Come organizzare e custodire i dati dei pazienti (per i medici informatizzati)

Per evitare problemi in caso di controlli o ispezioni, e' necessario che il medico osservi una serie di regole stabilite dalle varie leggi. Si tratta per lo piu' di incombenze puramente burocratiche, noiose e sgradite al medico, tuttavia la loro osservanza, a ben vedere, non e' particolarmente gravosa (in genere si tratta di riempire periodicamente qualche foglio di carta), e permette di operare con maggiore tranquillita'.

Uno dei principali problemi è quello della sicurezza dei dati. La norma prevede che chiunque raccolga dati personali e/o sensibili debba mettere in atto tutti quei provvedimenti necessari ad evitare che questi dati siano danneggiati o che ad essi possano accedere persone non autorizzate. L' inosservanza delle norme e' penalmente sanzionabile.

Esaminiamo i singoli casi.

-MEDICO CHE USA CARTELLE CLINICHE CARTACEE

Se ai locali accedono persone diverse dal medico titolare (anche solo l'addetto alle pulizie o parenti del medico) le cartelle devono essere chiuse a chiave in uno schedario o in un cassetto dotato di serratura. La chiave deve essere custodita dal titolare.

Per quanto riguarda la segretaria o eventuali sostituti, questi devono essere autorizzati per scritto, specificando per quali competenze sono autorizzati a consultare le cartelle (la/e lettera/e deve essere conservata dal titolare e dagli interessati, senza ulteriori incombenze, ed essere disponibile nello studio per eventuali controlli).

Su un altro foglio conservato nello studio devono essere identificate le altre persone che accedono ai locali dopo l'orario di chiusura (ad es. la donna delle pulizie).

-MEDICO CHE USA CARTELLE CLINICHE INFORMATIZZATE SU PC SINGOLO (NON COLLEGATO AD ALCUNA RETE)

Contro danneggiamenti o perdita dei dati: deve essere previsto un salvataggio periodico dei dati; deve essere utilizzato un programma antivirus aggiornato. L' accesso ai dati deve essere protetto almeno da una password. Se piu' soggetti accedono allo stesso computer, ciascuno deve avere una password personale.

Non devono essere attivi, nel computer di studio, programmi "pirata".

-MEDICO CON SEGRETARIA

Valgono le stesse regole delle cartelle cartacee: autorizzazione scritta e specifica delle competenze per cui e' autorizzata a consultare le cartelle.

-RAPPORTI CON MEDICI SOSTITUTI

Valgono le regole descritte per il personale di studio. Il collega va autorizzato per iscritto, il foglio va tenuto presso lo studio e rifatto ogniqualvolta cambi il collega sostituto.

-MEDICO CHE USA CARTELLE CLINICHE INFORMATIZZATE SU PC COLLEGATI AD UNA RETE LOCALE

Le stesse regole dette sopra ( salvataggio periodico dei dati, software antivirus registrato, aggiornato almeno ogni sei mesi, parola chiave diversa per ogni persona autorizzata a collegarsi alla rete). Uno dei titolari deve assumere il ruolo di amministratore di sistema che assegna e conserva le parole chiave di accesso di tutte le persone autorizzate.

L'amministratore di sistema deve provvedere a rimuovere la parola chiave e l'autorizzazione all'accesso qualora il soggetto non sia più autorizzato o non acceda all'elaboratore per più di sei mesi.

Il titolare dei dati (in pratica ciascun medico per le sue cartelle) deve autorizzare per scritto la altre persone che devono trattare i dati, specificando per quali competenze sono autorizzati). In caso di più medici nello stesso studio, ciascun medico deve autorizzare gli altri con la stessa procedura.

-MEDICO CHE USA CARTELLE CLINICHE INFORMATIZZATE SU PC COLLEGATI AD UNA RETE DI TELECOMUNICAZIONI ACCESSIBILE AL PUBBLICO (per intendersi coloro che usano programmi di cartelle cliniche che trasmettono dati per telefono)

Oltre a ciò che è stato specificato per i medici che lavorano in rete locale, i colleghi che si trovano in questa condizione devono predisporre e aggiornare con cadenza annuale un documento programmatico sulla sicurezza dei dati per definire:

a- i criteri tecnici e organizzativi per la protezione delle aree e dei locali interessati dalle misure di sicurezza nonché le procedure per controllare l'accesso delle persone autorizzate ai locali medesimi.

b- I criteri e le procedure per assicurare l'integrità dei dati

c- I criteri e le procedure per la sicurezza delle trasmissioni dei dati, ivi compresi quelli per la restrizione dell'accesso per via telematica.

d- L'elaborazione di un piano di formazione per rendere edotti gli incaricati del trattamento dei rischi individuati e dei modi per prevenire i danni.

Il documento programmatico deve essere conservato presso lo studio, non deve essere spedito al garante.

La stesura di questo documento e' abbastanza standardizzata (seppure da adattare ai singoli studi) e lo schema-base e' reperibile presso i commercialisti, diversi siti Internet e presso quasi tutte le Associazioni.

PROTEZIONE DEI LAVORATORI

Il personale che operi al computer piu' di venti ore settimanali deve essere assicurato presso l' INAIL.

Gli obblighi di sorveglianza sanitaria almeno biennale scattano al compimento dei 50 anni. Resta fermo il fatto che il lavoratore, ogni volta che sospetti una sopravvenuta alterazione agli occhi, debba essere sottoposto a controllo oculistico a sua richiesta.

I posti di lavoro: Distanza dallo schermo di almeno 50-70 centimetri, sedie con schienale regolabile, fonti luminose fuori dal campo visivo dell'operatore. Le postazioni dei lavoratori devono essere conformi alle Linee guida d'uso dei videoterminali, predisposte dal ministero del Lavoro con il decreto 244, pubblicato nella Gazzetta ufficiale del 18 ottobre 2000.

Daniele Zamperini: "Lodicelafimmg", novembre 2002