Esigenze tecniche di base per la cartella medica elettronica del paziente

Nell'ambito dell'inevitabile sviluppo di una "cartella medica elettronica del paziente" abbiamo cercato di porre alcuni requisiti fondamentali, indipendentemente dal modello di memorizzazione che sarà adottato (centralizzato, decentralizzato, paziente, tessera). Considerati i numerosi modelli e progetti che si stanno sviluppando in Svizzera, non si può escludere che alcune nostre considerazioni vadano rivedute o adattate alla luce delle nuove esperienze.

Per definire meglio il contesto, è importante descrivere i modelli previsti per la custodia della cartella medica elettronica del paziente:

1. Custodia decentralizzata o ripartita: i dati medici rimangono in possesso di chi presta le cure; si allestisce un dossier virtuale con la "parte pubblica di ogni caso", se necessario facendo capo a una rete comune accessibile a tutti i partner. Naturalmente è necessario stabilire se un dossier del genere possa essere accessibile integralmente e se, malgrado tutto, non si debbano centralizzare determinati dati personali.

2. Custodia centralizzata presso terzi: i dati medici stabiliti da chi presta le cure sono copiati, in parte o totalmente, su un registro centrale, gestito da un'istituzione statale (Cantone, Confederazione) o privata (fornitori di servizi). Le questioni inerenti a questo modello riguardano la fiducia nei confronti dell'organo centrale e la sua contestabilità.

3. Custodia centralizzata presso i pazienti stessi: i dati medici stabiliti da chi presta le cure sono copiati, in parte o totalmente, su un supporto (chip, CD…) che viene conservato dal diretto interessato. Il paziente ha in tal modo il controllo esclusivo dei suoi dati, mentre una copia di sicurezza può essere lasciata in deposito al medico di fiducia.

Questi tre modelli teorici si possono combinare in vario modo nella pratica. La carta di paziente potrebbe essere concepita quale semplice mezzo d'identificazione (numero dell'assicurato, nome, ...), come supporto di memorizzazione dei dati amministrativi e/o delle informazioni per le urgenze, come chiave segreta per accedere ai dati medici veri e propri, oppure come supporto di memorizzazione dell'intero dossier del paziente.

Indipendentemente dal modello che verrà adottato, si possono sin d'ora ipotizzare le misure preventive da adottare per la protezione dei dati:

  • Distinzione tra dati amministrativi e dati medici. Distinzione specifica dei dati medici in dati oggettivi (esami,…) e soggettivi (diagnosi,…), medicazione e dati per le urgenze. L'accesso a questi ultimi va regolato in modo specifico, considerata la criticità delle situazioni in cui si è chiamati ad agire.
  • Formato di registrazione e codificazione di tutti i dati, in modo da garantire la loro durata nel tempo e l'interoperabilità a livello nazionale o internazionale (rilevamento/conversione dei dati attuali).
  • Impiego prioritario di procedure di pseudonimizzazione e di anonimizzazione (cfr 9° rapporto d'attività, paragrafo 2.2.1) in modo da ridurre al minimo il rischio di fughe di dati e permettere un efficace utilizzo dei dati medici raccolti a fini epidemiologici o statistici.
  • Memorizzazione cifrata dei dati personali degni di protezione: solo le persone in possesso di una chiave di decifrazione valida possono consultare o elaborare i casi contenuti nei dossier. Ogni caso medico può quindi venir cifrato in modo indipendente e il paziente (o eventualmente il suo medico di fiducia) dovrebbe in linea di principio essere in grado di accedervi. A tal fine andrà concepito l'allestimento di una "Public Key Infrastucture" (PKI), che tuttavia è alquanto complicata.
  • Possibilità di mascherare temporaneamente quei dati medici che necessitano di una spiegazione a voce da parte di chi presta le cure specialistiche.
  • Identificazione sistematica e forte autenticazione di tutti i partecipanti al processo terapeutico che hanno accesso al sistema.
  • Aggiornamento dettagliato di tutti gli accessi e di tutte le mutazioni dei dati degni di protezione e possibilità per la persona interessata di consultarli in ogni momento.
  • Garanzia e verifica periodica della confidenzialità, integrità e disponibilità dei dati.
  • Firma digitale di tutti i dati registrati, in modo da garantire la loro integrità e irripudiabilità.
  • Visibilità differenziata (visione logica) dei dati a seconda di chi è autorizzato ad accedervi.
  • Canale informativo, specifico e adeguato ai bisogni, verso le assicurazioni, che ricevono gli elementi di fatturazione possibilmente in una forma cifrata da concordare (cfr. paragrafo 5.1.2 del presente rapporto).
  • Soluzione pure specifica per le ricette e l'accesso dei farmacisti.

[luglio 2003]

https://www.edoeb.admin.ch/content/edoeb/it/home/documentazione/rapporti-d-attivita/vecchi-rapporti/10--rapporto-d-attivita-2002-2003/esigenze-tecniche-di-base-per-la-cartella-medica-elettronica-del.html