CISO: la sicurezza documentale NON è solo security!

CISO in Sanità

CISO: la Sicurezza del Sistema Informativo non dipende solo da lui e dal DPO! In questo articolo ti parlo del terzo pilastro dei sistemi informativi ospedalieri, di cui nessuno – incredibilmente – parla MAI

Oggi parliamo di questioni di CISO.

Perché, spesso, ci si limita a parlare della figura del CISO (Chief Information Security Officer), piuttosto che del DPO, per fare riferimento a quelle figure a cui affidare la responsabilità della Sicurezza del Sistema Informativo ospedaliero.

Autore: Nicola Savino Tempo di lettura: 5 minuti

Ma questo è un incredibile errore, ti spiego il motivo:

Per mettere in sicurezza un sistema informativo, non hai da superare solo il problema della Cyber Security, o del trattamento dei dati, ma anche il problema della Compliance dei documenti!

Pensaci un attimo: uno dei ruoli chiave di un Sistema Informativo è fornire asset per la generazione, e l’elaborazione, di documenti.

Sistemi oggi indispensabili per il funzionamento di qualsiasi centro dedicato alla cura della persona: sia esso una clinica, un poliambulatorio, un’azienda ospedaliera pubblica e così via.

Perché, senza questi asset, oggi qualsiasi organizzazione sanitaria perde in produttività e competitività. E se una frase del genere, fino a febbraio 2020, poteva trovare in Italia mille obiezioni e suscitare mille perplessità, oggi è evidente che non sia più così.

Dal Covid in poi, il bisogno di digitalizzare e disintermediare processi sanitari è diventato impellente.

Un documento digitale è fruibile da più persone contemporaneamente, cosa che la carta non rende possibile.

Un documento digitale può essere consultato da più posti contemporaneamente, cosa che il cartaceo non rende possibile.

Un documento digitale può essere arricchito di tecnologie, come l’intelligenza artificiale e le automazioni, per limitare errori, procedure manuali e ripetitive, cosa che è impensabile con i fogli di cellulosa.

Se pensi alla Cartella Clinica, o ai processi di refertazione, o ancora ai registri operatori, la digitalizzazione può portare straordinari vantaggi in termini di efficienza e produttività.

Fine delle banalità.

Ora parliamo delle cose serie.

Perché quando un documento completa il suo ciclo di vita, quando – ad esempio – un paziente viene dimesso, la funzione di quello stesso documento cambia completamente il suo significato e il suo valore, all’interno dell’organizzazione.

Questa è la fase in cui la Cartella Clinica, il referto, il registro di sala operatoria e tutti gli altri “allegati” che concorrono alla creazione di un Dossier del paziente, entrano a far parte di ciò che noi in Clinica Digitale chiamiamo “il Patrimonio Documentale”

Una volta chiusi, questi documenti assumono una funzione “statica”: diventano elementi storicizzati, chi per 10 anni (come nel caso dei referti), chi PER SEMPRE, come la Cartella Clinica che non ha termini di conservazione. Cioè, deve essere tenuta dalla struttura “in eterno”.

Il valore di questi documenti, in buona parte, esce dagli schemi di produttività ed efficienza organizzativa, se non per quelle minime parti che possono essere “riusate” con finalità di ricerca e di apprendimento delle nuove tecnologie deputate al perfezionamento dei processi decisionali del medico.

Ma, tolto questo, il valore reale del documento archiviato diventa quello di proteggere la struttura sanitaria, attraverso il valore probatorio delle informazioni in esso contenuto

Il valore reale del documento archiviato diventa quello di proteggere la struttura sanitaria, attraverso il valore probatorio delle informazioni in esso contenuto. Lo ripeto volutamente, contravvenendo a tutte le forme stilistiche e agli standard di scrittura degli articoli da blog “quelli belli”.

Perché questo concetto va scritto sulla “prima pietra” di ogni sistema informativo. Specie in Italia, uno dei paesi con il maggiore “tasso di litigiosità” (come si dice in gergo “legalese”) del mondo.

Certo che anche questo ambito del Sistema Informativo deve essere protetto a livello di Cyber Security. Certo che le regole sul trattamento dei dati digitali, valgono anche in questa fase “dormiente” dei cicli di vita documentali in Sanità.

Ma, arrivati ad analizzare questa fase del processo, tutte le dinamiche che fanno capo alla responsabilità di un CISO e di un DPO, debbono essere già risolte a monte

Qui, infatti, esiste un altro livello FONDAMENTALE di controllo.

Quello che riguarda la Compliance Maintenance del documento, ovvero il monitoraggio del totale adeguamento normativo dei flussi documentali alle regole EIDAS, CAD, AGID, per garantire che quello stesso documento digitale si sia sviluppato assecondando TUTTE le normative.

Ovvero, tutte le materie che fanno capo ad una figura chiave, che è il Responsabile della Conservazione.

Da qui nasce l’esigenza il terzo pilastro dei sistemi informativi ospedalieri, da affiancare alle figure del DPO e del CISO

Il responsabile della conservazione è quindi il terzo pilastro del Sistema Informativo ospedaliero, che si pone al fianco di DPO e CISO per definire gli standard fondamentali, affinché i documenti digitali prodotti abbiano un valore probatorio inattaccabile.

I tre pilastri del Sistema Informativo

Questo farà tutta la differenza del mondo quando una cartella clinica, un referto, un registro operatorio prodotto in azienda finirà su qualche tavolo dove si sta disputando un contenzioso.

E tu sai bene quanto ci sia bisogno di preparare la tua struttura alla guerra dei contenziosi, dati i numeri sconfortanti che arrivano da ANIA.

Ecco perché la Document Compliance Risk non può essere scaricata sulle figure del CISO e del DPO

Le competenze che servono, a sostegno del terzo pilastro, sono completamente diverse.

Impossibile per CISO e DPO conoscerle tutte.

  • Non solo il Responsabile della Conservazione conosce tutta la teoria del caso. Non è solo un esperto di normative e di requisiti relativi alla formazione e alla tenuta del documento digitale
  •  Non solo conosce tutti i termini di conservazione delle diverse tipologie documentali
  • Non si parla solo di competenze legate alla teoria e alle questioni legali. Se no a scrivere questo articolo ci sarebbe l’ennesima figura di estrazione “avvocatese”, e non il sottoscritto
  • Il Responsabile della Conservazione non fa solo da parafulmine e da custode “teorico” del valore probatorio di tutti quei documenti che concorrono a proteggere la Direzione Sanitaria, e i legali rappresentanti, da enormi problemi legali e dalle aggressioni in arrivo – sottoforma di contenziosi – da parte di studi legali sempre più agguerriti.

Ma conosce – ed è detentore – delle tecniche e delle tecnologie per evitare (NEL MODO PIÙ ASSOLUTO) che il rispetto dei requisiti normativi sulla formazione del documento, e sulla sua tenuta legale, possa portare a rallentamenti e perdite di produttività, laddove il ROI di qualunque tecnologia si basa proprio sull’aumento della produttività e della velocità dei processi

Elementi che, per altro, sono alla base delle manovre evasive dei medici, quando si trovano costretti a rallentare troppo la loro attività per colpa della tecnologia, e iniziano allora a bypassarla creando dei processi deviati.

Come ad esempio, la pratica di apporre le firme digitali in un secondo momento, rispetto a quando chiudono il documento.

Oppure rispetto alla pessima tendenza a scambiarsi le firme. Tutte cose che, in presenza di processi e procedure macchinose e ingessate, succedono. Ed è inutile girarsi dall’altra parte e fare finta di nulla.

Identità Digitali, Certificati di Firma, Definizione dei Metadati e delle Modalità di Conservazione: tutto questo (e molto altro) fa capo al terzo pilastro del Sistema Informativo, e – nello specifico – al Responsabile della Conservazione

Troppe volte si fa confusione su questo punto.

Troppe volte leggo articoli, o sento discorsi, relativamente al fatto che la gestione delle identità digitali debba essere una prerogativa del CISO.

O, peggio ancora, del DPO.

Queste due figure ne hanno già abbastanza per i fatti loro di problemi, per mettersi a studiare se in un determinato ambito della cartella clinica serva una firma debole o una firma forte.

O quali tipologie di firme debbano essere destinate alle diverse Identità Digitali attribuite ai singoli key users.

O quali ricadute – positive o negative – possano esserci, in un determinato ambito di processo – nell’uso di una firma HSM, piuttosto che di una firma OTP.

Oppure ancora: quali sono possono essere le prospettive future di utilizzo della blockchain nei processi sanitari.

Queste cose un DPO, o un CISO non le possono sapere!

Non perché “siano stupidi”, non ne sto facendo certamente una lotta di classe!

Ma perché, a loro volta, queste figure si trovano a gestire un quadro normativo, e delle attività di ricerca e sviluppo, che sono talmente impegnative, che ci manca solo di affidare loro pure questa.

E poi ce li troviamo in giro per l’azienda a fare come Lino Banfi in “Avanti Cretino”, quando il protagonista, Pasquale Bautaffi, va a lavorare nella fabbrica delle schede elettroniche.

Clinica Digitale è la perfetta sintesi del terzo pilastro di un sistema informativo ospedaliero

Potrei chiudere questo articolo facendo finta di niente, lanciando il sasso e nascondendo la mano, come si fa in questi casi.

Ti prenderei in giro se ti dicessi che la missione divulgativa di questo documento potrebbe chiudersi qui.

Ad una mera opera di sensibilizzazione sul tema.

Ma anche qui ho deciso che è il caso di contravvenire agli standard di “scrittura disinteressata”, come va tanto di moda fare oggi nei blog.

Tutti a dare consigli, pareri e “pezzi di competenze”, facendo finta di farlo solo per portare un tema alla tua conoscenza. Tutti a fare finta che l’articolo non parli dell’autore e non sia un velato suggerimento atto a convincerti di rivolgerti a lui.

Io non ho nessuna intenzione di farti credere che non stia parlando di me e di Clinica Digitale®.

Vuoi chiamarlo marketing? Fai pure. Ma la realtà è un’altra.

Clinica Digitale® nasce proprio per fornirti una sintesi di tutte le competenze fondamentali oggi per sostenere il terzo pilastro del Sistema Informativo Ospedaliero:

  • esperti di normative di Document Compliance Risk
  • un ufficio legale composto da avvocati che hanno verticalizzato la loro carriera solo per fornire competenze in ambito digitale
  • esperti di processi ospedalieri, perché conoscere come funziona una struttura à fondamentale
  • soluzioni tecnologiche per andare oltre la consulenza, e trovare il “tuning” perfetto tra conformità documentale – a totale protezione della Direzione Sanitaria e dei legali rappresentanti – e produttività di medici e infermieri.

Quando, insieme a Nik Panzalis, abbiamo deciso di creare questa Business Unit, non l’abbiamo fatto perché obbligati dal medico.

Avevamo già un’azienda in crescita, con una sua unicità sul mercato della Digital Automation Trust.

È stato Nik a convincermi e a portarmi dentro questa avventura, perché stufo – già sette anni fa – di vedere come una mancanza di informazione, su certi argomenti, stesse portando le strutture di cura italiane verso la costruzione di un patrimonio documentale dal valore probatorio molto discutibile.

L’abbiamo fatto non solo per ragioni di Business (anche perché il mercato è tutt’altro che facile, visto da questa riva del fiume, ma penso che tu lo sappia già).

Ma perché eravamo ben consapevoli dello Tsunami che poteva abbattersi su un settore così importante, specie per la comunità italiana, caratterizzata da un andamento demografico per il quale la Sanità diventa importante come il petrolio.

Clinica Digitale®, nella sua essenza di sintesi delle competenze fondamentali per il terzo pilastro, serve proprio a facilitarti la vita.

Come avviene anche per il DPO e per il CISO, anche le competenze del terzo pilastro possono essere acquisite dall’esterno.

E, sempre come avviene anche in ambito Cyber Security e GDPR, l’autorevolezza di chi ti gestisce il terzo pilastro, aiuta tantissimo nel consolidamento di un Sistema Informativo.

Quando ti rapporti con il pool di fornitori per un progetto nuovo, quando ti rapporti con gli organi di controllo.

Far sapere a tutte queste realtà che a sostenere il terzo pilastro c’è un’azienda specializzata solo in questo, che gestisce ormai svariati centri di cura, e che – magari – i professionisti con cui ti rapporti hanno già visto all’opera, beh questo fa tutta la differenza del mondo.

Scopri come puoi innalzare, anche tu, il tuo terzo pilastro per arricchire i processi documentali ospedalieri con il know how tecnico e consulenziale indispensabile, per avere la certezza di costruire un patrimonio documentale dal valore probatorio inattaccabile.

E scopri quanto sei vicino o lontano dal perfetto bilanciamento tra Compliance e produttività facendo l’assessment gratuito Check Up Digitale.

Ultimo articolo

Cliniche da Incubo

Il primo manuale sulla Digitalizzazione “a norma” di cliniche e Poliambulatori