PREVENZIONE, LA CHIAVE PER EVITARE LE CONSEGUENZE DEI CYBER-ATTACCHI NEL SETTORE SANITARIO

Lo sviluppo tecnologico e la connettività tra persone e dispositivi consentono ad ambiti tradizionali come la medicina un salto qualitativo, proponendo soluzioni che, anni fa, sarebbero state ascritte più alla fantascienza che alla realtà.

Questo nuovo paradigma, che è in evoluzione, comporta, però, anche dei rischi. Rischi che stanno crescendo in misura esponenziale e che limitano fortemente l’impiego delle tecnologie e dello scambio di informazioni sanitarie tramite supporti informatici (si pensi solamente ai limiti imposti alla telemedicina sul territorio e al telemonitoraggio domestico). La sicurezza informatica, in definitiva, è la conditio sine qua non per l’innovazione. Parallelamente allo sviluppo tecnologico, infatti, è proliferata anche la frequenza e il grado di raffinatezza dei cyber attacchi. L’obiettivo dei cyber criminali può variare: sottrazione di dati bancari, collasso di reti oppure – molto frequente in ambito sanitario – furto di dati confidenziali. Ma la loro capacità di azione è in crescita allarmante.

Il settore sanitario è particolarmente a rischio sia per la riservatezza dei dati trattati sia per il danno potenziale alla salute dei pazienti causato da un attacco capace di paralizzare l’attività ospedaliera. Un danno esponenziale che va prevenuto.

Il tema è attuale e il rischio imminente perché gli attacchi in sanità si sono moltiplicati nel corso degli ultimi mesi, ponendo il settore in una situazione molto delicata. Le informazioni sanitarie sono molto preziose – basti pensare a quelle racchiuse nelle cartelle cliniche – mentre, di converso, una rete di sistemi e device medicali è tanto più vulnerabile nel suo insieme quanto maggiore è l’interconnessione tra i singoli device.

Siccome l’Internet of Medical Things è un processo in divenire, le strutture sanitarie devono aggiornare la loro difesa sia al crescere degli attacchi che al crescere delle possibili vie di attacco. È un ambito che necessita della coordinazione di numerose competenze che spesso non sono presenti all’interno della struttura stessa.

Chi le può fornire? La risposta della Mutua Sham è: l’assicuratore. Non sono solo le strutture sanitarie a doversi aggiornare, anche le assicurazioni che coprono il loro rischio possono e devono contribuire attivamente alla sicurezza, affiancando al loro ruolo tradizionale, quello di Risk Manager, e acquisendo le competenze necessarie a fronteggiare i nuovi rischi.

È questo il senso delle partnership strette da Sham con i nuovi partner tecnologici come  CyberMDX: sviluppare una soluzione di prevenzione informatica unica. La tecnologia di CyberMDX  è un esempio di come si può rispondere al nuovo scenario di rischio informatico per prevenire i danni di un attacco. Consente, infatti, un monitoraggio costante della rete e dei dispositivi connessi simultaneamente per analizzare i rischi in base alle vulnerabilità dei sistemi, le minacce rivelate e la criticità dei dispositivi permettendo di reagire tempestivamente. Grazie all’intelligenza artificiale, è addirittura possibile che la rete stessa impari a rilevare attacchi e agisca di conseguenza e, nel caso in cui vada tutto bene, generare informazioni preziose per ottimizzare il sistema e realizzare una gestione più efficiente dei dispositivi medici.

Come premesso, è solo un esempio. Ma indica la direzione giusta nella quale muoversi: la prevenzione che rende sicura l’innovazione.

 

Roberto Ravinale,

Direttore Esecutivo di Sham in Italia

L’ASSICURAZIONE È LA RISPOSTA GIUSTA AI CRESCENTI ATTACCHI CYBER IN SANITÀ

L’Italia tra i primi paesi al mondo per numero di attacchi spam ai danni delle imprese subiti durante la crisi Covid-19. Cresce la consapevolezza del pericolo cyber in ambito sanitario, ma è ancora scarso l’impiego delle polizze assicurative cyber in sanità che possono fornire protezione dagli attacchi oltre che dai danni.

 

La digitalizzazione dei servizi è stata accelerata dalla pandemia; un’evoluzione dalla quale non si torna indietro. Dall’online banking al pagamento delle tasse, fino alla prenotazione delle visite mediche, le attività online coinvolgono sempre più aspetti della vita quotidiana. Al crescere della digitalizzazione è cresciuto anche il rischio informatico.  I dati sanitari, in particolare, sono la categoria più sensibile di informazioni e la più ambita dai cyber criminali. “Per questo l’impegno per garantirne la sicurezza deve essere prioritario. La mitigazione del rischio cyber è uno dei temi più delicati per le società in questo momento – afferma Alessandra Grillo, Operations Director di Sham in Italia. – L’Italia è tra i primi paesi al mondo per numero di attacchi spam ai danni di aziende sanitarie subiti durante la crisi Covid-19. È un problema trasversale che interessa tutti i campi ma che per le strutture sanitarie assume una dimensione ancora più preoccupante visto il tipo di dati tipicamente conservati nei loro server. Anche per questo Sham ha condotto recentemente, con la partnership dell’Università di Torino, un sondaggio in 14 Regioni italiane al fine di misurare la consapevolezza e il livello di preparazione della sanità italiana davanti al rischio informatico. I risultati verranno pubblicati a breve ma già ora possiamo anticipare che né la formazione del personale né la diffusione della copertura assicurativa sono sufficienti per far fronte alla situazione”. Attraverso la survey Capire il rischio Cyber: il nuovo orizzonte in sanità sulla consapevolezza dei rischi cyber nelle strutture ospedaliere, Sham ha potuto realizzare una fotografia dello stato attuale delle misure di sicurezza e prevenzione messe in atto da diversi ospedali italiani.

Perché in ambito sanitario il rischio cyber può avere un impatto superiore?

In caso di attacco informatico, un’azienda di servizi ad esempio potrà subire delle perdite economiche e danni d’immagine. Ma per un’azienda sanitaria, oltre al danno patrimoniale, c’è la possibilità che l’arresto dei servizi sia causa di danno a terzi, ovvero ai pazienti, non solo durante l’evento ma anche successivamente. Il prolungamento delle liste d’attesa per l’accesso alle cure mediche, per esempio, può, avere effetti potenzialmente fatali così come la sospensione delle attività in sala operatoria o i trasferimenti in altre strutture in caso di urgenze che non possono essere trattate durante un attacco cyber. Per quanto sia possibile mitigare i danni e prevenire i rischi, inoltre, c’è sempre una componente di rischio residuo che non può essere evitata. Per essere pronti ad affrontare anche questi aspetti, le strutture ospedaliere possono ricorrere a una polizza assicurativa contro i danni informatici che non solo copra il danno finanziario e il rischio di danni a terzi ma che preveda anche un supporto tecnico attivo per il cliente in caso di necessità.

Quanto è importante fare ricorso a una polizza cyber?

Poiché nella pratica sanitaria usiamo sempre più strumenti elettromedicali e facciamo ricorso alla telemedicina, gli attacchi informatici sono sempre più frequenti e purtroppo meno complicati da realizzare. Come abbiamo visto dalla survey, la percezione del rischio cyber è in aumento tra il personale sanitario. Nonostante ciò, la percezione della necessità di sottoscrivere una polizza cyber è ancora molto bassa. Non è sufficientemente diffusa la cultura dell’assicurazione per il rischio cyber, né è percepito particolarmente il bisogno o il vantaggio della sottoscrizione di una copertura adeguata.

Come si pone il mercato delle assicurazioni in questa situazione?

Le società assicurative sono in prima linea nell’azione contro i rischi informatici e offrono numerose offerte dedicate, forti anche dell’esperienza con i rischi digitali maturata in altri ambienti come quello bancario. Attualmente vi sono in gioco due fattori: la percezione delle strutture, che resta molto basso, e il fatto che la cyber insurance sia attualmente un hard market con premi in crescita. Per uscire da questo empasse è necessario sensibilizzare le strutture rispetto ai danni esponenziali che questo rischio può provocare: ciò potrebbe contribuire a un incremento del numero di polizze vendute che, in un contesto di mutualizzazione del rischio, consentirebbe agli assicuratori di abbassare i premi.

Quali sono le azioni da mettere in campo per superare questa situazione?

La realizzazione di audit negli ospedali è un perfetto strumento per mettere in evidenza le debolezze della struttura e focalizzare la questione in modo tecnico. La chiave è continuare a informare e a sensibilizzare gli ospedali sul rischio informatico, focalizzando l’attenzione sulle problematiche sanitarie.  In questo momento gli ospedali si stanno misurando con gli effetti di una pandemia mondiale, che incide negativamente sulla liberazione di risorse ulteriori. È quindi molto complicato pensare di poter investire in soluzioni per un problema che non sembra essere percepito come reale e imminente. Per questo serve diffondere consapevolezza sui rischi reali e sul costo dei danni che potrebbero insorgere qualora questi vengano trascurati.

UN DIRETTORE D’ORCHESTRA PER L’ASSICURAZIONE SANITARIA

Sham introduce una figura professionale – il KAM, Key Account Manager – dedicata esclusivamente alla cura del rapporto con il cliente facendosi portavoce delle sue necessità in ogni fase della relazione.

 

L’ambiente sanitario è costellato da realtà molto diverse tra loro sotto numerosi aspetti: dal tipo di gestione, pubblica o privata, al numero di posti letto e alla dimensione dei reparti. L’assicuratore che lavora in questo campo si trova difronte a un numero di necessità e di bisogni specifici, molto diversi tra loro. Per garantire una risposta adeguata alle specificità di ogni singola realtà sanitaria associata, Sham ha delineato una nuova figura professionale che accompagni nel quotidiano l’assicurato: il Key Account Manager (KAM).

“Il KAM ricopre il ruolo di contatto primario per il cliente- specifica Luca Achilli, Direttore Sviluppo Healthcare di Sham in Italia. – È lui a rappresentare l’azienda in modo univoco, introducendo i diversi professionisti che accompagneranno il cliente e presentando le soluzioni più idonee a specifici bisogni dell’assicurato.  È il portavoce delle sue esigenze all’interno di Sham e si assicura che queste siano recepite e soddisfatte nel migliore dei modi”.

Il rapporto del KAM con il cliente è trasversale e continuativo. Pur lasciando ai colleghi la gestione operativa dei diversi aspetti tecnici, il KAM continua a seguirne gli interessi, rimanendo il punto di riferimento a cui il cliente potrà rivolgersi in caso di necessità.

“È una figura specializzata nel gestire il rapporto con il cliente ad ogni livello della trattativa. Una volta che è stato definito l’accordo, Il KAM prende le redini della gestione del cliente, curandone ogni aspetto – specifica Gianluca Sanchioli, Key Account Manager di Sham in Italia. –  Il KAM deve avere sviluppare una relazione di prossimità con il cliente: è la persona incaricata del disegno di un’offerta che sia perfettamente calibrata ed esaustiva rispetto a tutte le sue richieste. Mentre gli altri professionisti di Sham si occupano degli aspetti più tecnici, il KAM continua a informarsi circa l’intero processo, occupandosi dei follow up e verificando l’emergere di nuovi aspetti non considerati in sede contrattuale. Questo rapporto privilegiato contribuisce alla soddisfazione del cliente, che si sente seguito, consapevole che ogni suo eventuale problema verrà affrontato il più rapidamente possibile”.

Riassumendo, il compito del KAM è quello di coordinare e armonizzare i rapporti tra assicurati e assicuratori, permettendo la migliore collaborazione possibile.

“Potremmo dire che il KAM è un direttore d’orchestra. Non è lui a suonare gli strumenti ma il suo compito è quello di assicurarsi che l’esecuzione della sinfonia risulti più che apprezzata dal suo pubblico” conclude Achilli.

RSA E RISK MANAGEMENT: PROSPETTIVE FUTURE DOPO IL COVID-19

La pandemia da COVID-19 ha amplificato significativamente problematiche del mondo delle RSA in parte note agli operatori di settore, e purtroppo fino ad ora rimaste non adeguatamente gestite. La mancanza di omogeneità rispetto all’organizzazione nazionale è stata fortunatamente bilanciata dalla grande dedizione del personale sanitario. In futuro sarà necessario affidarsi alle nuove tecnologie per migliorare la sicurezza e la qualità delle cure delle categorie particolarmente a rischio presenti nelle strutture.  

 

Le Residenze Sanitarie Assistenziali hanno dovuto affrontare l’emergenza di una pandemia che ha colpito soprattutto la fascia di età dei pazienti in esse residenti. Come? Ne abbiamo parlato con la Dott.ssa Francesca Rubboli, Direttore Risk Management econ Anna Guerrieri, Risk Manager di Sham Italia.

Come si sta muovendo il comparto del controllo delle infezioni e della cura delle persone? La prassi eseguita nelle strutture procede secondo un paradigma condiviso?  

La situazione delle RSA non ha subito cambiamenti strutturali rispetto alla prima ondata della pandemia. La maggior parte delle strutture attualmente è impostata sulla valorizzazione del profilo alberghiero più che di quello sanitario. In molte di esse, infatti, l’impianto sanitario è presente solo su carta, per questo è necessario un ripensamento della governance del sistema sanitario. Purtroppo ogni Regione adotta criteri di accreditamento propri ed in questo modo è molto complicato generare pratiche condivise da seguire.

È possibile identificare, in uno scenario così variegato, delle “buone pratiche” funzionali, che possano essere efficaci?  

Le buone pratiche ci sono, ma dipendono, spesso, dalla sensibilità e dalla formazione dei Direttori generali e del personale sanitario delle RSA. Talvolta, ad esempio, le funzioni di direzione generale vengono ricoperte da professionisti che non fanno parte del mondo sanitario e, di conseguenza, non hanno una visione di insieme di tipo medico: conoscono poco le loro strutture e dal punto di vista dell’health management sono poco presenti. Diversamente ci sono realtà in cui i direttori sanitari sono più accorti e attenti, e possiedono un’interpretazione del rischio avanzata.

In questi mesi si è molto parlato dell’importanza della comunicazione in tempi di pandemia. Ad esempio, si è molto parlato delle pareti in plexiglass che hanno permesso un’interazione tra pazienti e ospiti delle RSA. È possibile continuare a percorrere questa strada?  Se sì, come?

La ridefinizione di percorsi di accesso e di flussi per ospiti e pazienti, la rimodulazione di spazi dedicati all’incontro, il potenziamento delle misure di igiene e la disinfezione nei reparti, insieme all’adozione di dispositivi di protezione individuale, hanno notevolmente arginato i danni del COVID. Le pareti di plexiglass sono state preziose nello specifico momento dell’inizio della pandemia, ma nel momento di crisi maggiore le RSA hanno totalmente chiuso i contatti con gli ospiti provenienti dall’esterno. Le strutture che hanno adottato tale modalità sono risultate essere quelle più sicure, sia per i pazienti che per gli operatori sanitari. In contesti del genere, però, non dobbiamo dimenticare il benessere sociale e umano delle persone, che è importate tanto quanto quello fisico. Il personale sanitario ha supplito in modo eccellente alla mancanza di contatti tra i pazienti e le proprie famiglie, mettendo a disposizione i propri device personali al fine di poter mantenere un rapporto con l’esterno e in casi gravi ed infelici poter dare l’ultimo saluto ai propri cari. Non dobbiamo dimenticarci che l’aspetto umano è, ed è stato, fondamentale e va al di là di qualsiasi protocollo o procedura.

In una situazione così mutevole, il modello delle RSA è destinato a cambiare?

Assolutamente sì. Il 5 marzo sarà organizzata da Italian Network for Safety in Healthcare (INSH) in collaborazione con Sant’Anna Scuola Universitaria Superiore di Pisa, una giornata di webinar dal titolo “COVID-19 nelle RSA” in cui si discuterà della sicurezza e della qualità delle cure nelle RSA dopo l’arrivo della pandemia. L’ipotesi principale è quella dell’utilizzo delle nuove tecnologie nel campo medico, come ad esempio i braccialetti con microchip.  che potrebbero divenire uno strumento necessario nel momento in cui ci si interfaccia con pazienti che non sono più in grado di relazionarsi con il personale sanitario (ma anche con pazienti vigili). Mettere a disposizione dei propri pazienti tecnologie di base che possono garantirne la sicurezza è un passaggio fondamentale. La possibilità dell’accesso diretto ai dati del singolo paziente è fonte di sicurezza e garanzia ulteriore di riuscita delle cure somministrate. Molto importante è anche la telemedicina: spesso i pazienti delle RSA seguono delle profilassi mediche gestite dai medici di base, per questo è doveroso rafforzare la comunicazione tra questi ultimi e gli operatori delle RSA. Inoltre, sarà necessario agire sulla campagna delle vaccinazioni. Maggiore sarà il numero dei vaccinati nelle strutture RSA, minore sarà il rischio della diffusione della malattia. Dobbiamo lavorare con l’obiettivo comune di un sistema sanitario più sicuro così da favorire la ripresa dei contatti umani nelle strutture.

Quali saranno, quindi, i principi del cambiamento? 

Mi auguro che le RSA siano sempre più percepite e gestite come strutture sanitarie. Auspico inoltre un rafforzamento della “profilassi” nei confronti delle infezioni – sia virali che di batteri farmaco resistenti –  e nel contempo un’apertura ed intersezione significativa con: la medicina territoriale, i parenti degli ospiti e l’aggiornamento sulle buone pratiche di Risk Management. È un’evoluzione in corso e non sappiamo ancora che strada prenderà. Ma la direzione è quella giusta e quel che è certo, è che si dovrà basare anche sull’adozione delle tecnologie digitali.

L’INTELLIGENZA ARTIFICIALE AL SERVIZIO DELLA SICUREZZA NEL BLOCCO OPERATORIO

Michael S. WOODS, MD, MMM

Chief Medical Officer presso Caresyntax*

Qual è l’obiettivo della digitalizzazione delle sale operatorie?

“Esistono numerosi flussi di dati preziosi e non sfruttati in un blocco operatorio. Questi dovrebbero essere utilizzati per migliorare il suo funzionamento. Abbiamo osservato che questi flussi di dati incrociano tutti gli aspetti delle cure chirurgiche fornite ai pazienti: qualità operativa, organizzazione, gestione dei rischi, gestione del materiale/catena logistica. Tutti questi elementi hanno un impatto diretto o indiretto sul budget di una struttura. Trattiamo l’utilizzo di questi dati dal punto di vista sociotecnico. Ad esempio, “Per il paziente, come influisce il lavoro di squadra intra-operatorio sul risultato?”, “Quale livello di competenza tecnica è necessario per assicurare in modo affidabile che un chirurgo o un ospite avrà buoni risultati?”; “A quale livello di competenza tecnica vediamo una riduzione dei tempi operatori o un miglioramento dell’utilizzo dei dispositivi monouso?”; “Quante ore un chirurgo può operare ininterrottamente ed in piena sicurezza prima che la stanchezza cognitiva cominci ad influenzare il processo decisionale intraoperatorio?”. È solo grazie alla capacità di gestione di questo insieme di dati aggregati ed integrati (medicali, qualità, rischi, materiali ed operazioni) che un’organizzazione può iniziare a migliorare in uno di questi campi”.

Quali sono i principali vantaggi della digitalizzazione del blocco operatorio?

“Sono tanti, ma quelli che metterei in evidenza sono, in particolare, il miglioramento della performance delle soluzioni tecnologiche che lo compongono, il rafforzamento del coordinamento e l’armonizzazione delle pratiche e, infine, il miglioramento dell’efficacia operativa e della sicurezza dei pazienti. Le organizzazioni che hanno adottato une piattaforma digitale per la chirurgia hanno fatto dei progressi considerevoli in materia di efficacia, di qualità e di gestione dei rischi. In effetti, una tale piattaforma può consentire l’introduzione di una nuova procedura in modo più sicuro o mostrare in quale misura gli aspetti operativi della giornata hanno un impatto sui risultati della chirurgia e, quindi, sul paziente”.

In quali campi considera che sia più importante implementare un modello standardizzato nella chirurgia?

“Ho lavorato con il primario del reparto trapianti renali durante la mia formazione in chirurgia, e questi era famoso tra gli stagisti per aver detto: “Lo facciamo allo stesso modo, ogni volta”. Riconosceva che l’affidabilità delle performance tecniche della chirurgia, così come le cure preoperatorie e postoperatorie fornite ai pazienti, erano la chiave per avere un risultato affidabile. In questo senso, tutto il percorso delle cure chirurgiche è importante – l’intervento e il processo, il funzionamento della squadra, le competenze tecniche ed interpersonali del chirurgo, la gestione dei rischi e le pratiche di qualità, e la gestione dei materiali.

Un buon risultato è la somma delle componenti di tutto il percorso di cure. Una procedura può svolgersi alla perfezione da un punto di vista tecnico, e il paziente muore all’improvviso per un’embolia polmonare 3 giorni dopo l’intervento perché non c’era nessun processo per evitare la profilassi della trombosi venosa. Dimentichiamo spesso che il risultato di un intervento, benché sia legato in modo significativo alle competenze del chirurgo, può essere influenzato negativamente da problemi clinici o legati al processo.

Quindi non esiste un campo più importante di un altro per stabilire l’affidabilità di un sistema complesso e dinamico. Il modello di James Reason illustra perfettamente come non sia un solo elemento che porta ad un evento indesiderabile, ma la somma di numerosi fattori durante tutta la durata del percorso di cure, che si susseguono tutti al momento sbagliato (o al momento giusto) per causare un danno al paziente. È per questo che Caresyntax  si è basato su di un modello sociotecnico per realizzare la Piattaforma di Chirurgia Digitale. È da questa piattaforma che traiamo la nostra capacità di comprendere la cultura delle cure per la salute, dei processi e delle tecnologie nelle cure ai pazienti, per aiutare le organizzazioni a normalizzare la continuità delle cure chirurgiche”.

Quali sono le sfide tecniche e umane legate al blocco operatorio digitalizzato?

“Uno dei primi freni che osserviamo è lo scetticismo dei chirurghi riguardo al valore del digitale in chirurgia, e ciò succede malgrado il fatto (dimostrato in diverse occasioni, per esempio nello sport) che l’esame video possa migliorare l’affidabilità delle performance. Dal punto di vista dei rischi, il filmato delle procedure chirurgiche suscita numerose preoccupazioni. In un certo modo, questo rimanda alla questione del cambiamento di mentalità, dal passaggio dell’ambiente punitivo ad un ambiente d’apprendimento. Che cos’è più importante? Imparare di continuo filmando tutti gli interventi chirurgici oppure usare il video come strumento di prova in caso di contestazione. Direi che la prima soluzione è la più importante ed avrà un impatto molto più forte sulla riduzione dei rischi rispetto ad ora. Nessun dato corrobora questa preoccupazione, a parte alcuni casi aneddotici e puntuali in cui il video ha avuto un ruolo negativo in un caso.

Ma che dire del valore di un filmato che dimostra che non si è verificato nessun errore tecnico? Che dire di un filmato che documenta un malfunzionamento dell’apparecchio – e non un errore del chirurgo – come causa ultima della complicazione? La gente vuole credere che se adotta una certa tecnologia, quest’ultima risolverà tutti i problemi di sicurezza, di qualità o di funzionamento nel blocco. Ma la scienza sociotecnica ci dice che questa non è per forza la realtà; la tecnologia integra l’organizzazione, ha un impatto sulle squadre, sugli utenti finali, ma anche sui processi. È l’esito finale che determina il valore portato dalla nuova tecnologia.

La tecnologia può migliorare la qualità, la comunicazione e il lavoro di squadra, ma può anche ostacolarli. Abbiamo quindi imparato che ogni soluzione tecnologica deve essere associata a delle metodologie normalizzate, logiche e comprovate – dei processi – che traggono vantaggio tanto dalla nuova tecnologia quanto dalle realtà umane esistenti, per rispondere ai bisogni dei nostri pazienti e dell’organizzazione del blocco. Tra le altre sfide da affrontare, vi è quella della personalità del chirurgo (e posso dirlo perché sono io stesso un chirurgo). Alcuni chirurghi ritengono che il loro livello di competenza sia talmente buono che non trarrebbero nessun profitto dall’uso di una piattaforma di chirurgia digitale. La mia risposta a ciò è la seguente: “Non avrete nessuna difficoltà a partecipare dal momento che il vostro elevato e costante livello sarà la norma di performance per gli altri”.

A che genere di progetti lavora attualmente? 

“Oggi, lavoriamo a diversi cantieri i cui obiettivi sono i seguenti: migliorare la formazione virtuale ed il controllo della qualità delle procedure chirurgiche; automatizzare il rilevamento dei marcatori di eventi indesiderabili al fine di permettere un intervento in tempo reale e di favorire un miglioramento continuo; concentrarsi sulle infezioni del sito chirurgico e sulla loro riduzione utilizzando degli approcci manuali o automatizzati, integrati alla pratica del chirurgo; integrare nel nostro software degli algoritmi di rilevamento di fasi ripetitive per automatizzare le operazioni nel blocco operatorio. Ad esempio, automatizzando la chiamata del caso successivo, oppure notificando ai servizi delle pulizie che la sala dovrà essere pulita 30 minuti più tardi, ed altre funzioni banali ma essenziali per non gravare sul personale”.

E quali sono i suoi risultati?

“Abbiamo imparato che la tecnologia applicata in maniera isolata non è sufficiente a risolvere i problemi ai quali siamo confrontati nel campo delle cure sanitarie. Tutti vogliono una soluzione semplice per rispondere ad un problema complesso (per esempio, premere un interruttore oppure incorporare un algoritmo d’IA nella propria cartella medica condivisa per risolvere il problema). Questo non succederà, almeno non in tempi brevi. È una delle ragioni per le quali questo approccio non si limita alla piattaforma di chirurgia digitale, ma aiuta anche le organizzazioni a trarre vantaggio da una metodologia di miglioramento standardizzata e molto solida, associata alla tecnologia per creare affidabilità”.

Come percepisce il ruolo dell’assicuratore nella diffusione di questo tipo di innovazioni? 

“Gli assicuratori che sostengono questo tipo di approccio stanno creando due modelli di comportamento indispensabili per il settore del rischio. Da una parte, vedono che una buona politica di gestione dei rischi passa attraverso la promozione della qualità e della sicurezza, ma anche attraverso l’aiuto fornito alle organizzazioni per renderle più performanti; da un’altra parte, capiscono che l’innovazione è necessaria, in particolare in materia di gestione dei rischi e di pratiche di sottoscrizione. Gli assicuratori che sostengono l’approccio progettato da Caresyntax comprendono anche che potranno sviluppare delle pratiche di sottoscrizione molto più intelligenti e specifiche a vantaggio del chirurgo, della sua organizzazione e dell’assicuratore poiché integreranno ciò che io chiamo lo “spettro dei rischi”. Questo concetto non si fonda solo su ciò che genera un sinistro, ma su qualsiasi risultato inatteso causato ai pazienti che costituisca un rischio di responsabilità. Se comprenderà lo “spettro dei rischi”, un assicuratore sarà in grado di guidare i suoi soci affinché trattino i dati allo scopo di ridurre il numero di danni evitabile per i pazienti e, di conseguenza, di ridurre la loro esposizione globale. Si tratta di uno scenario “win-win-win”. Inoltre, orientandosi verso un’identificazione in tempo reale dei problemi clinici in evoluzione, l’assicuratore ha la possibilità di impegnarsi in una risoluzione precoce e proattiva dei reclami inevitabili”.

 

 

 

* Fondata a Berlino nel 2013, Caresyntax ha sviluppato un ecosistema di chirurgia digitale interamente integrato che offre ai fornitori di tecnologie, alle strutture sanitarie, ai produttori di dispositivi medici e agli assicuratori dati chirurgici utilizzabili, nonché un’automatizzazione che contribuisce a ridurre i rischi chirurgici.

La piattaforma Caresyntax, che coniuga l’Internet of Things (IoT), l’analisi dei dati e le tecnologie di Intelligenza Artificiale, trasforma i dati clinici e operativi non strutturati in informazioni utilizzabili, in tempo reale, automatizzando i flussi di lavoro a supporto del processo decisionale.

Il suo utilizzo da parte del personale sanitario e amministrativo consente in particolare di:

  • Aumentare la visibilità e la comprensione dei “punti caldi” per i rischi clinici e operativi
    • Automatizzare i processi e i flussi chirurgici
    • Ottimizzare l’assegnazione e l’utilizzo delle risorse necessarie al funzionamento del blocco operatorio
    • Agevolare l’apprendimento mediante i dati grazie al confronto di indicatori di prestazione
    • Ridurre la variabilità delle prestazioni tecniche e dei risultati clinici

Caresyntax ha sede in Germania e negli Stati Uniti. La soluzione Caresyntax è attualmente utilizzata in oltre 7.000 sale operatorie e 1.800 ospedali in tutto il mondo, che rappresentano oltre 10 milioni di interventi chirurgici all’anno.

 

IL RISK MANAGEMENT È AL CENTRO DEL CAMBIAMENTO IN SANITÀ

Inauguriamo il mese di febbraio con un numero particolarmente ricco di Sanità 360° che abbraccia i grandi temi contemporanei nella gestione del rischio con un focus sull’integrazione del risk management in ogni ambito sanitario: un trend che da anni abbiamo individuato come uno dei principali driver di miglioramento nell’orizzonte delle cure.

Apriamo con la seconda puntata relativa alle riflessioni dell’importanza della tecnologia nel futuro del risk management sanitario, a cura di Luca Achilli, che ci racconta come l’assicuratore assolva a una funzione di “leading partner” per la trasformazione e il perfezionamento di alcune pratiche del comparto Salute; proseguiamo poi con le best practice messe in atto in Europa per contrastare il cyber crime – un interessante contributo rilasciato da Paolo Silvano di Elsan in occasione dell’evento digitale di Sham svolto in collaborazione con UEHP (European Union of Private Hospitals); continuiamo con l’analisi dell’impatto indiretto del COVID sulle prestazioni sanitarie, frutto di una recente analisi dell’Università di Birmingham; concludiamo infine con un inedito punto di vista sul Cyber Risk, a cura di Amir Vashkover di CyberMDX, nato dall’analisi dei risultati di un sondaggio che ha visto la partecipazione di oltre 1500 medici e infermieri.

Vi lascio, dunque, ai temi di attualità trattati nei seguenti articoli: 

 

Ringraziando per l’attenzione, vi auguro una buona lettura.

Roberto Ravinale

Direttore esecutivo di Sham in Italia

 

BIG DATA E SANITÀ: IN CHE MODO L’ASSICURATORE PUÒ TUTELARE UN ENTE OSPEDALIERO

L’approccio al Risk Management non può non prescindere dalla digitalizzazione del sistema sanitario.

 

Per continuare a garantire la sicurezza dei percorsi di cura e proteggere le informazioni e i sistemi nel settore sanitario, è necessario strutturare una corretta data governance, combinando l’utilizzo di strumenti specifici a una politica di Risk Management continua, preventiva e proattiva. In questo scenario il partner assicurativo con comprovata esperienza ed una visione a 360° del rischio è in grado di fornire un contributo determinante.

Negli anni Sham ha elaborato e perfezionato un’offerta di gestione del rischio integrata che include non solo il tradizionale strumento della copertura assicurativa, ma anche la formazione, la consulenza e valutazione dei rischi e, aspetto fondamentale per la nostra mutua, la tecnologia. Il duplice obiettivo è infatti quello di trasformare l’evento avverso in un evento residuale e gestire il rischio ancora prima che il sinistro si verifichi.

Per operare in questa direzione la value proposition del gruppo Relyens si fonda su 4 pilastri.

Primo pilastro: la Tecnologia

Abbiamo recentemente stretto delle partnership con i maggiori player nell’ambito dell’innovazione tecnologica in sanità; un esempio è Caresyntax, una piattaforma tecnologica finalizzata a ridurre il rischio chirurgico nelle sale operatorie grazie a tool di data analysis, video recording e AI; oppure, ancora, CyberMDX, una piattaforma di sicurezza informatica destinata all’identificazione e alla prevenzione dei rischi informatici specifici delle strutture sanitarie.

Il Cyber Risk e il rischio tecnologico si aggiungono, perciò, al novero dei rischi tradizionali in sanità e vanno gestiti come tale: una nuova dimensione del rischio clinico.

Secondo pilastro: il Risk Management e la Formazione

L’assicuratore grazie alle sue competenze e professionalità è in grado di offrire alle strutture sanitarie una consulenza di valore e nell’ambito della gestione dei rischi. Le capacità di un assicuratore (legali, cliniche, tecnologiche etc.) basate su una solida conoscenza dei casi di malpractice sanitaria e delle richieste di risarcimento, consentono infatti di progettare e implementare programmi di risk management che prevedano una revisione, sia dei processi che dell’organizzazione, con l’obiettivo ultimo di maggior presidio del rischio. L’assicuratore è perciò in grado di promuovere un cambio culturale aziendale garantendo una formazione continua degli operatori sanitari sia sul rischio clinico che sul rischio cyber e tecnologico.

Terzo pilastro: l’offerta assicurativa

L’assicurazione non sostituisce un buon sistema di cyber security ma può fornire protezione nel caso in cui “accada il peggio”. Le assicurazioni forniscono riduzione addizionale dei rischi e risarcimento in caso di richieste specifiche; la finalizzazione dell’acquisto di una polizza non implica che vi sia la possibilità di ignorare, ad esempio, il rischio cyber. L’assicurazione rappresenta la chiusura ideale di un percorso di protezione iniziato a monte con una corretta strategia di prevenzione, che si conclude appunto con la copertura del rischio residuale.

Un’assicurazione consente sostanzialmente di:

  • Ottenere supporto nella gestione dell’incidente (assistenza telefonica, competenze informatiche e di sicurezza, gestione delle crisi, notifica alle autorità e alle persone collegate, analisi giuridica)
  • Ottenere un risarcimento per i danni al patrimonio dell’organizzazione (costi di ripristino dei dati e del sistema, perdite di produzione, estorsione, perdite dovute a frode, hacking telefonico).
  • Avere una copertura finanziaria in caso di responsabilità dell’istituzione per danni causati a terzi (copertura dei costi di difesa, conseguenze finanziarie dovute alla compromissione dei dati e del sistema)

Esistono 4 approcci tra i quali scegliere di fronte ai rischi: questi si possono accettare, evitare o mitigare (vendor solution), oppure trasferire (outsourcing delle attività, contratti e accordi, insurance).

Dietro all’acquisto di una polizza vi sono esigenze specifiche, ad esempio, quali ridurre le responsabilità e le perdite economiche, non incorrere in contenziosi, migliorare la brand reputation e garantire la business continuity. Di norma vengono assicurati gli asset di maggior valore anche se attualmente lo scenario sta evolvendo e ad oggi vengono sottoscritte numerose tipologie di assicurazione (edifici, auto, viaggi, apparecchi elettronici, eventi). Eppure quando parliamo, ad esempio, di cyber insurance, rileviamo ancora dubbi e perplessità, nonostante i dati e la sicurezza degli utenti rappresentino un asset fondamentale perl’ospedale.

Quarto Pilastro: ottimizzazione della gestione dei dati dei clienti

Valorizziamo e proteggiamo prioritariamente i nostri dati. Sham è particolarmente attenta allo sviluppo di strumenti analitici e predittivi: per questo ha implementato un’infrastruttura robusta, che prevede l’utilizzo integrato di tool di data analysis e di data visualization. Questi strumenti sono per noi fondamentali: ci consentono di avere una gestione agile e soprattutto informata in numerosi ambiti come, ad esempio, la strategia di sviluppo, la gestione dei sinistri, la sottoscrizione e la valutazione dei rischi.

Ciascuno dei nostri associati ha accesso esclusivo alle piattaforme gestionali tramite un portale a loro dedicato, che consente di avere un quadro aggiornato e in real time dell’andamento del proprio rischio in termini di sinistrosità, sia da un punto di vista economico che da un punto di vista qualitativo, e permette al cliente la definizione di un piano di azione in tempi rapidi.

L’attenzione allo sviluppo tecnologico in azienda è molto alta e il potenziamento di strumenti e strutture informatiche è in continua evoluzione; un assetto, questo, che per il mercato attuale della Medical Malpractice è già fortemente innovativo e rappresenta un driver ad altissimo valore aggiunto per i nostri clienti-associati.

L’obiettivo quindi, è quello di combinare la gestione preventiva del rischio con soluzione tecnologiche e assicurative a presidio dello stesso.

 

 

LA SICUREZZA INFORMATICA È LA SICUREZZA DEL PAZIENTE

“Non puoi controllare quello che non puoi vedere”. Nell’orizzonte dell’Internet of Medical Things, Cyber safety significa Patient safety; bisogna guardare il problema da una prospettiva nuova.

 

C’è molta attenzione al rischio degli attacchi informatici che minacciano o chiedono riscatti per i dati sanitari. Ma esiste anche una prospettiva diversa e altrettanto grave: la minaccia alla sicurezza del paziente”.

Amir Vashkover dà eco ai risultati di un sondaggio che ha coinvolto 1500 medici e operatori sanitari. “Per loro, il principale pericolo di un attacco cyber è la compromissione dei processi di cura che, ovviamente, sono sempre più dipendenti dalla digitalità e dall’interconnessione dei device medicali”.

Amir è Business Development & Strategic Alliances di CyberMDX, società partner tecnologica di Sham, e ha sviluppato una sintesi per indicare il cuore del problema: “Non puoi controllare quello che non vedi”.

Da una parte le reti di device medicali collegati tra loro offrono una grande opportunità di cura e una parallela vulnerabilità, perché un attacco che ne colpisca uno li colpisce tutti. Nello stesso tempo la mancanza di interoperabilità tra i device è una ulteriore minaccia alla sicurezza del paziente”.

La soluzione – per Amir Vashkover – è ‘close the gap’: chiudere i varchi nelle reti lavorando sulle particolarità di ogni singola rete, sulle esigenze che hanno portato il suo sviluppo e con soluzioni tecnologiche studiate appositamente per abbracciare è ‘vedere’ l’attività di tutti i device medicali collegati in un dato momento”.

Non è una soluzione che si circoscrive a singolo software; richiede uno sforzo ulteriore, quello di iniziare a pensare in termini di Internet of Medical Thing.

 

SONO SICURI I TUOI PAZIENTI?

L’incontro Sham dedicato all’ospedalità privata europea parte dalla “wake up call” dell’agosto 2019 per affrontare l’orizzonte della sicurezza informatica in sanità e le best practice sviluppate in Europa.

 

“Il cyber risk management è importante quanto il clinical risk management”.  Con queste parole Paul Garassus, Presidente dell’European Union of private hospitals (UEHP) ha aperto il webinar di Sham dedicato all’ospedalità privata in Europa dal titolo “Are your patient Safe?”.

L’appuntamento, che potete visionar integralmente scrivendo a informazioni@sham.com ha visto le partecipazioni di importanti attori nell’orizzonte della sicurezza informatica ospedaliera. Ecco l’intervento riassunto di Paolo Silvano, Deputy Managing Director Resources & Transformation di Elsan, secondo operatore francese nel settore con 22mila dipendenti tra i quali 6 mila medici.

“Il campanello d’allarme”

Nell’agosto 2019 un importante gruppo ospedaliero francese subì un attacco frontale da parte degli hacker: tutti i sistemi informatici vennero sospesi e criptati. L’attacco fu, alla fine arginato, ma per tutti gli addetti al settore fu una “Wake up call”.

Improvvisamente tutti ci chiedemmo: se succedesse a noi, saremmo pronti? Tutti capirono che il cyber risk era divenuto centrale: un tempo si aveva una guardia all’ingresso dell’ospedale; con l’evoluzione digitale le porte per i malintenzionati erano divenute 100mila.”

La risposta è stata: più budget, più personale esperto, più integrazione della cyber security nella consapevolezza di management e operatori.

Abbiamo appreso in fretta, ma la sicurezza informatica prevede molte cose delle quali tenere conto: procedure per gli operatori, software e firewall di sistema, difese complesse come, per esempio, la capacità di chiudere in compartimenti ‘stagni’ gli archivi. Nel caso una sezione venga compromessa, le altre rimangono irraggiungibili”.

Non tutto si può realizzare internamente: “Per la prima volta abbiamo pensato anche a una cyber security insurance: sia per proteggerci economicamente che per trovare le competenze multidisciplinari che non fossero reperibili nel nostro organico”.

Il risultato di questi processi è una serie di best practice che rappresentano una “call to action” per tutto il settore. Eccole condivise: