RISK MANAGEMENT, COMPLIANCE E GDPR: ORA BASTA!

Risk Management

Ogni discussione su metodologie di Risk Management, di audit e analisi della Digital Compliance finisce sempre con il concentrarsi esclusivamente sul GDPR: ma la conformità del Sistema Informativo non si ferma solo al trattamento dei dati! Ben più importanti sono i documenti

Affidare l’analisi del Risk management documentale a dei consulenti “generalisti “, per quanto bravi e preparati, può essere estremamente penalizzante.

Sento molti IT Manager del settore sanitario che si lasciano confondere, e si rilassano, dietro alla stipula di varie polizze assicurative connesse ai diversi livelli di GDPR Compliance Risk e sicurezza dei dati.

Ma a cosa mi riferisco quando parlo di “consulenti generalisti”?

Ci arriverò tra un attimo.

Non prima di averti ricordato che, in sanità, gli errori – in termini di Compliance – si pagano anche con pesanti strascichi penali per i quali non c’è assicurazione che tenga (ma anche su questo punto mi soffermo tra un minuto)

Non esiste un budget allocabile per risolvere il problema di una Direzione Sanitaria, di una Direzione Generale o di un Legale Rappresentante che entra nel vortice dei tribunali italiani per questioni – potenzialmente – molto gravi, come quelle relative alla non conformità dei documenti sanitari.

Da questo punto di vista, la ” Compliance Risk Management” ha un valore talmente elevato da non essere nemmeno quantificabile.

E, in questo articolo, voglio farti capire la differenza tra “generalisti” e un “Centro di Competenze” interamente focalizzato su questi temi.

Autore: Nicola Savino Tempo di lettura: 6 minuti

Registri del trattamento, privacy by design, policy del trattamento dei dati: nell’infinito cosmo dei rischi connessi alla digitalizzazione, è normale tutta questa ossessione sul GDPR? Io credo di no. Ma c’è una spiegazione.

Non nego assolutamente che il GDPR sia una componente importante per le scelte strategiche di un reparto IT ospedaliero, ma credo ci sia anche bella speculazione dietro a questa insistente smania di buttare “pezzi di GDPR” dietro ad ogni riflessione relativa alla “messa a norma” e al Risk Management di un Sistema informativo.

E credo fermamente che ci sia una ragione dietro a tutto questo.

Se hai letto qualche mio articolo, o qualche mia intervista online, sai che mi piace essere schietto e sincero. Sono fatto così, prendere o lasciare.

E il GDPR è un’occasione d’oro per permettere ad avvocati e studi legali di incrementare la propria clientela, gettando un’ancora bella pesante sui ricchi fondali della digitalizzazione e del settore informatico.

È molto semplice. Da quando è arrivato il GDPR, tanti legali hanno preso il loro posticino sul “carro del digitale”.

Spuntano aziende specializzate in GDPR come funghi, ci sono una barca di tool, programmini e Dashboard per il monitoraggio del GDPR da ogni dove, alcuni dei quali dalla dubbissima – ma, voglio sottolinearlo – dubbissima utilità.

Questo perché ci sono più avvocati in Italia che in qualsiasi altro paese del mondo: salire sul carro del digitale era un’occasione troppo ghiotta da lasciarsi sfuggire, e la quantità di persone che affollano questo carro è tale da riempire – sul web – pagine e pagine di materiali, che messi insieme fanno un sacco di rumore. Un rumore così forte da stordirti, e così forte dal farti credere esista solo lui.

L’odiato GDPR.

In questo modo probabilmente anche tu cadi nei vortici di questa inarrestabile ossessione, facendo sì che non ti ponga molti altri problemi, di cui invece dovresti proprio occuparti.

Questa NON è una missiva contro gli esperti di GDPR, ma occhio ai “generalisti” della Compliance

Tengo a precisarlo: non ho niente, ma niente ti dico, contro gli avvocati che si tuffano di testa nei meandri dell’Information Technology.

Così come è innegabile che tra gli esperti di GDPR ci siano anche persone in gamba che sanno davvero il fatto loro. Molti dei quali sono carissimi amici di lunga data.

Io stesso, proprio nell’ufficio di fianco, mentre ti scrivo, ho una schiera di collaboratori avvocati, che hanno fatto la stessa scelta.

Ma, rispetto alla media lì fuori, c’è una sfumatura che sfugge agli occhi dei più: il team di legali che opera in Clinica Digitale® è composto da avvocati che hanno scelto di dedicare la loro intera carriera alle materie che riguardano la Digital Compliance, fin dal principio.

Lavorano 9 ore al giorno su questi temi dal primo giorno in cui hanno messo piede fuori dall’università. Investono 500-600 ore all’anno- A TESTA – nello studio dei trend normativi e della giurisprudenza italiana.

E questi numeri stanno lì a dimostrare che – quando si parla di Digital Compliance – il GDPR è solo una faccia della luna.

È importante, è delicata, ma è una sola faccia. Quella più illuminata, che risalta maggiormente ai tuoi occhi.

L’altra faccia è quella della Document Compliance, ed è – purtroppo – sempre la faccia nascosta. Quella che non vedi.

Il problema è che il “comparto Compliance” è strapieno di consulenti “generalisti” che sono in realtà avvocati civilisti e penalisti, che prestano un po’ del loro tempo anche a clienti bisognosi di aiuto sul fronte informatico.

Queste persone vedono, e conoscono, solo la punta dell’iceberg del fattore Compliance.

Così, riempiono pagine di blog, post sui social e ore di speech continuando a parlarti delle stesse cose, associando unicamente il “fattore GDPR” al concetto di Risk Management.

Quindi se fai un giro su Google trovi tonnellate di articoli come:

“Il DPO, chi è e cosa fa”?

“GDPR: privacy by design o by default”?

“Come fare il registro dei trattamenti”.

Mentre, nella realtà, il mondo della Digital Compliance è molto più profondo di così. Una vera e propria “tana del bianconiglio”.

In caso di disastro, non c’è Risk Management, polizza assicurativa “Anti GDPR” e “Anti Cyber Attack” che tenga

In tutto questo, tu non hai colpe.
Se tutti si fermano a questi temi, se tutti si fermano a questo livello, è normale che le persone come te siano indotte a credere che quelli siano i confini della realtà.

Se tutti ti dicono che la terra è piatta, e la tua quotidianità è bersagliata unicamente da informazioni atte a farti credere che la terra sia effettivamente piatta, tu crederai alla teoria della terra piatta.

Così, nel farti credere che il fattore Compliance, sia confinato entro un mondo “piatto”, che ha un inizio e una fine, ti vengono fatte credere anche altre cose altamente banalizzanti.

Tipo che basti stipulare una bella polizza assicurativa per proteggerti dai danni eventuali causati da ipotetiche non conformità presenti nel tuo Sistema Informativo.

Non basta.

Perché, mentre i danni causati dal mancato rispetto del GDPR, portano – per lo più – a sanzioni amministrative, la violazione di alcune regole sulla formazione, elaborazione e conservazione dei documenti, portano anche a scenari apocalittici, con risvolti penali che possono stroncare la vita di un’azienda sanitaria.

O, quantomeno, coinvolgerne i vertici in processi che dureranno anni.

Stessa cosa vale anche per chi pensa di potersela cavare facendo una bella polizza contro danni da Cyber Attack agli asset del Sistema Informativo e agli archivi documentali.

Di questo ne abbiamo parlato nell’articolo che parla dei tre pilastri del Sistema Informativo Ospedaliero, oltre il CISO e il DPO.

Se è sacrosanto che esista la figura del Data Protection Officer (DPO), non c’è motivo perché non esista anche un Document Compliance Officer

Un consulente – o meglio, uno staff (perché come vedremo le competenze in gioco sono diverse) – che si occupi della tenuta probatoria dei documenti prodotti attraverso gestionali e processi digitali, definendo standard, processi e procedure da mettere a punto per garantire che tutti i documenti digitali prodotti in struttura, a partire dalle Cartelle Cliniche, siano sempre conformi a tutte le normative e requisiti:

EIDAS, CAD, AGID: solo contando questi due “recipienti” di regole, contiamo circa 300 elementi che disciplinano le modalità di produzione dei documenti digitali.

Non è cosa da poco, se consideri che queste regole hanno un impatto diretto – e forte – sul patrimonio documentale dell’azienda ospedaliera, della singola clinica o del gruppo ospedaliero privato.

Un patrimonio formato da referti e cartelle cliniche da conservare a vita, o almeno per 10 anni (nel caso dei referti).

Non può essere, e non è, un aspetto secondario.

Ecco: un vero Document Compliance Officer è in grado di gestire tutte queste responsabilità e di scaricare, al tempo stesso, la Direzione Sanitaria e i Legali Rappresentanti dell’organizzazione da ogni coinvolgimento in caso di non conformità rilevate attraverso contenziosi (e ce ne sono sempre di più, vedi articolo agghiacciante sul nuovo report AINA), o ispezioni di routine.

Niente male eh?

Questo perché un Document Compliance Officer non ha solo un know how consulenziale, ma dispone anche di tecnologie e soluzioni per attivare automatismi capaci di elaborare processi sempre a norma di legge

Mentre il DPO ti porta la teoria, e al massimo qualche tool non sempre utilissimo, il Digital Document Compliance Officer ti porta anche soluzioni e know how, perché il suo background non è solo “legalese”.

Infatti, dietro a questa figura si cela sempre un “Pool” formato non solo da avvocati, ma anche da un centro di sviluppo e da profondi conoscitori dei processi aziendali. In questo caso dei processi ospedalieri.

Non è un uomo solo, non è una donna sola, ma un team capace di portarti consulenze E tecnologie per automatizzare tutti quei meccanismi che rendono il valore probatorio di TUTTI i documenti prodotti, durante il processo clinico del paziente, sicuro. Certificato. E inoppugnabile.

Quando serve una firma forte? Quando serve una firma debole? Quali metadati vanno apposti sulla Cartella Clinica secondo le norme? Come si firma digitalmente il Diario Clinico?

Queste sono solo una manciata di domande che occorrerebbe porsi, quando si abbandona la carta in una struttura ospedaliera.

Ma deve essere la tecnologia, devono essere gli algoritmi, deve essere l’intelligenza artificiale a risponderti.

Solo così puoi blindare la struttura sotto al profilo del Risk Management documentale.

Perché l’attuazione di tutte queste normative sul lavoro dei medici in produzione ha degli impatti devastanti sulla produttività.

E questa è un’altra prerogativa della Document Compliance, rispetto alla GDPR Compliance:

La compliance documentale NON può ricadere sui medici!

Questa è un’altra differenza sostanziale tra la Compliance GDPR e la Document Compliance:

La GDPR compliance “scarica” sui key users utenti le responsabilità sull’attuazione delle buone pratiche di uso quotidiano che concorrono al rispetto delle normative.

Come, ad esempio, una particolare cura nella conservazione delle password per effettuare il login ai sistemi.

Peccato che, in un processo documentale che si sviluppa dentro una struttura sanitaria, i key users siano, prevalentemente, medici e infermieri.

Persone la cui prerogativa è salvare vite umane, curare persone che soffrono, assumersi responsabilità enormi intrinseche al loro lavoro, che è quello appunto di “mettere le mani addosso” ai pazienti, non quello di fare “ingegneria informatica in campo medico”.

Ecco perché, nel caso della Document Compliance, l’obiettivo del Risk Management deve essere non solo quello di verificare il rispetto delle normative, ma anche quello di affidarne la responsabilità ad algoritmi e tecnologie di automazione!

Che possano prendersi carico dell’applicazione di tutte quelle disposizioni normative necessarie a rendere un documento Compliant.

Solo così puoi mettere a punto il terzo pilastro del Sistema Informativo Ospedaliero in modo da renderlo blindato e quindi inattaccabili.

In sintesi: Data Protection Officer e Document Compliance Officer: chi vince? Chi è più importante in termini di Risk Management?

Non vince nessuno, nella realtà.

Sono due facce della stessa luna. Ma, purtroppo, la parte meno illuminata è sempre quella del Document Compliance Officer, la cui figura occupa meno spazi online, meno spazi ai convegni, meno spazi sui media perché è una figura più complessa da costruire, ci vuole un’azienda, ci vuole un pool estremamente elitario.

Chi ha voglia di costruire qualcosa di simile? Pochissimi lo fanno: troppo complicato, rischio di impresa nettamente più alto.

Eppure, specie in Sanità, sono due figure imprescindibili nel 99% dei casi.

E il tuo Sistema Informativo? Necessita della guida di un Document Compliance Officer e del suo Centro di Competenze a supporto? Oppure fai parte di quell’1% di casi in cui non serve?

Scopri se il tuo Sistema Informativo Ospedaliero è vicino o lontano dal poter garantire all’azienda il massimo valore probatorio possibile ai documenti sanitari che produce attraverso strumenti digitali.

Fai l’assessment self-service e gratuito che te ne darà un’idea molto precisa di quale sia la tua situazione, fornendoti subito un punteggio relativo alla tua Document Compliance Risk.

Ultimo articolo

Cliniche da Incubo

Il primo manuale sulla Digitalizzazione “a norma” di cliniche e Poliambulatori