it IT ar AR en EN

La legge federale che regola l'uso delle tecnologie dell'informazione e della comunicazione nel settore sanitario degli EAU

La tecnologia dell'informazione e della comunicazione ('ICT') svolge un ruolo critico nel sostenere la fornitura di un servizio sanitario di qualità attraverso la fornitura di modi nuovi ed efficienti di accesso, comunicazione, utilizzo e archiviazione dei dati sanitari.

La legge federale n. 2 del 2019 sull'uso delle tecnologie dell'informazione e della comunicazione nell'assistenza sanitaria ("legge sanitaria ICT") regola l'uso delle ICT nel settore sanitario in tutti gli Emirati Arabi Uniti ("EAU"), comprese le zone franche con i seguenti quattro obiettivi di:

  • garantire l'uso ottimale delle tecnologie dell'informazione e della comunicazione nel settore sanitario;
  • garantendo che le basi, le norme e le pratiche adottate siano in linea con le loro controparti adottate a livello internazionale;
  • consentire al Ministero della Salute e della Prevenzione ("Ministero") di raccogliere, analizzare e mantenere informazioni sanitarie a livello nazionale; e
  • garantendo la sicurezza dei dati e delle informazioni sanitarie.

La legge sulla salute ICT è entrata in vigore nel maggio 2019 ed è pienamente efficace, anche se non ancora completata dai regolamenti di attuazione, che dovrebbero essere emessi a breve.

 

Caratteristiche chiave della legge sulla salute ICT

 

Definizione di dati sanitari'

I dati sanitari nella legge sulla salute ICT sono ampiamente definiti come "i dati sanitari trattati e resi evidenti e visibili, udibili o leggibili, e che sono di natura sanitaria, sia relativi a strutture sanitarie, strutture sanitarie o assicurative o beneficiari di servizi sanitari".

 

Central Electronic Health Data and Information Exchange

La nuova legge prevede la creazione di uno scambio centralizzato di dati sanitari ("HIE" o "Sistema centrale") che sarà controllato dal ministero. L'HIE conserverà i dati sanitari raccolti dai fornitori di servizi sanitari e permetterà loro di accedere e scambiare questi dati in modo uniforme e sicuro, soggetto a qualsiasi controllo determinato dal governo.

I regolamenti di attuazione (che, al momento della stesura di questo articolo, devono ancora essere emessi) stabiliranno le guide professionali, i dettagli su quali imprese sono autorizzate a utilizzare il Sistema Centrale, e tutti i passi amministrativi necessari che devono essere seguiti.
Le autorità sanitarie degli Emirati locali sono autorizzate a stabilire le regole, gli standard e i controlli per i propri sistemi elettronici di scambio di dati e informazioni sanitarie, come i metodi di funzionamento, lo scambio di dati e informazioni e la loro protezione, nonché l'accesso e la copia di dati e informazioni. Ad Abu Dhabi, il Department of Health ('DOH') ha lanciato l'Abu Dhabi Health information exchange 'Malaffi'. A Dubai, viene utilizzato lo scambio di informazioni sanitarie 'Salama'.

 

Strategia nazionale ICT

Il Ministero, in coordinamento con le autorità sanitarie locali dell'Emirato, deve sviluppare e implementare un piano strategico nazionale riguardante l'uso delle TIC nell'assistenza sanitaria, oltre a stabilire procedure obbligatorie per l'uso delle TIC.

 

Sicurezza dei dati

La legge sulla salute ICT richiede a tutti i fornitori di servizi sanitari che usano ICT per i dati sanitari di assicurarsi che tali informazioni siano tenute riservate e non siano condivise senza autorizzazione. La legge richiede anche ai fornitori di servizi sanitari di garantire che i dati sanitari siano disponibili alle parti autorizzate e che l'accesso sia dato quando necessario.

In aderenza alle migliori pratiche internazionali di protezione dei dati, la legge sulla salute ICT richiede alle imprese di introdurre procedure tecniche, organizzative e operative per garantire la sicurezza e l'integrità dei dati sanitari.

 

Eccezioni alle restrizioni di divulgazione

In base alla legge sulla salute ICT, i fornitori di servizi sanitari possono usare o divulgare i dati sanitari senza il consenso del paziente:

  • per la ricerca scientifica, a condizione che l'identità del paziente non sia divulgata e che siano rispettati gli standard e le linee guida applicabili alla ricerca scientifica;
  • per permettere alle compagnie di assicurazione e ad altre imprese che finanziano i servizi medici di verificare i diritti finanziari;
  • .
  • quando in conformità con una richiesta di un'autorità giudiziaria competente;
  • quando in conformità con una richiesta dell'autorità sanitaria competente per scopi di salute pubblica, comprese le ispezioni; o
  • per le misure di prevenzione e trattamento della salute pubblica.

 

L'elaborazione dei dati

La legge regola il trattamento dei dati sanitari elettronici provenienti dagli EAU, compresi i nomi dei pazienti, la diagnosi, i dati di consultazione e di trattamento e altri dati sanitari di questo tipo.

La legge introduce anche concetti di privacy e protezione dei dati che includono

  • limitazione delle finalità: salvo previo consenso del paziente, i dati sanitari non dovrebbero essere utilizzati se non ai fini della fornitura di servizi sanitari;
  • consenso alla divulgazione: senza il previo consenso del paziente, o come consentito dalla legge, i fornitori di servizi sanitari non possono divulgare i dati dei pazienti a terzi; e
  • accuratezza: i fornitori di servizi sanitari devono assicurarsi che i dati sanitari che trattano siano accurati e affidabili.

 

Localizzazione dei dati

La legge sanitaria ICT stabilisce che i dati sanitari non possono essere memorizzati, elaborati, generati o trasferiti al di fuori degli EAU, a meno che l'attività sia stata approvata da una risoluzione di un'autorità sanitaria o del Ministero. Per quanto ne sappiamo, non sono ancora state emesse risoluzioni di questo tipo.

È prevista una sanzione non inferiore a AED 500.000 e non superiore a AED 700.000 (circa da 136.147 a 190.605 dollari) per la violazione di questo divieto.

Mentre c'è una certa aspettativa che le autorità sanitarie locali accolgano le richieste in cui i dati sanitari possono essere necessari per essere trasferiti al di fuori degli EAU, le prime indicazioni sono che la portata delle approvazioni sarà molto limitata.

In futuro, per rispettare la legge sulla salute ICT, sarà necessario per gli operatori locali ospitare i dati su server locali e controllare l'accesso e l'attività di elaborazione in conformità con la legge. Oltre alla legge sulla salute ICT, ci sono anche altri atti legislativi che supportano questo aspetto:

il regolamento esecutivo della legge sulla responsabilità medica, la risoluzione del gabinetto n. 40 del 2019, include un'appendice che emette controlli e termini per la fornitura di "servizi sanitari a distanza". L'articolo 2.1 (f) della risoluzione richiede "un server all'interno del paese per mostrare e mantenere le informazioni e il back-up";

La sezione CM 4.2 dell'Abu Dhabi DOH Healthcare Information and Cyber Security Standard ('ADHICS') (che è stato emesso prima della legge sulla salute ICT) afferma:

"L'entità sanitaria non deve utilizzare servizi o infrastrutture cloud per memorizzare, elaborare o condividere informazioni che contengono informazioni sanitarie. L'entità sanitaria deve:

  • assicurare che le informazioni sanitarie non siano trasmesse al di fuori degli EAU;
  • .
  • identificare e disconnettere l'integrazione dei sistemi che elaborano, memorizzano o utilizzano informazioni sanitarie con qualsiasi sistema dell'entità che si connette o utilizza servizi cloud; e
  • non condividere informazioni sanitarie identificate o de-identificate con terze parti, comprese le controparti e i partner, a meno che non siano autorizzate dall'autorità di regolamentazione del settore sanitario di Abu Dhabi"
  • .

Poiché non può essere l'intenzione del Ministero che i requisiti di localizzazione dei dati debbano avere un effetto negativo sulla fornitura di assistenza sanitaria ai residenti degli Emirati Arabi Uniti, si raccomanda che qualsiasi fornitore di servizi sanitari interessato dai requisiti di localizzazione dovrebbe impegnarsi con l'autorità sanitaria locale pertinente (o Ministero) che ha concesso la licenza per i suoi servizi per spiegare come le restrizioni stanno influenzando la fornitura di servizi e cercare l'approvazione per la gestione dei suoi dati. Di particolare importanza è l'effetto sulla fornitura di servizi di telemedicina, e il trasferimento di dati a medici e laboratori al di fuori del paese per pareri clinici molto specialistici, e per sostenere i fornitori di telemedicina già autorizzati ad Abu Dhabi e Dubai sotto altri regolamenti per continuare ad essere in grado di sostenere le comunità locali.

 

Conservazione dei dati

La legge sanitaria ICT richiede che i dati sanitari siano conservati per un minimo di 25 anni dalla data in cui è stata eseguita l'ultima procedura sanitaria sul paziente. Questo periodo può essere esteso se è proporzionato alla necessità di conservare tali dati.

 

Sanzioni

Per l'inosservanza, la legge contiene sanzioni, tra cui multe monetarie e azioni disciplinari, che possono essere imposte da una commissione disciplinare all'interno di ogni autorità sanitaria.
Nello specifico, le sanzioni includono:

  • cancellazione dell'autorizzazione all'uso del Sistema Centrale;
  • sospensione temporanea (non superiore a cinque mesi) dal Sistema Centrale;
  • un avvertimento orale e/o scritto; e/o
  • ammende aggiuntive tra AED 1.000 e AED 1.000.000 (circa 270 e 270.000 dollari).

Conclusione

Il punto più controverso della legge sulla salute ICT sono i requisiti di localizzazione dei dati. Il Ministero ha imposto che i dati debbano rimanere onshore. Questo, di per sé, crea difficoltà perché, fino a poco tempo fa, c'erano così pochi servizi di data center basati nel paese. Abbiamo capito che ci potrebbe essere qualche ammorbidimento al requisito di ospitare i dati su server locali, e che l'uso di sistemi locali basati su cloud sarà consentito, se quei fornitori di servizi sono autorizzati negli Emirati Arabi Uniti (notando che questo attualmente viola il requisito del DOH, con nessuna indicazione di approvazioni di cloud ad Abu Dhabi). Il ministero ha indicato che le approvazioni per il movimento dei dati offshore sarebbero consentite, ma poi ha delegato questa responsabilità a ciascuna delle autorità sanitarie stabilite per emettere risoluzioni, nessuna delle quali ha ancora fatto. Resta inteso che ogni autorità sanitaria di Abu Dhabi e Dubai sta aspettando che il ministero emetta i suoi regolamenti esecutivi prima di emettere risoluzioni proprie. Nel frattempo, qualsiasi operatore che invia dati al di fuori del paese rimarrà in violazione della legge sulla salute ICT. È difficile prevedere quando i regolamenti esecutivi saranno emessi. In senso stretto, dovrebbero essere emessi sei mesi dopo l'entrata in vigore della legge (il che significherebbe novembre 2019). Tuttavia, in pratica, non è insolito che ci voglia più tempo, per esempio, il ministero non ha emesso regolamenti esecutivi per la legge sulla responsabilità medica fino all'inizio di quest'anno, anche se la legge sulla responsabilità medica è stata approvata nel 2016. Sul tema critico della localizzazione dei dati nel contesto sanitario, che ha il potenziale di influenzare l'accesso dei pazienti alle competenze estere, si spera che i regolamenti esecutivi alla legge sui dati sanitari ICT siano pubblicati a breve, al fine di evitare che gli operatori siano lasciati in un limbo e potenzialmente in violazione delle restrizioni sulla localizzazione dei dati.

Per la maggior parte, la legge sulla salute ICT è una gradita introduzione. L'obbligo di istituire sistemi informativi sanitari e di centralizzare l'hosting dei dati sanitari andrà a beneficio dei pazienti, e non dovrebbe essere troppo oneroso per gli operatori regolamentati per allineare i sistemi informatici con quelli dell'HIE del ministero, Malaffi e Salama, in modo da consentire il caricamento dei dati su una base continua "as is". I dati sono poi a disposizione del Ministero e delle autorità sanitarie per l'uso nella ricerca e nella gestione della salute della popolazione che, a sua volta, alimenterà i piani di salute del paziente che vengono sviluppati su base nazionale e, infine, un migliore controllo dell'introduzione di nuovi servizi, specialità e sottospecialità che sono pienamente allineati con le esigenze di salute della popolazione. Parallelamente a questo, i regolatori sanitari stanno lavorando su programmi di benessere e prevenzione, con l'obiettivo di mantenere la popolazione in forma e in salute piuttosto che curare solo le persone quando sono malate.