Certificazione dei servizi di ricezione dei dati

Numerosi assicuratori-malattie ci hanno notificato di aver fatto certificare i loro servizi di ricezione dei dati. Gli assicuratori-malattie di piccole e medie dimensioni affidano spesso la verifica nascosta automatizzata a un fornitore di servizi, mentre i gruppi d'assicurazione dispongono in genere di un servizio di ricezione dei dati centralizzato per tutti i membri del gruppo.

Gli assicuratori-malattie che ottengono una certificazione per i loro servizi di ricezione dei dati sono tenuti a notificarcelo. Nel nostro sito pubblichiamo un elenco dei servizi di ricezione dei dati certificati, da cui risulta se l'assicuratore gestisce un proprio servizio di ricezione dei dati, se il servizio di ricezione dei dati lavora per diverse assicurazioni malattie di un gruppo, se il fornitore di servizi esegue la verifica nascosta automatizzata, quale ente ha rilasciato la certificazione e fino a quando la certificazione è valida. Fino a gennaio 2014 si erano notificati da noi 39 servizi di ricezione dei dati.

Queste notifiche consentono di trarre diverse conclusioni. Gli assicuratori-malattie di piccole e medie dimensioni hanno perlopiù delegato la verifica nascosta automatizzata a un fornitore di servizi esterno. Allo stato attuale questa esternalizzazione si concentra su due fornitori di servizi. Alcuni assicuratori-malattie di media grandezza hanno tuttavia deciso di provvedere da sé. I grandi assicuratori, invece, gestiscono un servizio di ricezione dei dati centralizzato per i loro membri. Secondo il loro punto di vista, questo equivale a esternalizzare alla società del gruppo.

Nel caso di una collaborazione con un fornitore di servizi è importante che tutti i processi necessari per il funzionamento di un servizio di ricezione dei dati siano certificati sia presso l'assicuratore-malattie che delega, sia presso il fornitore di servizi. Un fornitore di servizi non potrà dunque ottenere un certificato esclusivamente per il suo servizio di ricezione dei dati, poiché questo è rilasciato sempre a un assicuratore o un gruppo assicurativo. Nel certificato rilasciato a un gruppo assicurativo deve inoltre essere menzionato chiaramente per quali membri è valido. Ovviamente, questa informazione deve trasparire chiaramente anche dal relativo rapporto di audit.

Nell'anno in rassegna abbiamo di nuovo assistito all'accorpamento di organi di certificazione accreditati: KPMG AG, l'Associazione svizzera per sistemi di qualità e di management (SQS) e il Servizio di accreditamento svizzero (SAS). In particolare abbiamo qui esaminato i requisiti per quanto riguarda la formazione degli esperti incaricati degli audit di certificazione, i requisiti per il rapporto di audit e la durata necessaria dell'audit. Visto che la certificazione in materia di protezione dei dati si basa sulla norma ISO/IEC 27001, secondo logica abbiamo dichiarato obbligatoria la norma ISO/IEC 27006 valida per gli audit.

Abbiamo inoltre ribadito quanto già precisato in occasione della seduta tenutasi nell'autunno dell'anno precedente, ovvero che i servizi di ricezione dei dati devono fare certificare anche i loro processi cartacei. A nostro avviso queste sedute di lavoro sono molto utili, perché ci consentono come titolari dello schema di certificazione di discutere i problemi e di trovare le soluzioni direttamente con gli organi coinvolti, come pure di comunicare e spiegare le nostre esigenze che sono vincolanti per gli organi di certificazione. Di conseguenza, continueremo a organizzare questa riunione con scadenza annuale. Se lo riterremo necessario, convocheremo anche riunioni ad hoc.

https://www.edoeb.admin.ch/content/edoeb/it/home/documentazione/rapporti-d-attivita/21--rapporto-d-attivita-2013-2014/certificazione-dei-servizi-di-ricezione-dei-dati.html