Confessioni di un medico: come il digitale costringe a ripensare la cura
Le cose “come stanno e come dovrebbero essere” dal punto di vista di chi, tutti i giorni, con le tecnologie ci vive e dalle tecnologie si aspetta un supporto concreto e “a prova di bomba” anche dal punto di vista della responsabilità professionale
2 Ottobre 2016
Sergio Pillon, Azienda Ospedaliera San Camillo-Forlanini Coordinatore della Commissione Tecnica Paritetica per la governance delle linee di indirizzo nazionali della telemedicina
Avete mai visto un telefilm americano sulla sanità? Avete visto arrivare in barella feriti, sanguinanti, che vengono operati nel pronto soccorso, senza aver fatto neppure un esame del sangue preventivo? Raro ma possibile, come le tracheotomie fatte con una penna BIC privata del refill ed infilata nella trachea che salva la vita al paziente (ma rischia di farlo morire di emorragia o infezione). Senza ricorrere all’estremo ci sono tanti esempi negli atti sanitari in cui l’immediatezza del salvare una vita di un paziente rende superflue procedure che per la safety (evitare che per errore qualcosa vada male) e la security (evitare che per colpa di qualche malintenzionato qualcosa vada male) nell’atto medico sono obbligatorie. Purtroppo, il medico spesso deve prendere in prima persona la responsabilità di aver saltato queste parti del processo (safety e security), in nome di un interesse superiore. Pensiamo all’immediatezza di una rianimazione: ha il medico verificato personalmente che nella siringa che gli hanno passato ci fosse il farmaco richiesto? Ha verificato l’infermiere che il prodotto non fosse scaduto? O che non fosse una fiala di un prodotto diverso messa fuori posto? O magari nella fretta ha usato un ago butterfly invece di un agocannula perché non l’ha visto sul carrello?
Se queste “scorciatoie” diventassero routine la dovremmo chiamare malasanità, imprudenza, imperizia, negligenza, che sono alla base della definizione di “colpa grave” per un giudice che debba decidere nel caso che qualcosa sia andato storto. Oggi gli atti medici avvengono in un ambiente profondamente informatizzato, una unità di terapia intensiva coronarica (UTIC) vista dal punto di vista informatico ha WiFi, ethernet, PC, Bluetooth, tablet, smartphone, di servizio e/o personali dei medici degli infermieri, dei pazienti, dei parenti degli ammalati, di coloro che ci passano davanti, delle guardie giurate eccetera. In alcuni ospedali e in quasi tutte le case di cura private esistono reti aperte al pubblico e reti chiuse, esistono reti intraospedaliere e interospedaliere, esistono centinaia di personal computer usati come macchine da scrivere e come terminali.
In un sistema così complesso ripensare la safety e la security dell’atto medico è un obbligo, perché tutti questi sistemi sono indispensabili per la diagnosi e la cura del paziente e anche se una UTIC o una rianimazione sono sistemi di emergenza in quei contesti l’emergenza è la routin e. Una recente sentenza della Corte di cassazione ricostruisce una vicenda di “morte per telemetria”: dalla sentenza (Cass. pen. Sez. IV, Sent., ud. 03‐12‐2015, 21‐01‐2016, n. 2541) “ Il paziente Go. era rimasto abbandonato a sé stesso, precisando che l’abbandono fu cagionato dal fatto che le infermiere B. e Ce., sole presenti nel reparto dalle “ore 5.15/5.30” fin “dopo le ore 6”, erano impegnate nell’assistenza urgente di altri pazienti e non erano pertanto “in grado di permanere nella guardiola davanti al monitor della postazione centrale, ove sono consumabili le tracce delle telemetrie”. Osservava il Giudice di primo grado che nella descritta situazione soltanto l’allarme sonoro avrebbe potuto avvertire tempestivamente le infermiere dell’aritmia ventricolare di Go., ma “l’allarme della telemetria n. I applicata a Go. non era scattato perché recava l’impostazione ALLARMI SOSPESI e – per quanto attiene alla durata della sospensione degli allarmi ‐ era stato configurato su “INDEFINITE”, cosicché quando la telemetria veniva applicata con gli allarmi sospesi, questi rimanevano tali se e fino a quando l’operatore non procedeva alla loro attivazione manualmente anche se l’apparecchio telemetrico veniva scollegato da precedente paziente, spento, collegato a nuovo paziente e riacceso” il tribunale di primo grado segnalava anche che : Il tribunale in primo grado segnala anche che : “‐ il “sistema di monitoraggio Philips adottato per il nuovo reparto UTIC non era pienamente padroneggiato… neppure dagli stessi tecnici Philips”; ‐ dall’esame testimoniale degli infermieri in servizio presso l’UTIC … è emerso… che ancora oggi … in alcuni di essi molta confusione è ancora presente su alcuni aspetti di quel sistema”; ‐”… il livello di apprendimento … del sistema di monitoraggio da parte degli operatori non (era) all’epoca dei fatti esaustivo”;
Un serio problema di safety, legata alla tecnologia utilizzata ed alla scarsa conoscenza del software, persino dei tecnici, che ha fatto morire un paziente per una fibrillazione ventricolare non rilevata dagli infermieri .
Come potete immaginare qui il software non è stato hackerato, era aggiornatissimo, tanto che neppure il tecnico lo padroneggiava. Non potete immaginare quante volte mi sia trovato con un nuovo apparato e con un tecnico che cercava di rispondere alle mie domande cercando sul manuale o provando nei vari menu a modificare la configurazione. In compenso quell’ospedale sicuramente aveva i firewall, i computer rigorosamente bloccati per installare software sconosciuti, peccato che in un ospedale che conosco bene la rete della cardiologia sia stata messa in ginocchio da un medico che ha attaccato un proprio PC alla rete ed il PC si è messo a fare il DNS, o che ad un certo punto il traffico di trojan sulla rete interna, generato dall’uso delle chiavette USB che i medici e gli infermieri si portano da casa era superiore a quello “legacy”
Un’altra mia esperienza è legata al mio ruolo di direttore di una dei maggiori centri di telemedicina del mondo, un ospedale virtuale, il CIRM che ha oltre 80 anni di esperienza, con una ventina di persone che lavorano per una guardia di telemedicina H24. Una piccola struttura, pubblica, che ha sempre fatto contratti Business con i principali operatori di fisso e mobile (certo, nessuno ti fa un contratto per usi medici, non sono mica scemi, poi dovrebbero pagare i danni in caso di problemi). Provider di posta elettronica affidabili al 100%? Nessuno (ci metto anche problemi come “casella piena” filtri antispam che elimina messaggi voluti eccetera), reti affidabili al 100 % nessuna, ogni tanto TUTTE vanno giù. Infatti ancora, benché il sistema sia potenzialmente completamente paperless le cartelle vengono stampate e archiviate nel vecchio, solito, carrello. Ogni mese i tecnici provvedono a ripulire i PC, che si riempiono di “schifezze” o peggio generate dai siti su cui si naviga, (spesso per lavoro e aggiornamento su patologie, farmaci) o generate da email con attachment truffaldini (il ransomware ha colpito moltissimi ospedali italiani) o da pendrive USB, CD e persino da stampanti con porta USB. Pericoli, nuovi, che un sistema sanitario digitalizzato non possa svolgere il suo compito per un digitale malfatto, casareccio, non solo insicuro
Tutto perduto? Quali sono le soluzioni che un “telemedico” può proporre? Mi piace citare le parole di un amico, Corrado Giustozzi, autore nel 2007 di un libro intitolato “la sindrome di Fort Apache” Rispondendo a una intervista alla domanda “ Perché “sindrome di Fort Apache”? Siamo destinati alla sconfitta? O dalla sconfitta nascerà qualcosa di nuovo ?
CG: È destinato alla sconfitta solo chi, nella società contemporanea caratterizzata da aziende virtualizzate, forza lavoro mobile e business transnazionali, continua a fare la propria sicurezza come facevano a Fort Apache, ossia pensando di poter costruire una barriera invalicabile tra sé e “gli altri”. L’equazione “dentro = buoni, fuori = cattivi” al giorno d’oggi non vale più, ammesso che sia mai stata davvero valida in passato. I paradigmi sono cambiati e, per non essere sconfitti, occorre adeguarsi .
A proposito della protezione dei dati nel sistema sanitario inglese lo scorso 6 luglio 2016 il National Data Guardian scrive al segretario di Stato:
Caro Segretario di Stato,
Lo scorso settembre Lei ha chiesto alla Care Quality Commission (CQC) di intraprendere una revisione della sicurezza dei dati nel NHS, e in parallelo chiede a Dame Fiona Caldicott, il Data Guardian nazionale, di sviluppare nuovi standard di sicurezza dei dati nel sistema sanitario ed un metodo per valutare l’applicazione di questi nuovi standard (…)
Dalla recensione di CQC di 60 ospedali, ambulatori GP e studi dentistici incentrata sulla disponibilità, l’integrità e la riservatezza dei sistemi di dati nel NHS è emerso che:
- C’era un evidente, diffuso impegno per la sicurezza dei dati, ma il personale a tutti i livelli è in grande difficoltà nel tradurre questo impegno nella pratica quotidiana.
- Quando si sono verificati incidenti sui dati dei pazienti questi sono stati presi in seria considerazione. Tuttavia, il personale riferisce che le lezioni non sempre sono stata apprese o condivise dalle loro organizzazioni.
- La qualità della formazione del personale in materia di sicurezza dei dati era molto varia a tutti i livelli.
- Le politiche e le procedure di sicurezza dei dati erano in vigore in molti centri esaminati ma non necessariamente si riflettono nella pratica quotidiana.
- Il Benchmarking con altre organizzazioni era assente. Non c’era cultura di imparare dagli altri e abbiamo trovato poche prove di controllo esterno o validazione delle disposizioni sulla sicurezza dei dati.
- L’utilizzo della tecnologia per la registrazione e la memorizzazione di informazioni su supporti digitali del paziente è in crescita. Questo sta risolvendo molti problemi di sicurezza dei dati, ma, se non migliorata, aumenta il rischio di più gravi perdite di dati su larga scala.
- I sistemi di sicurezza dei dati e i protocolli non sono sempre stati progettati attorno alle esigenze del personale di prima linea. Questo porta il personale a sviluppare autonomamente soluzioni potenzialmente non sicure al fine di fornire una cura efficace e tempestiva per i pazienti – questo problema è stato particolarmente evidente nell’ambito della medicina di emergenza.
- Man mano che la cura integrata nei vari livelli del sistema si sviluppa, devono essere messi in atto miglioramenti nella la facilità e la sicurezza di condivisione dei dati tra i servizi.
Nello svolgimento del lavoro per sviluppare nuovi standard di sicurezza dei dati per la salute e l’assistenza sociale, la revisione del Data Guardian Nazionale ha rilevato che:
- Vi è un alto grado di fiducia del pubblico nella capacità del NHS di salvaguardare i dati delle persone. La gente vuole rassicurazioni sulla sicurezza quando i dati vengono spostati al di fuori del servizio sanitario nazionale ed alcuni vogliono infliggere sanzioni più severe per le violazioni intenzionali o dannose.
- I medici di medicina generale e gli operatori sociali vogliono una spiegazione chiara di ciò che dovrebbero e non dovrebbero fare e rassicurazioni che le organizzazioni con cui si condividono i dati stanno esse stesse proteggendo efficacemente le informazioni del paziente.
- In precedenza i dati sono stati violati ed erano per lo più legati a record cartacei, o per vecchie attrezzature, come i fax. Man mano che l’assistenza sanitaria e sociale diventano più digitali, molti di questi problemi saranno affrontati automaticamente. Tuttavia, da momento che i sistemi saranno diventati più digitali, le violazioni potrebbero influenzare un maggior numero di persone e la minaccia cibernetica esterna sta diventando rischio crescente
- Una serie di standard per la sicurezza dei dati è già esistente, ma i titolari del trattamento sono spesso incerti su quelli da seguire.
- Una forte leadership può fare la differenza.
- L’integrazione del sistema porta alla condivisione dei dati tra le organizzazioni sanitarie e di assistenza sociale, anche se la mancanza di comprensione delle problematiche di sicurezza sta causando la tendenza al rifiuto dell’integrazione stessa, per evitare rischi.
- Violazioni dei dati sono state causate da persone, da processi e tecnologie, molto spesso a causa di persone che hanno violato le regole solo per poter fare il proprio lavoro, persone che spesso lavorano con processi e tecnologie inefficaci.
Con pochissime modifiche la situazione italiana e’ identica. Cosa fare dunque è la vera rivoluzione va verso una cultura della cybersecurity in sanità, una cultura di processo in sicurezza, la cybersecurity (di cui la protezione dati è un, rilevante ma sempre solo, un pezzetto) in sanità non è un “retrofit” un “plug in” è il prodotto finale di un percorso piramidale per ordine di importanza in cui al primo posto ci sono la leadership, poi le competenze, poi ci sono le tecnologie almeno decenti e solo in fondo i regolamenti e le punizioni. Ad esempio se rendere fuorilegge nel SSN i PC con i sistemi operativi Windows XP e Vista, non più supportati, temo che il nostro SSN si troverebbe in seria crisi! E senza operatori sanitari competenti a tutti i livelli non si andrà lontano, serve personale sanitario formato, che sappia fare il proprio mestiere nell’era digitale.