Content uploaded by Marco Pradella
Author content
All content in this area was uploaded by Marco Pradella on Oct 21, 2024
Content may be subject to copyright.
Azienda Ospedaliera
Universitaria Pisana
corso
Accreditamento Laboratori medici secondo ISO
15189:2022: novità e criticità dei nuovi requisiti
24 maggio - 11 ottobre 2024 –14:00-18:00
Gestione dei dati e delle informazioni
requisiti di §7.6 dello standard ISO 15189:2022
Marco Pradella
ECM
dove si trovano i requisiti della sicurezza dei dati nel
laboratorio medico?
❑in ISO 15189
❑in ISO 15189 e ISO 22367
❑in ISO 15189, ISO 22367 e ISO 27001
❑nessuna delle precedenti
https://www.sipmel.it/it/lineeguida/approvate
informatica 2023 nella rivista SIPMeL
La Rivista Italiana della Medicina di Laboratorio
2022 Dicembre;18(4):233-40
DOI: 10.23736/S1825-859X.23.00170-6
Nuove norme tecniche
nazionali e internazionali
per l’informatica del
laboratorio medico: un
quadro generale
ISO 22367:2020
A.13
La Rivista Italiana della Medicina di
Laboratorio 2024 Apr 24
DOI: 10.23736/S1825-859X.24.00235-4
Le Raccomandazioni SIPMeL per
l’accreditamento ISO della
gestione dati e informazioni
UNI EN ISO 15189:2023
7 Requisiti di processo
0101
0101
0101
UNI EN ISO 15189:2023
7.6 Controllo della gestione
dei dati e delle informazioni
0101
0101
0101
UNI EN ISO 15189:2023
7.6 Controllo della gestione dei dati e
delle informazioni
010101
010101
7.6.1 Generalità
7.6.2 Autorità e responsabilità per la
gestione delle informazioni
7.6.3 Gestione dei sistemi informativi
7.6.4 Piani di inattività
7.6.5 Gestione fuori sede
STOP
UNI EN ISO 15189:2023
7.6 Controllo della gestione dei dati e delle informazioni
7.6.1 Generalità
Il laboratorio deve avere accesso ai dati e alle
informazioni necessarie per svolgere le attività
di laboratorio.
NOTA 1 Nel presente documento, il termine "sistemi informativi di laboratorio"
comprende la gestione di dati e informazioni contenuti in sistemi informatici e
non informatici. Alcuni requisiti possono essere più applicabili ai sistemi
informatici che a quelli non informatici.
010101
010101
NOTA 2 I rischi associati ai sistemi informativi di laboratorio computerizzati sono discussi
nella norma ISO 22367:2020, A.13.
NOTA 3 I controlli di sicurezza delle informazioni, le strategie e le migliori pratiche per
garantire la conservazione della riservatezza, dell'integrità e della disponibilità delle
informazioni sono elencati nella norma ISO/IEC 27001:2022, Allegato A Controlli di
sicurezza delle informazioni.
ISO 22367:2020
A.13
UNI EN ISO 22367:2020
Laboratori medici - Applicazione
della gestione del rischio ai
laboratori medici
ISO/AWI 22367
Medical laboratories
Application of risk management to medical
laboratories
Vote terminates on: 2023-09-07
ISO 22367:2020
A.13
La Rivista Italiana della Medicina di
Laboratorio 2019 Settembre;15(3):237-8
DOI: 10.23736/S1825-859X.19.00024-0
ISO 22367 e la gestione dei
rischi nei laboratori medici
ISO 22367:2020
A.13 Controllo dei sistemi
informativi di laboratorio
… rischi potenziali …:
-capacità di identificare e rintracciare correttamente un paziente e tutto il
personale interessato durante l'intero processo di esame;
-capacità di trasmettere e visualizzare correttamente e in modo leggibile e
comprensibile le informazioni, tra cui: - istruzioniper l'ordinazione da parte
dell'operatore sanitario al prelevatore o al laboratorio; - risultatidegli esami;
- problemi relativi al campione o all'esame che possono influire
sull'interpretazione;
-capacità di tollerare e/o recuperare le interruzioni del sistema informativo
del laboratorio;
-integrità e affidabilità dei sistemi informatici intermediari (middleware);
-possibilità di intrusione nei sistemi collegati a Internet (direttamente o
indirettamente) e di modificare o rubare i dati dei pazienti; - attenzione per
la cibersicurezza in generale.
Intermediari
?
ISO/IEC 27001:2022 Allegato A
EN ISO/IEC 27001:2023
Information security,
cybersecurity and privacy
protection - Information
security management
systems - Requirements
(ISO/IEC 27001:2022)
Data disponibilità:
26 luglio 2023
ISO/AWI 27799
Health informatics
Information security
management in health using
ISO/IEC 27002
safety ➔ security
sicurezza (innocuità) ➔ sicurezza (protezione)
ISO/IEC 27001:2022
Allegato A
Allegato A
(normativo)
Riferimento ai
controlli di
sicurezza delle
informazioni
UNI EN ISO 15189:2023
7.6.2 Autorità e responsabilità per
la gestione delle informazioni
Il laboratorio deve garantire che siano
specificate le autorità e le responsabilità
per la gestione dei sistemi informativi,
compresa la manutenzione e la modifica
dei sistemi informativi che possono
influire sull'assistenza ai pazienti.
Il laboratorio è il responsabile ultimo dei
sistemi informativi del laboratorio.
UNI EN ISO 15189:2023
7.6.3 Gestione dei sistemi informativi (a)
I sistemi utilizzati per la raccolta, l'elaborazione, la registrazione, la creazione
di rapporti, l'archiviazione o il recupero dei dati e delle informazioni sugli
esami devono essere a) validati dal fornitore e verificati dal laboratorio
prima della loro introduzione.
Qualsiasi modifica al sistema, compresa la configurazione del programma di
laboratorio o le modifiche al programma informatico commerciale, deve
essere autorizzata, documentata e validata prima dell'implementazione;
…
Verifica
?
NOTA 2 programmi informatici commerciali disponibili sul mercato, utilizzati
nell'ambito del campo di applicazione previsto, possono essere considerati
sufficientemente convalidati (ad esempio, programmi di elaborazione testi e fogli di
calcolo e programmi informatici di gestione della qualità).
ECM
sono previsti nella norma ISO requisiti per i sistemi
informativi di ospedale e territorio?
❑si, il laboratorio cura validazione e verifica delle
interfacce per i suoi esami
❑no, è competenza dei servizi informatici
dell’Azienda sanitaria
❑no, è competenza dei reparti di degenza, degli
ambulatori e dei medici di base
❑nessuna delle precedenti
UNI EN ISO 15189:2023
7.6.3 Gestione dei sistemi informativi (a)
I sistemi utilizzati per la raccolta, l'elaborazione, la registrazione, la creazione di rapporti,
l'archiviazione o il recupero dei dati e delle informazioni sugli esami devono essere a) validati
dal fornitore e verificati dal laboratorio prima della loro introduzione.
Qualsiasi modifica al sistema, compresa la configurazione del software di laboratorio o le
modifiche al software commerciale, deve essere autorizzata, documentata e validata prima
dell'implementazione;
NOTA 1 La validazione e la verifica
includono, ove applicabile, il corretto
funzionamento delle interfacce tra il
sistema informativo di laboratorio e altri
sistemi, quali le apparecchiature di
laboratorio, i sistemi di amministrazione
dei pazienti in ospedale e i sistemi di
assistenza primaria.
Verifica ?
laboratori nodi (hub) in sistema
sanitario interconnesso
3.1. terminologie internazionali per denominazione
univoca e leggibile dalla macchina
3.2. rapporti devono essere “atomizzabili” in singole
misure senza perdita di informazioni.
3.3. commenti interpretativi parte cruciale dei risultati ➔
Veri, avvertenze, amministrativi, segnalazioni
3.4. interconnettività richiede misure tracciabili
3.6. coinvolgere tutte le parti interessate
4. … competenze informatiche richieste per le
interfacce e per la generazione automatica dei
commenti non banali.
Bietenbeck A, Streichert T. Preparing Laboratories for Interconnected Health Care. Diagnostics(Basel). 2021 Aug 17;11(8):1487.
Institut für Laboratoriumsmedizin, Medizinische Mikrobiologie und Technische Hygiene, München Klinik,
80804 Munich, Germany , Institut für Klinische Chemie, Universität zu Köln, Medizinische Fakultät und Uniklinik Köln,
CLSI AUTO17
Interoperabilità semantica per i sistemi diagnostici in vitro, 1a
edizione. 9 Maggio 2023
LOINC e
infezioni in
chirurgia
Kiser AC, Shi J, Bucher BT. An
explainable long short-term
memory network for surgical site
infection identification. Surgery.
2024 Jul;176(1):24-31 University of
Utah School of Medicine, Salt Lake
City
CPT Current Procedural Terminology
CCS Clinical Classification Software
LOINC Logical Observation Identifiers Names and Codes
•informatica nel laboratorio
•informatica delle connessioni
•interoperabilità semantica
•standard semantici
•standard e ICA
•criticità della semantica
Armonizzazione e semantica del laboratorio
DOI: 10.13140/RG.2.2.28565.74720
https://bit.ly/BardolinoSepsi2024
Dalle Sepsi alle ICA, Hotel Aqualux Bardolino
(VR) 27-28 Settembre 2024
UNI EN ISO 15189:2023
7.6.3 Gestione dei sistemi informativi (b-e)
b) [sistemi] documentati, e la documentazione è prontamente disponibile per
gli utenti autorizzati, compresa quella per il funzionamento quotidiano del
sistema;
c) attuati tenendo conto della cibersicurezza, per proteggere il sistema da
accessi non autorizzati e salvaguardare i dati da manomissioni o perdite;
d) gestiti in un ambiente conforme alle specifiche del fornitore o, nel caso di
sistemi non computerizzati, in condizioni tali da salvaguardare l'accuratezza
della registrazione e della trascrizione manuale;
e) mantenuti in modo da garantire l'integrità dei dati e delle informazioni e da
registrare i guasti del sistema e le relative azioni immediate e correttive.
I calcoli e i trasferimenti di dati devono essere controllati in modo appropriato e
sistematico.
CLSI AUTO11 ED3:2023
Protezione informatica degli strumenti
diagnostici in vitro e dei sistemi software
… requisiti tecnici e operativi e le procedure di
attuazione tecnica relative alla sicurezza dei sistemi
diagnostici in vitro (IVD) (dispositivi, strumenti analitici,
sistemi di gestione dei dati, ecc…
I destinatari di questo standard sono i fabbricanti di
dispositivi medici e di sistemi IVD (MDM), gli utenti (ad
esempio, il personale di laboratorio) e la direzione
informatica delle organizzazioni sanitarie (HDO).
CLSI AUTO11 ED3:2023
Protezione informatica degli strumenti
diagnostici in vitro e dei programmi informatici
NOVITÀ
protezione informatica molto più importante dalla precedente edizione del 2014.
sforzo congiunto e processi armonizzati a livello globale rappresentano il modo
migliore per mitigare il rischio di cibersicurezza e ridurre al minimo l'effetto
degli attacchi informatici.
si tiene conto anche dei componenti di terze parti.
dispositivi esterni remoti (con accesso ai sistemi IVD ) sono entrati nel mirino
della cibersicurezza.
i sistemi basati su nuvola aggiungono ulteriori requisiti di sicurezza informatica.
la riservatezza dei dati è bene molto prezioso che richiede attenzione particolare.
CLSI AUTO11 ED3:2023
Protezione informatica degli strumenti
diagnostici in vitro e dei sistemi software
-Capitolo 3: Linee guida di progettazione
tecnica relative ai requisiti normativi
-Capitolo 4: Requisiti di processo e
operativi
- Capitolo 5: Applicabilità dei requisiti alle
classi di sistemi diagnostici in vitro
CLSI AUTO11 ED3:2023
Capitolo 5: Applicabilità dei requisiti alle
classi di sistemi diagnostici in vitro
5.1 Tutti i sistemi diagnostici in vitro (IVD)
5.2 IVD che supportano credenziali utente
5.3 IVD che gestiscono informazioni sanitarie
protette
5.4 IVD che supportano connessioni di rete
5.5 IVD che supportano applicazioni in nuvola
informatica
5.6 IVD che supportano applicazioni mobili
0101
0101
UNI EN ISO 15189:2023
7.6.4 Piani di fermo impianto
… processi pianificati per mantenere le operazioni in caso di
guasto o durante i tempi di inattività dei sistemi informativi
che influiscono sulle attività del laboratorio.
… inclusa selezione automatica e presentazione dei
risultati.Tolleranza ai guasti
(fault tolerance) ?
Ridondanza ?
Piano di contingenza ?
Carta ?
STOP
CLSI AUTO11 ED3:2023
3.2.7 Procedura di accesso di emergenza
[Req-0131] Per mantenere le prestazioni essenziali di un sistema IVD e l'accesso ai dati personali durante
un'emergenza, deve essere attuata una procedura per l'accesso di emergenza al sistema IVD.
… MDM del sistema IVD e HDO adotteranno misure ragionevoli e appropriate per stabilire,
validare, attuare e documentare una procedura di accesso di emergenza che garantisca alle
persone autorizzate l'accesso ai sistemi IVD critici durante un disastro o un'altra emergenza.
…
… può richiedere l'uso di meccanismi e procedure separati dalle azioni intraprese per il
normale accesso degli utenti al sistema IVD.
Ad esempio, se MDM introduce una credenziale utente per l'accesso di emergenza con una parola chiave,
HDO dovrà proteggere tale parola e allo stesso tempo attuare procedure che consentano l'accesso e
l'uso della parola in caso di disastri o emergenze.
Le persone autorizzate dovranno sempre avere a disposizione una copia aggiornata della procedura di
accesso di emergenza, ma conservata in condizioni di sicurezza.
Ulteriori copie devono essere conservate in un luogo sicuro fuori sede, …
CLSI AUTO11 ED3:2023
3.9.4 Recupero di emergenza (dalla nuvola)
Il recupero di emergenza per i sistemi IVD basati su nuvola
è completamente fuori dalle mani dell'HDO e deve essere
gestito efficacemente dall'MDM.
MDM deve definire un accordo sul livello di servizio con
HDO che rifletta un progetto con valori accettabili …
… meccanismi di allarme accettabili, le procedure di
intensificazione e le procedure di accesso ai dati di HDO a
scopo di ripristino.
UNI EN ISO 15189:2023
7.6.5 Gestione fuori sede
Quando i sistemi informativi del
laboratorio sono gestiti e
mantenuti fuori sede o tramite un
fornitore esterno, il laboratorio
deve garantire che il fornitore o
l'operatore del sistema si conformi
a tutti i requisiti applicabili del
presente documento.
Contratto ?
Capitolato ?
UNI EN ISO 15189:2023
7.6 Controllo della gestione
dei dati e delle informazioni
0101
0101
0101
UNI EN ISO 15189:2023
7 Requisiti di processo
0101
0101
0101
Azienda Ospedaliera
Universitaria Pisana
corso
Accreditamento Laboratori medici secondo ISO
15189:2022: novità e criticità dei nuovi requisiti
24 maggio - 11 ottobre 2024 –14:00-18:00
Gestione dei dati e delle informazioni
requisiti di §7.6 dello standard ISO 15189:2022
Marco Pradella