Siamo sicuri che esista la cyber security in Sanità, di cui pure si parla tanto? Io, da medico, ho qualche dubbio. Esiste invece il rischio clinico, codificato da anni. Quello è il vero rischio. Bisogna tornare ai fondamentali.
Primum non nocere: il rischio clinico
Come spiega Wikipedia qualsiasi atto medico deve porre al primo posto, “primum”, l’attenzione a non arrecare danno al paziente (non nŏcēre). Confesso di aver dovuto studiare per capire cose significasse “brocardo” ed ho scoperto che si fa riferimento con questo temine a “massime giuridiche” sintetiche e chiare, generalmente di origine latina. Come sempre però le massime rimangono sintetiche e chiare ma il contesto attorno cambia. Cosa voleva dire ai tempi di Ippocrate e cosa vuol dire oggi non nŏcēre? La Treccani nel Dizionario medico del 2010 parla di etica “Nel solco del rapporto rischio-beneficio si pongono i due principi cardine dell’e. m., quello di beneficialità e quello di non maleficità. Il primo prescrive di prevenire le malattie e di curare il malato promuovendo attivamente il suo bene, mentre il secondo, complementare al principio di beneficialità, prescrive che la prima preoccupazione di ogni professionista sanitario debba essere quella di non nuocere (primum non nocere)”.
Tutti i medici hanno studiato questi principi e abbiamo scoperto che l’atto medico non è semplicemente la prescrizione di una terapia, è anche l’informazione corretta, la disponibilità ma soprattutto la sicurezza dell’atto medico. Il concetto di rischio clinico è ben noto in medicina e la regione Lazio lo definisce bene ed in modo sintetico:
“RISCHIO CLINICO La gestione del rischio clinico in sanità (spesso chiamata clinical risk management) ha come obiettivo quello di migliorare la qualità delle prestazioni sanitarie e aumentare la sicurezza dei pazienti e degli operatori. A questo scopo impiega un insieme di metodi, strumenti e azioni per identificare, analizzare, valutare e trattare i rischi connessi all’erogazione delle cure.”
Cybersecurity in Sanità?
Proviamo invece definire il concetto di Cybersecurity in Sanità: “La tecnologia dell’informazione (ICT) ha come obiettivo quello di migliorare la qualità delle prestazioni sanitarie e aumentare la sicurezza dei pazienti e degli operatori. A questo scopo impiega un insieme di metodi, strumenti e azioni per identificare, analizzare, valutare e trattare i rischi connessi all’erogazione delle cure con l’uso delle tecnologie dell’informazione”.
La frase appena esposta definisce quasi perfettamente il concetto di sicurezza dell’ICT sanitaria ed è ottenuta dalla stessa definizione per la regione Lazio del rischio clinico. Infatti la peculiarità dei sistemi sanitari rispetto a tutti gli altri sistemi digitali è il fine di “salute” insito anche nell’uso delle tecnologie ICT e il nŏcēre, il danno è legato al paziente. Nel 2016 ho scritto un articolo, qui, su Agenda Digitale sul tema, ma le cose e i problemi evidenziati allora oggi non sono minimamente cambiati, tranne il fatto che ora li chiamiamo Cybersecurity, che fa molto “americano” o sicurezza cibernetica, che fa molto “ministeriale”. Ho letto, proprio su Agenda Digitale pochi giorni fa un interessante articolo del docente Luigi Romano che definisce i principali rischi cibernetici come relativi principalmente alla perdita dei dati e in questo campo, visto dall’ottica di un medico, il rischio in sanità non differisce da quello di altri settori, quello bancario ad esempio, dal quale potremmo imparare molto, ma lo trovo un problema meno importante rispetto al principale: il rischio clinico. Immaginate piuttosto, invece del furto dei dati di cui tutti parlano, un terrorista che in un sistema DICOM di una grande azienda sanitaria scambia deliberatamente i dati relativi ai nomi ed esami dei pazienti, o dei referti di laboratorio, un terrorista che blocca un pronto soccorso, il sistema 118 o un semplice truffatore che genera false attestazioni di invalidità o ricette elettroniche (non uso il termine hacker, hacker significa ben altro). Pensiamo anche più in piccolo, ad APP sanitarie approssimative e pazienti che si fidano del loro smartwatch piuttosto che andare dal medico, o medici che appoggiano la loro diagnosi e cura su soluzioni approssimative e realizzate con un “fai da te”. Pensate al rischio di rispondere e indicare ai pazienti le cure attraverso whatsapp se qualcosa va storto e un magistrato viene a parlarvi di negligenza o imprudenza.
Fatti questi esempi è ovvio e logico che i principali rischi siano quelli “di sistema”, “di processo”, quelli legati alle aziende del sistema sanitario, sentir parlare di rischi dell’ ”mhealth” fa sorridere , credo che i pazienti totali seguiti oggi in mhealth siano quelli che vede in un mese un solo medico di medicina generale. I rischi, quelli veri, sono quelli delle aziende del SSN.
La ricerca sulla sicurezza ICT in Sanità
Su questi temi è in corso una ricerca cui ho contribuito, supportata dal Ministero della salute e realizzata dalla Alta Scuola di Economia e management dei Sistemi Sanitari, ALTEMS dell’università cattolica, intitolata “his-SA: metodologia di analisi e modello di classificazione della sicurezza nei sistemi informativi sanitari secondo un approccio di Health Technology Assessment”. I dati preliminari riguardano 46 aziende sanitare con 113 presidi ospedalieri. La ricerca parte dal concetto che “Il sistema informativo di una azienda sanitaria deve rappresentare uno strumento completo ed integrato per il governo della struttura, sia dal punto di vista della gestione corrente che sotto il profilo della strategia evolutiva. In una tale visione, una valenza particolare assume la gestione della sicurezza, che va intesa non solo dal punto di vista prettamente tecnologico, ma in quadro più ampio, tale da garantire l’esecuzione sicura e corretta dei processi aziendali, minimizzando e prevenendo per quanto possibile i rischi, che -per le particolari caratteristiche del contesto sanitario- assumono una rilevanza particolare in quanto possono avere implicazioni anche sulla stessa salute del paziente.”
Molti i risultati interessanti del questionario e dell’analisi successiva, quello che fa veramente pensare è che nella maggior parte delle strutture esaminate non esistono connessioni tra chi valuta il rischio clinico e chi valuta l’ICT, e neppure sono in corso processi per l’integrazione!
Ricorda Dame Fiona Caldicott, National Data Guardian del Regno Unito nel 2016 in una lettera al primo ministro, a proposito degli esiti di una analisi sulla sicurezza ICT (vogliamo chiamarla Cybersecurity? E lo stesso però fa piu’ “millenial”) nel sistema sanitario inglese “Letter from National Data Guardian Dame Fiona Caldicott and David Behan, CQC Chief Executive, to Secretary of State for Health on data security”
“La revisione di 60 ospedali, ambulatori di MMG e studi dentistici si è concentrata sulla disponibilità, l’integrità e la riservatezza dei sistemi di dati nel sistema sanitario nazionale.
In particolare, ha rilevato che:
- Era evidente l’impegno diffuso nei confronti della sicurezza dei dati, ma il personale a tutti i livelli ha affrontato sfide significative nel tradurre il proprio impegno in una pratica affidabile.
- Laddove si sono verificati incidenti relativi ai dati dei pazienti, sono stati presi sul serio. Tuttavia, il personale non riteneva che le lezioni fossero sempre apprese o condivise tra le loro organizzazioni.
- La qualità della formazione del personale in materia di sicurezza dei dati è stata molto variabile a tutti i livelli
- Le policy e le procedure di sicurezza dei dati erano presenti in molti siti, ma la pratica quotidiana non necessariamente li rifletteva.
- Il benchmarking con altre organizzazioni è stato quasi del tutto assente. Non c’era alcuna cultura di apprendimento coerente da parte degli altri e abbiamo trovato poche prove di controllo esterno o della convalida delle disposizioni sulla sicurezza dei dati.
- Cresce l’uso della tecnologia per registrare e archiviare le informazioni sui pazienti fuori dai documenti cartacei. Questo risolve molti problemi di sicurezza dei dati ma, se non viene migliorata, aumenta il rischio di perdite di dati più gravi e su larga scala.
- I sistemi e i protocolli di sicurezza dei dati non sono sempre stati progettati in base alle esigenze del personale in prima linea. Ciò porta il personale a sviluppare soluzioni alternative potenzialmente sicure per fornire assistenza tempestiva e tempestiva ai pazienti. Questo problema era particolarmente evidente nelle impostazioni di medicina d’urgenza.
- Man mano che si sviluppa la cura del paziente integrata, è necessario migliorare la facilità e la sicurezza della condivisione dei dati tra i servizi.”
La revisione del Data Guardian ha rilevato tra le altre cose che “Le violazioni dei protocolli di sicurezza dei dati sono state causate da persone, processi e tecnologie, principalmente a causa di operatori del SSN motivati a svolgere il proprio lavoro che si trovano spesso a lavorare con processi e tecnologie inefficaci”
E questo era la ricerca di Dame Fiona Caldicott nel 2016.
Oggi è ora di ragionare sul rischio clinico, è ora che si parli di standard ISO e di HTA, che si esca dalla “privacy” per passare alla “sicurezza clinica”, dal “software” e dal “dato” per passare all’ingegneria di processo, il “risk management”.
Il tema va affrontato urgentemente, tutti assieme, ingegneri clinici, operatori della sanità, AGID, decisori regionali, CNR. Nessuno di noi vuole chiudere la stalla dopo che i buoi saranno scappati, e la fuga dei buoi, purtroppo, può anche significare che qualcuno rischierà di perdere la vita.