organizzativa e informatica. Le apparecchiature elettromedicali sono diventate nel tempo un archivio prezioso di dati personali e sanitari dei pazienti, esposto però a pericoli di natura informativa quali la perdita di dati, l’hackeraggio per virus o per danneggiamento informatico, l’alterazione del dato, la mancanza di sistemi di back-up e di misure di sicurezza per la tutela della privacy. Le soluzioni a questo problema devono essere di natura organizzativa e tecnica, ma anche culturale e applicativa, per agire su tutti i livelli dell’organizzazione, partendo dall’incremento della cultura dell’accountability, promossa dal nuovo Regolamento UE n.679/2016 sulla Protezione dei Dati Personali (GDPR), e della cybersecurity, promossa dalla Direttiva NIS (Network Information Security). L’Azienda Socio-Sanitaria Territoriale Valle Olona, comprendente i Presidi Ospedalieri di Busto Arsizio, Gallarate, Saronno e Somma Lombardo, ha introdotto una metodologia finalizzata alla tutela del dato personale e sanitario che ha previsto l’evoluzione del Registro dei Trattamenti con l’inserimento di contenuti strettamente legati ai dati registrati dalle apparecchiature elettromedicali, definendo i dispositivi coinvolti e le misure da implementare per garantire la sicurezza secondo i principi del GDPR. L’ASST, in veste di erogatore di Servizi Essenziali quali prestazioni sanitarie e sociosanitarie di 32 comuni, si è attivata nel contempo alla compilazione del Framework NIS per il censimento di tutte le apparecchiature biomedicali e applicativi utilizzati per l'erogazione di Servizi Essenziali dipendenti da una rete. I Responsabili Interni dei trattamenti di 49 Unità Operative sono stati coinvolti nel progetto tramite compilazione di una Scheda Registro in forma tabellare ideata dal Comitato Privacy aziendale per facilitare il censimento dei dispositivi elettromedicali che prevedono inserimento di dati personali e valutare la rispondenza ai requisiti della normativa. Questa si è rivelata utile anche per la compilazione del Framework NIS. La scheda di rilevazione ha permesso di identificare in modo univoco ciascun trattamento, da cui sono stati definiti: la tipologia di trattamento, la modalità di circolazione del dato (cartacea o informatica), la finalità a garanzia del principio di liceità della gestione dei dati, le categorie di dati trattati, le categorie di destinatari di dati, l’eventuale trasferimento verso Paesi terzi, le modalità di trattamento, le misure di garanzia adottate, il tempo di gestione per ciascuna delle tipologie di trattamento identificate, l’eventuale connessione a rete e le misure di sicurezza già implementate in reparto. La compilazione della scheda è stata inserita all’interno di un corso formativo che ha coinvolto 68 professionisti con censimento di 191 dispositivi. Fin da principio il variegato complesso tecnologico dell’azienda ha evidenziato una complessità di gestione di tali macchinari. Le principali problematiche emerse sono: l’età variabile del parco macchine tale per cui di alcuni dispositivi non è nota la potenzialità in materia di gestione dei dati sanitari; la limitata conoscenza informatica del personale sanitario riguardo a funzionalità che non riguardano direttamente la destinazione d’uso clinica dell’apparecchiatura; la grande quantità di dati acquisibili abitualmente mediante l’uso di apparecchiature elettromedicali. In particolare, in relazione all’evoluzione tecnologica della strumentazione, il gruppo di lavoro ha identificato diversi livelli di conformità al GDPR dei dispositivi censiti e ha stabilito di introdurre una serie di misure di sicurezza, differenti a seconda della metodologia utilizzata tra “privacy by design” e “privacy by default”. Sulla base delle Schede Registro raccolte dalla S.C. di Ginecologia e Ostetricia del Presidio Ospedaliero di Busto Arsizio, in questa tesi è stata valutata la potenzialità della metodologia utilizzata e, tramite analisi delle schede e tramite sopralluoghi, sono state individuate le misure di sicurezza da implementare nel reparto di interesse. I dispositivi censiti sono stati poi classificati tramite Framework NIS. L’U.O. analizzata è costituita dall’Ambulatorio di Ginecologia, Triage Ostetrico-ginecologico, Degenza e Sala parto. I dispositivi censiti presso la Struttura Complessa sono: cinque ecotomografi, una colonna per Isteroscopia, un Colposcopio, undici monitor fetali, due centrali di monitoraggio (connesse ai monitor), un elettrocardiogramma e un emogasanalizzatore. Dalle schede è emersa una preferenza della modalità di circolazione cartacea del dato tramite stampa di referto per la visibilità del dato a strutture esterne per consulenza o trasferimento della paziente o del neonato, mentre la circolazione del dato interno all’U.O. solitamente è in modalità informatica, quindi tramite apparecchiatura. I dati trattati risultano essere esclusivamente dati personali, biometrici e relativi alla salute, come tracciati cardiotocografici, elettrocardiografie e immagini ecografiche. Le modalità di trattamento hanno evidenziato un’archiviazione e gestione del dato prevalentemente sull’apparecchiatura, talvolta è possibile raffronto e conservazione per tempo, in relazione a back-up interno al dispositivo. Parallelamente alla gestione informatica, i dati sono inseriti nella cartella clinica cartacea della paziente e conservati nell’archivio del presidio. Molte apparecchiature tra quelle analizzate sono risultate connesse a rete (65%), ma la connessione è stabilita spesso solo per motivi di manutenzione in remoto o, come nel caso dei monitor fetali, per trasmissione dati alla centrale di monitoraggio, senza connessione ad un database. Sono presenti differenti processi di gestione del dato, anche in relazione all’evoluzione tecnologica del dispositivo ed è risultato necessario identificare le misure di sicurezza ad hoc per ogni apparecchiatura della realtà identificata. La necessità di un sistema informativo per la gestione centralizzata del flusso di informazioni relativo alla refertazione per dispositivi connessi a rete è risultato evidente: la soluzione potrebbe essere l’implementazione di un sistema MIS, Maternal Information System, sviluppato similmente al sistema RIS, per garantire la tracciabilità delle informazioni e intensificare il controllo sul trattamento dei dati, in un’ottica di accountability. Per le apparecchiature che non possiedono connessione a rete, come i tre ecotomografi dell’ambulatorio di ginecologia, le misure di sicurezza possono essere contenitive, come il posizionamento in locali chiusi a chiave o con codici di ingresso, sistemi di autenticazione per l’accesso al database dell’apparecchiatura. Nella logica “privacy by design” l’ASST ha stabilito una check list da inserire nella documentazione di gara in fase di acquisizione di nuove strumentazioni elettromedicali come strumento utile a valutare l’impatto dell’introduzione delle misure di sicurezza nell’organizzazione aziendale, nel rispetto dei requisiti del GDPR e in armonia con l’infrastruttura informatica aziendale. Un dato molto positivo si è rivelato anche la grande adesione al progetto dei professionisti sanitari, che ha evidenziato una peculiare attenzione alla protezione del dato informatizzato. La Scheda Registro è stata utile anche nella compilazione del Framework NIS, permettendo di individuare le apparecchiature che dipendono da una rete e le Classi di Servizi essenziali per cui questi dispositivi risultano fondamentali. La metodologia applicata al contesto dell’ASST Valle Olona ha consentito di aggiornare il Registro dei trattamenti e il Framework NIS includendo anche i trattamenti strettamente legati all’utilizzo della strumentazione sanitaria, di migliorare la cultura di accountability dei Responsabili dei trattamenti stimolandoli a riconoscere le potenzialità dei dati gestiti e di identificare i dispositivi e gli applicativi essenziali che necessitano di particolare sicurezza cibernetica.