Fino a che punto è corretto attribuire al DPO la responsabilità del valore probatorio dei documenti digitali prodotti da una Clinica e da un Ospedale? La realtà dei fatti è che c’è ancora un sacco di confusione tra i compiti da attribuire alle varie figure di supporto del Sistema Informativo Ospedaliero: CISO, Document Compliance Officer e lo stesso DPO
Non posso crederci, ma devo tornare ancora sulla questione della figura del DPO nel quadro del Risk Management ospedaliero.
Mi tocca ripetere che il DPO, in sanità, è fondamentale. Ma non potrà mai aiutarti a confutare – da solo – ogni dubbio rispetto alla capacità del tuo Sistema Informativo di produrre, oppure no, cartelle cliniche, referti e documenti in generale dal valore probatorio sicuro e certificato.
Non potrà mai soprattutto dirti se, nel rispettare le normative sulla Document Compliance, ci siano processi e procedure che stanno rallentando la produttività dei medici, annullando i benefici portati dalla digitalizzazione in termini di processi organizzativi.
In questo articolo spiego come il DPO, in Sanità, ha bisogno di essere affiancato da un Document Compliance Officer che abbia alle spalle non solo un “set” di competenze, ma anche soluzioni tecnologiche per non disseminare i processi documentali di “burocrazia digitale”
Nicola Savino Tempo di Lettura: 4 minuti
Per cominciare: il ruolo (fondamentale) del DPO è di tipo consulenziale, è il supervisore della protezione dei dati. Il Document Compliance Officer fornisce, invece, un supporto tecnologico per semplificare e automatizzare i processi che servono a consolidare il valore probatorio CERTIFICATO di ogni documento sanitario prodotto
Se riusciamo, una volta per tutte, a mettere ordine in queste differenze, allora – forse – riuscirò a rilassarmi
Viceversa, fino a quando continuerà ad esserci questa enorme confusione sull’argomento, dovrò necessariamente continuare a ribadire il concetto come un martello pneumatico.
Ne va della sicurezza normativa di tutte le strutture sanitarie italiane.
E, con l’aria che tira – con i contenziosi in aumento esponenziale – non credo che questo argomento sia da valutare.
Il problema è che per la Documenti Compliance non c’è un’entità regolatrice, come può essere il garante per il gdpr
Per questo motivo non senti mai parlare di Document Compliance. E ogni volta che qualcuno ci prova, l’argomento viene subito – drammaticamente – confuso con le materie che parlano di protezione di dati e sicurezza informatica.
La Digital Compliance non fa rumore, come dico spesso, tuttavia può risolvere anche molti dei problemi che fanno capo alle responsabilità del DPO, facilitandogli enormemente la vita.
Ecco il perché di tanta insistenza.
La figura del Document Compliance Officer è in realtà di enorme aiuto sia per il Data Protection Officer che per l’azienda ospedaliera
Il DPO ha, nella sua sfera di competenze, una serie di responsabilità enormi sul fronte della Compliance connessa alla privacy e al trattamento dei dati.
Ma, senza il supporto complementare del Document Compliance Officer, questi controlli devono essere gestite in modo “analogico”, facendo leva – cioè – prevalentemente sui vari cicli di audit.
Deve controllare l’effettiva attuazione di tutte le normative, deve fare continue valutazioni d’impatto a ogni avanzamento tecnologico compiuto dalla struttura, fare sorveglianza sull’effettiva attuazione degli adempimenti, calcolare continuamente i rischi connessi al trattamento dei dati, in relazione alle loro finalità.
Ribadisco: tutto questo è fondamentale, ma con un Document Compliance Officer al proprio fianco, l’attività del DPO si semplifica in modo molto marcato.
Perché è la figura del Document Compliance Officer a prendersi in carico la certificazione del valore probatorio dei documenti prodotti dal Sistema Informativo.
Almeno per la parte legata ai processi documentali, il DPO viene de-responsabilizzato dal compiere immani sforzi nel controllare “a vista” la conformità normativa di quello che si sta facendo.
Al tempo stesso, i benefici ricadono anche sulla struttura.
Perché tutti gli aspetti tecnico-normativi, agganciati alla produzione di documenti digitali- come l’apposizione delle firme digitali, la scelta dell’utilizzo di firma debole e firma forte, le tematiche infinite correlate alla disamina dell’uso di firma Cades e Pades – sono tutte questioni che vengono risolte dall’intelligenza artificiale, e dagli algoritmi che il Document Compliance Officer introduce all’interno del Sistema Informativo.
Clinica digitale è la struttura che abbiamo creato appositamente per rendere più efficace il lavoro del dpo e al tempo stesso per rendere ancora più efficiente il sistema informativo ospedaliero, velocizzandone i processi documentali e prendendoci totalmente carico della componente normativa
Purtroppo, sono tematiche di cui non senti parlare, per i motivi che dicevo prima: non c’è un garante della Document Compliance, non c’è un ente che ti mette pressione, obbligandoti ad inserire nella tua “checklist” di priorità anche questa tematica.
Però lo scotto di un Sistema Informativo, non totalmente coperto da questo punto di vista, lo paghi in modo potenzialmente ancora più salato rispetto alle eventuali sanzioni del garante.
Perché se non affidi tutte le variabili di Compliance Documentale a un team che fa solo questo, e a tecnologie basate su algoritmi e intelligenza artificiale, succederanno queste cose:
- Per ottemperare comunque alle normative dettate da CAD, AGID, EIDAS, ecc. dovrai riempire il processo documentale che fa capo a medici e infermieri di procedure e dispositivi: smartcard, chiavette usb, password OTP
- Tutto questo rallenta i processi, il che è una contraddizione enorme rispetto al senso che deve avere la digitalizzazione. Cioè: semplificarli, renderli più veloci, eliminare le attività ripetitive da gestire manualmente
- Il digitale verrà odiato dal personale sanitario, che tenterà la strada dell’anarchia e cercherà di aggirare policy e processi organizzativi disegnati attorno al digitale, per poter lavorare liberamente senza passare minuti o ore a digitare password e OTP su uno schermo ad ogni transazione
- Il DPO passerà al setaccio ogni elemento aggiuntivo che vorrai integrare all’interno del Sistema Informativo, dovrà ponderare tutti i rischi connessi alla gestione di processi documentali impattati dalla nuova tecnologia che vuoi introdurre, quando invece il suo lavoro potrebbe benissimo focalizzarsi su altri aspetti da controllare, in particolare tenere sempre sotto controllo la sicurezza dei dati sensibili dei pazienti e del personale, e le policy per assicurare la continua maintenance di questa sicurezza
Il tuo sistema informativo è sicuro rispetto alla Compliance Documentale?
Scoprilo con l’auto check up al link qui sotto