Nel mondo della Sanità Digitale, esiste un ambito della “sicurezza” informatica di cui nessuno parla, quella dei documenti. In genere, infatti, il pensiero ricade su queste due figure:
- il CISO, il Chief Information Security Officer,
- e il DPO, il Data Protection Officer.
In sintesi, il primo si occupa della sicurezza da un punto di vista della Cyber Security. Il secondo si occupa di amministrare e controllare le policy con cui vengono definite, e messe in atto, le best practice a tutela della privacy di dipendenti e pazienti.
In realtà esiste una terza figura chiave: il “terzo pilastro” a supporto dell’IT Manager e dei Sistemi Informativi. Senza il quale digitalizzare i processi documentali di un ospedale, o di una clinica, può rivelarsi addirittura nocivo!
Si tratta del Document Compliance Officer, colui che si fa carico di attuare processi e strategie per garantire la conformità dei documenti digitali prodotti dai sistemi gestionali, rispetto alle normative che ne determinano il valore probatorio.
La sicurezza della Document Compliance
In cosa consiste la Document Compliance? E perché è vitale parlarne? L’Italia è il paese con il più alto tasso di “litigiosità” in Europa. È una situazione che trova le sue origini nella complessa macchina burocratica che ereditiamo da decenni di storia. Ecco perché, ad esempio, conserviamo maniacalmente ogni documento che produciamo: atti, ricevute e raccomandate di ogni genere.
Anche quando sono scaduti i termini di possibili contenziosi, la frase che diciamo è: “questo lo tengo, non si sa mai”! Così conserviamo bollette, ricevute di pagamento, bolli.
L’elevato tasso di litigiosità vive in costante equilibrio con la complessità burocratica del nostro paese, che si presta ad errori amministrativi, accertamenti, verifiche, ma anche truffe di vario genere. Ecco perché siamo così preoccupati di archiviare tutto. E questa stessa cura è richiesta agli IT Manager di cliniche e ospedali.
In questo scenario, il contenzioso sanitario sta diventando una prassi con numeri in crescita esponenziale Nel 2018 abbiamo superato la soglia dei 30.000 contenziosi. Numeri che fecero scalpore a livello mediatico, interessando le principali testate nazionali.
I numeri del 2020 sono in definizione, ma a causa dei decessi per covid-19 negli ospedali, le proiezioni tendono verso numeri record. Per ogni contenzioso, si genera un volume enorme di documenti, presentati sui tavoli di mediazione e nelle aule di tribunale: Cartelle Cliniche, referti, esami di laboratorio, consulenze cliniche, e molto altro.
Tutti atti la cui rilevanza va oltre qualsiasi altro tipo di documento prodotto in ambito privato, o in altre tipologie di aziende. Vero è che la Cartella Clinica diventa un atto di “fede pubblica”. Ma la documentazione sanitaria viene sempre più prodotta attraverso strumenti gestionali e digitali.
Quindi, quando una Cartella Clinica Elettronica viene passata al setaccio dai legali di parte, oggi questa può essere vivisezionata per verificarne la totale conformità, che non è più soltanto relativa alla completezza del documento, ma anche al rispetto di tutte le norme sulla Digital Compliance.
Il valore probatorio di un documento informatico, infatti, è subordinato a regole, articoli e norme che sfiorano i 400 requisiti, tra normative italiane ed europee. Inutile dire che gli studi legali italiani stiano imparando velocemente cosa deve essere guardato in una cartella clinica elettronica.
Da questo complesso quadro normativo, infatti, nascono numerose procedure informatiche necessarie al conferimento del pieno valore probatorio di un documento digitale:
- L’applicazione delle marcature temporali
- La gestione dei metadati (quali devono essere elaborati? In che modalità?)
- L’apposizione delle firme digitali di medici, direttori sanitari e talvolta anche del personale infermieristico (quale tipologia di firma digitale va usata per le differenti tipologie documentali che compongono una Cartella Clinica Elettronica? Quando usare una firma “debole”? Quando una firma “forte”?)
- La gestione della conservazione (quali sono le normative che regolano tempistiche e modalità di archiviazione e conservazione di una Cartella Clinica?)
È uno scenario articolato, che per di più è in costante evoluzione. Con cambiamenti radicali e repentini. In questo momento, persino un Sistema Informativo altamente strutturato fatica a seguire tutte queste evoluzioni. Il CISO, dal canto suo, non ha minimamente questi temi all’interno della sua sfera di competenze. Mentre il DPO non può focalizzarsi in modo così centrato sul problema. Non riesce ad anticipare i trend normativi, che possono sconvolgere le strategie e le scelte tecnologiche di un IT Manager.
Non ha il tempo materiale di studiare come la giurisprudenza si adatti dietro a queste evoluzioni, che progrediscono con una velocità mai vista prima. E non ha nemmeno le competenze per supportare i processi decisionali necessari a fare sì che il rispetto del quadro normativo, non vada a discapito della produttività del personale e dell’automazione che oggi si cerca dalla digitalizzazione.
Qui viene in soccorso la figura del DCO: Document Compliance Officer
È una figura nitidamente riconosciuta in paesi e culture digitali meno litigiose della nostra. Come quella anglosassone, ad esempio.
Eppure, nonostante serva più a noi che a loro, siamo soliti non considerarla e scaricare tutto ciò che sconfina nella sfera “legale” sulle spalle di un DPO, la cui figura rischia di diventare una di quelle competenze “tuttologhe”, più per una nostra deformazione culturale che non per diretta volontà di una categoria, che forse preferirebbe una giusta diversificazione dei ruoli e delle responsabilità. Così come già oggi avviene con il CISO.
I compiti del Document Compliance Officer
Il Document Compliance Officer, infatti, si occupa sostanzialmente di due cose:
- Proteggere la Direzione Sanitaria e i Legali Rappresentanti della struttura sanitaria dai rischi connessi alla produzione di documenti clinici digitali non conformi alle normative, a causa di errori procedurali e tecnici, rispondendo in prima persona delle misure adottate
- Evitare che l’implementazione di servizi “Trust” nei flussi documentali (come – a titolo puramente esemplificativo – la gestione delle identità digitali e delle firme elettroniche dei medici) porti all’introduzione di una “burocrazia digitale” nella quotidianità del personale che lavora sui gestionali, ma il cui ruolo dovrebbe essere quello di curare le persone.
Deresponsabilizzare le figure che occupano ruoli direzionali ed evitare che il rispetto della Digital Compliance porti attività manuali e rallentamenti che rappresenterebbero un paradosso incredibile, se pensiamo che le strutture investono nel “Digital” proprio per eliminare attività manuali e ripetitive.
Ecco perché è corretto rappresentare la figura del DCO come quella di un terzo pilastro a sostegno dei sistemi informativi ospedalieri.
A differenza della figura del DPO, il Document Compliance Officer può (anzi deve) essere supportato da un’azienda strutturata
La gestione della Document Compliance Risk richiede competenze tecniche, giuridiche e normative che non possono essere detenute, e curate, da un’unica persona delegata.
Inoltre, per evitare che il rispetto della Document Compliance introduca rallentamenti nei flussi documentali, danneggiando la produttività del personale, è necessario conoscere profondamente i processi ospedalieri.
Così come è necessario sviluppare tecnologie basate su algoritmi e intelligenza artificiale per automatizzare il più possibile la propagazione dei servizi Trust nei processi documentali (gestione dei metadati, apposizione delle firme digitali corrette nel momento corretto, invio dei documenti in conservazione, solo per citarne alcuni).
È un pacchetto di competenze così ampio che non può essere affidato unicamente a un professionista/consulente. Né tantomeno ad uno studio legale, come nel caso del DPO. Ma nemmeno ad una software house, grande o piccola che sia, specializzata nello sviluppo dei gestionali.
C’è un modo per capire se, all’interno di un Sistema Informativo Ospedaliero, sono presenti dei “buchi normativi” nei processi documentali: si chiama Digital Compliance Quadrant.
È uno strumento messo a punto da Clinica Digitale, l’unica azienda italiana specializzata in Document Compliance e Digital Automation Trust a livello ospedaliero, capace di agire da “DCO” per strutture pubbliche e private, sia grazie ad un know how consulenziale e legale specialistico, sia grazie a competenze tecnologiche focalizzate su questo fronte.
Da questa esperienza è nato un processo, basato su 12 algoritmi, capace di scovare eventuali non conformità presenti nei flussi documentali – digitali di cliniche ed ospedali, analizzando il sistema informativo sulla base di quattro differenti rating di valutazione.
È possibile attivare gratuitamente un primo step del processo direttamente online, seguendo questo link.