Fimmg "Professione Sicura": vademecum sulla Privacy (da FIMMG Roma)
Le indicazioni per i MMG per il rispetto della normativa sulla Privacy
giovedì 06 novembre 2014
Fonte FIMMG RomaQuesto "Vademecum" ha lo scopo di offrire, in maniera sintetica, all'iscritto FIMMG una panoramica delle attenzioni che deve avere per rendere "sicuro" l'esercizio della sua attività professionale relativamente agli ambiti di attività (non clinica) e alle possibili criticità collegate
Privacy e Sicurezza dati
Il medico deve ottemperare alle norme sulla Privacy contenute nel D.Lg. 196/2003 e sue successive modifiche ed integrazioni, concernente il trattamento dei dati sensibili, nonché all'obbligo di garantire le misure di sicurezza imposte dall'allegato b) del suddetto decreto, anche se Il comma 1 dell'art. 45, Decreto Legislativo 9 febbraio 2012, n. 5 ( cd decreto semplificazioni ) ha eliminato l'obbligo di redigere ( in forma scritta e con data certa) il documento programmatico per la sicurezza dei dati.
Ecco in sintesi le precauzioni/misure da prendere:
Informativa
Nella sala di aspetto deve essere esposta e ben visibile, in particolare nelle vicinanze dei punti di accoglienza, la Informativa che deve dichiarare al paziente la finalità per la quale si raccolgono i suoi dati sensibili, i soggetti che, per garantire queste finalità, potranno avere accesso ai dati, le garanzie che il cittadino ha di escludere comunque uno o più di tali soggetti dalla consultazione,le misure di protezione che il medico adotta per garantire la conservazione e l'uso corretto dei dati, anche conservati in repository remoti ( Cloud).
A questo proposito sono disponibili in allegato tre formulazioni della informativa.
Tutte tengono conto dell'attuale modalità di lavoro in squadra, delle sostituzioni, della integrazione con la Continuità Assistenziale (anche ruolo unico) dell'utilizzo di personale di studio e/o infermieri . Tutte e tre contengono una parte predisposta che deve essere personalizzata con i nominativi dei colleghi di Assistenza Primaria, titolari delle scelte e quindi responsabili del trattamento dei dati dei propri pazienti, che lavorano fisicamente insieme condividendo i dati.
La prima Informativa, contenente appunto le informazioni come sopra descritte, riguarda i medici che lavorano singolarmente o quelli che lavorano in gruppo ma utilizzano un server fisicamente presente e non utilizzano una forma di Cloud computing.
(Scarica la prima informativa)
La seconda Informativa quindi è già compilata con i dati necessari per chi utilizza il Cloud .
(Scarica la seconda informativa)
La terza informativa è predisposta per l'inserimento dei dati del gestore del Cloud che risulta essere il responsabile della sicurezza dei dati conservati nel cloud stesso e per l'inserimento dei dati della Ditta che ne garantisce Il trasferimento criptato (Telecom piuttosto che altri gestori telefonici)
(Scarica la terza informativa)
Consenso Informato
Il garante, con gli articoli 77, 78 ed 81 del suddetto D.Lg. 196/2003 ha definito che il medico che raccoglie i dati solo per svolgere attività necessarie per la prevenzione, diagnosi, cura, riabilitazione, nei termini di cui all'informativa sopra descritta, è autorizzato alla raccolta del consenso informato "semplificato", consistente nella raccolta verbale del consenso e nella annotazione in cartella clinica elettronica (senza acquisizione di consenso scritto firmato dal paziente). Il consenso può essere raccolto anche una sola volta.
E' importante ricordarsi, all'atto dell'apertura della scheda sanitaria di raccogliere il consenso verbale al trattamento dei dati e di annotarlo in cartella.
A questo scopo molti applicativi hanno delle funzioni di Help che se attivate, aprono direttamente la schermata di annotazione del consenso ricevuto per i pazienti che non lo avevano ancora espresso.
Rispetto della Privacy del paziente
Per garantire al paziente la necessaria Privacy si devono adottare le seguenti misure, specie da parte del personale:
1. La prenotazione e le visite devono avvenire con modalità tali da evitare che altri pazienti possano sentire le conversazioni e/o individuare l'interlocutore.
2. Per nessun motivo dovranno essere comunicate telefonicamente patologie, diagnosi o risultati di esami o referti
3. In presenza di altri pazienti o terzi in sala di attesa non dovranno essere comunicate alta voce patologie, diagnosi o risultati di esami o referti
4. E' necessario evitare di comunicare diagnosi a persone diverse dall'interessato, soprattutto per telefono
5. Le prescrizioni mediche, referti e documenti contenenti dati sanitari devono essere consegnate solo al paziente. E' possibile consegnarle anche a persone diverse sulla base di una delega scritta acquisita anche una sola volta e valida per sempre.
6. La consegna o la "giacenza" di prescrizioni, refereti e documenti sanitari deve avvenire sempre mediante busta chiusa e sigillata. Per nessun motivo le ricette/prescrizioni possono essere lasciate in sala di attesa o in altri luoghi accessibili al pubblico.
Tutte queste specifiche devono essere oggetto di formazione specifica del personale e devono essere contenute in apposita lettera di incarico di cui una copia va consegnata al personale ed una, controfirmata dal personale per attestazione di ricevimento/presa visione va conservata agli atti
Sicurezza dei dati
Come sopra accennato recentemente è stato eliminato l'obbligo di compilazione con data certa del documento programmatico per la sicurezza, ma sono rimaste inalterate le regole previste dall'allegato b) del D.Lg. 196/2003 che impone di mantenere stringenti misure di sicurezza.
E' necessario pertanto fare attenzione a:
1. I Dati del paziente che vengono inseriti nella cartella clinica devono essere crittografati. E' sconsigliato utilizzare programmi "fai da te" mentre è indicato utilizzare uno dei programmi specifici per la gestione della cartella clinica avendo cura, scegliendo il prodotto, di verificare che sia adeguatamente protetto
2. Password: va inserita una password per l'accesso al computer ed una per l'accesso al programma di gestione della cartella clinica. Si deve fare attenzione a cambiare le passwords di accesso almeno ogni tre mesi, scegliendole alfanumeriche con non meno di 8 caratteri. Ovviamente le password sono strettamente personali e quindi non vanno annotate in agende o simili e a maggior ragione non vanno attaccati biglietti pro-memoria con le password al monitor o in luoghi accessibili a terzi
3. Misure di sicurezza per la protezione dei sistemi informatici: vanno fatti regolari e giornalieri back up dei dati e le copie dei dati vanno conservate in luogo diverso da quello dove risiede il personal computer. Il sistema va protetto con un sistema antivirus e firewall anche se non si è collegati ad internet, i virus possono essere annidati anche in file contenuti in altri documenti. Vanno fatti inibire fin dall'origine alcuni siti a più alto rischio di spamming ( es. social network, facebook, secondlife, siti e-commerce e/o ludici).
4. per la manutenzione va utilizzato personale specializzato sottoscrivendo un contratto che obblighi il consulente al rispetto delle normative e delle più scrupolose regole di manutenzione.
Lettere di incarico
Va utilizzata le Lettera di incarico che, oltre ad essere obbligatoria è anche un sistema per obbligare i terzi alla massima responsabilità: mediante la lettera di incarico il medico titolare responsabilizza il personale ed altri collaboratori come i medici sostituti.
Le lettere di incarico oltre a contenere le indicazioni operative a cui il destinatario si deve attenere devono contenere anche la specifica che sulla materia il destinatario è stato formato.
Il personale deve essere responsabilizzato alla corretta gestione e manutenzione dei sistemi informatici.
Spesso il personale, anche il più efficiente, utilizza internet e la posta elettronica. Facile quindi che utilizzi i sistemi anche per ragioni personali.
E' opportuno, quindi, che oltre alla lettera di incarico sia fornita una adeguata nota di istruzioni in modo che sia possibile anche procedere disciplinarmente in caso di violazioni. Sarebbe utile adottare per il personale un "regolamento del personale" che contenga adeguate istruzioni scritte
Poiché tutte le specifiche azioni da intraprendere relative a sicurezza dei dati, rispetto della Privacy, lettere di incarico e formazione, sono contemplate e proposte dal Documento programmatico sulla sicurezza, se ne consiglia comunque la compilazione quale utile strumento di "ceck list" delle azioni da garantire
DOCUMENTO PRODOTTO DA FIMMG NAZIONALE
Il Documento programmatico sulla sicurezza è gratuitamente disponibile agli iscritti sul sito FIMMG
(sezione SERVIZI – DPS e Privacy)