Il Podio EDI 2023, tenutosi il 30 giugno presso la sala del Consiglio cantonale di Lucerna, è stato guidato dalla nLPD, che entrerà in vigore senza periodo di transizione il 1osettembre 2023. Che cosa cambia per la sanità? Hellmuth Brandt di x-tention Informationstechnologie AG e André Baumgart dell’Associazione degli ospedali di Zurigo (VZK) hanno approfondito i dettagli della loro collaborazione durante il loro intervento.

La domanda che si pongono gli operatori sanitari al momento è una in particolare: quanti cambiamenti comporta la revisione della Legge federale sulla protezione dei dati? Hellmuth Brandt e André Baumgart hanno parlato del successo della loro collaborazione, avanzando alcune valutazioni per il futuro. Il Cantone di Zurigo è un buon esempio del fatto per cui la protezione dei dati non sia la medesima ovunque. Se, ad esempio, una persona deve essere sottoposta all’asportazione dell’appendice e restare in ospedale, i suoi dati sono soggetti a disposizioni diverse rispetto a quelli di chi si fa suturare un dito in regime ambulatoriale. Gli ospedali con un mandato di prestazioni cantonale, i cosiddetti ospedali figuranti nell’elenco, sono soggetti al diritto in materia di protezione dei dati per le cure stazionarie, mentre il trattamento ambulatoriale è soggetto alla protezione dei dati federale. Che significato ha in termini di nLPD?

x-tention, il punto di vista della consulenza

Hellmuth Brandt si definisce un «amante della protezione dei dati», una passione che completa perfettamente il suo interesse per il lavoro di informatico. Per questo ritiene che le innovazioni e le sfide ad essa associate siano per lui di grande stimolo. «Mi piace», dice riferendosi alla nuova Legge sulla protezione dei dati, «e, a dire la verità, non comporta grandi cambiamenti per gli ospedali con un mandato di prestazioni cantonale».

Come consulente per la sicurezza delle informazioni e la protezione dei dati presso x-tention, considera la protezione dei dati come una zona di conflitto tra diversi settori come l’informatica, la protezione dei dati, la sicurezza delle informazioni, il marketing e le operazioni aziendali. «Tutti questi comparti devono trovare un linguaggio comune per comunicare e lavorare insieme». La ricerca di questo linguaggio è responsabilità della direzione, che deve mediare tra i settori e rendere esemplare questo atteggiamento. «Diversamente i risultati non arrivano. È proprio per questo che l’introduzione e il rispetto degli standard sono così importanti. Le informazioni che possiamo derivare dai dati devono essere protette al meglio». x-tention offre quindi un supporto attraverso pacchetti di modelli sulla protezione dei dati e sulla sicurezza delle informazioni, appositamente sviluppati per gli ospedali svizzeri e facili da personalizzare.

VZK, il punto di vista del cliente

Anche il dott. André Baumgart, Responsabile della qualità per la sicurezza dei pazienti e delle informazioni presso l’Associazione degli ospedali di Zurigo (VZK), propende per linee guida chiare. L’Associazione VZK ha utilizzato e continua a utilizzare il know-how di x-tention con grande soddisfazione. Per quanto riguarda lo stato attuale dell’implementazione negli ospedali di Zurigo, Baumgart si dichiara fiducioso. «Come Associazione VZK ci troviamo nel bel mezzo dell’implementazione del progetto. In parte è stata ed è molto faticosa, non solo a causa del Covid. Un problema comune è la mancanza di risorse umane negli ospedali. Inoltre, molti ospedali vogliono essere il più possibile liberi senza avere accanto team permanenti di consulenti.

Rispetto all’anno scorso abbiamo osservato tuttavia un notevole miglioramento in termini di qualità. I requisiti di progetto e le misure tecniche, operative e del personale (TOP) sono definiti o fissati più chiaramente a scopo di implementazione, la guida è in fase di attuazione e quindi il 50-60% dei requisiti della ISO27001 è già soddisfatto. Sono in corso anche campagne di sensibilizzazione. I collaboratori sono consapevoli della protezione dei dati, anche nell’area operativa».

Retrospettive e prospettive

Hellmuth Brandt riassume: «La collaborazione con l’Associazione ZVK è intensa e interessante, ma anche molto divertente. Anche se non tutti gli istituti hanno raggiunto totalmente l’obiettivo, è importante che gli ospedali intraprendano il cammino. In ogni caso, è un lavoro in costante divenire». Il dott. André Baumgart guarda al futuro: «Il primo obiettivo è certamente quello di implementare completamente queste guide. In un secondo momento aumenteremo gli standard e, alla fine, occorreranno probabilmente le certificazioni ISO». Resta ancora molto da fare, ma siamo sulla strada giusta.

Protezione dei dati: che cosa fare

• Incarnare con il proprio esempio la protezione dei dati e la sicurezza delle informazioni
• Analisi reale annuale
• Definire le priorità sulla base dell’analisi reale
• Pianificare in modo mirato in base alle risorse disponibili
• Coinvolgere attivamente la direzione e sollecitare un’assunzione di responsabilità permanente per garantire lo stato della tecnica.
• Creare e mantenere una costante consapevolezza
• Definire e coinvolgere attivamente gli ambasciatori della protezione dei dati e della sicurezza delle informazioni a livello di organizzazione globale

Che cosa non fare

• La protezione dei dati e la sicurezza delle informazioni non sono solo un progetto
• Limitarsi a iniziare
• Iniziare tutto in una volta
• Ignorare i compiti quotidiani durante il progetto
• Limitarsi a seguire le dichiarazioni della direzione
• Accettare l’attribuzione del rischio al di fuori della direzione
• Formazione e addestramento del personale >30 minuti
• Accettare dichiarazioni come «la protezione dei dati proibisce» o «la sicurezza delle informazioni proibisce» senza indagare oltre

Presentazione (PDF)