Basi della nLPD
Ciò che è stato detto nel webinar si applica a tutte le professioniste e a tutti i professionisti della salute?Sì, anche se talvolta nel webinar si citano esplicitamente i medici, quanto detto si applica a tutte le professioniste e a tutti i professionisti della salute. E non solo: la nLPD si applica a tutte le categorie professionali, compresi i giardinieri, gli artigiani o i commercialisti.
Con chi devo stipulare un accordo per un trattamento di dati su incarico?
I responsabili del trattamento sono aziende che elaborano i dati della vostra azienda. Si tratta, ad esempio, di servizi cloud o di fornitori di software che hanno accesso al vostro sistema. Il vostro personale IT non rientra in questa categoria.
Secondo la nLPD non è obbligatorio stipulare accordi scritti con i responsabili del trattamento. Ciò significa che gli accordi per un trattamento di dati su incarico non sono obbligatori. Tuttavia, è obbligatorio informare il responsabile del trattamento che è soggetto all’obbligo di riservatezza e ha il dovere di proteggere i dati sensibili. In teoria ciò potrebbe avvenire anche verbalmente, ma sarebbe difficile da dimostrare in caso di necessità. Molte aziende che collaborano con operatrici e operatori del settore sanitario dispongono già di un accordo sulla riservatezza nei loro contratti standard – come ad esempio HIN. In questo caso non sono necessari contratti aggiuntivi. Se invece ciò non è previsto per uno dei vostri responsabili del trattamento, potete richiedere a tale responsabile un modello che utilizza. Se non ne possiede alcuno potete utilizzare il modello della FMH.
Con chi devo stipulare un accordo sulla riservatezza?
È raccomandabile stipulare un accordo sulla riservatezza per tutte le persone che hanno o potrebbero avere accesso a dati sensibili nel proprio studio medico, ad esempio anche il personale addetto alle pulizie o gli specialisti informatici. Non è obbligatorio stipulare un accordo scritto. È sufficiente che le persone interessate siano informate verbalmente di essere soggette all’obbligo del segreto professionale. Dato che è più facile dimostrarlo in caso di necessità, è consigliabile un accordo sulla riservatezza. La FMH propone un apposito modello.
È necessario un accordo per un trattamento di dati su incarico o un accordo sulla riservatezza con HIN?
No, non è necessario. I temi del trattamento di dati su incarico e della riservatezza sono coperti da HIN attraverso contratti standard. Quindi tutto ciò che serve è già incluso nei contratti con la nostra clientela.
Gli studi medici /i professionisti della salute indipendenti devono definire per iscritto il trattamento dei dati? Hanno bisogno di un registro delle attività di trattamento dei dati?
Con l’entrata in vigore della nLPD, gli studi medici e i professionisti della salute indipendenti saranno obbligati a tenere un registro delle attività di trattamento a determinate condizioni. Questo obbligo si applica alle aziende con più di 250 dipendenti e ai responsabili di un trattamento esteso di dati personali particolarmente degni di protezione. Data la sensibilità dei dati sanitari, si raccomanda che gli studi medici e le altre istituzioni operanti nel settore sanitario mantengano un registro di questo tipo, anche come base per qualsiasi divulgazione dei dati. Tuttavia, in sua assenza, non sono previste multe. Nel Blog di HIN troverete informazioni sul registro delle attività di trattamento.
Esistono modelli per il registro delle attività di trattamento?
Informazioni e il link al modello della FMH sono disponibili sul Blog di HIN.
Ogni paziente deve firmare un’informativa in materia di protezione dei dati? Tale informativa deve essere rinnovata per i pazienti in essere?
No, non è necessario. L’informativa in materia di protezione dei dati può essere pubblicata sul sito web. Si può anche stampare sul retro del modulo di registrazione per i nuovi pazienti, ma non è necessario farlo. Tuttavia, naturalmente non c’è nulla di male nel far firmare a ogni paziente un’informativa in materia di protezione dei dati. Un modello di informativa in materia di protezione dei dati è disponibile presso HIN o sul sito web della FMH.
Cosa devo comunicare ai miei pazienti in riferimento alla nLPD?
L’unico requisito obbligatorio è il consenso alla divulgazione a terzi. Inoltre, è obbligatorio informare su dove e come trattate i dati del paziente (dove vengono archiviati, come avviene il trattamento ecc.). Il consenso scritto non è obbligatorio ma è certamente più facile da dimostrare in caso di controversia.
Cosa sarà necessario adattare sul sito web di uno studio medico collettivo a partire dal 01.09.2023?
Di norma, sarà necessario migliorare l’informativa in materia di protezione dei dati.
Devo adattare la mia dichiarazione di consenso e dare a tutti i pazienti in essere la nuova versione da firmare?
Non è obbligatorio farlo ma è chiaramente consigliato.
Cosa succede se un paziente non firma la dichiarazione di consenso?
Il consenso è necessario solo per la trasmissione dei dati a terzi. Per l’uso interno dei dati non è un problema se un paziente non firma. Tuttavia, spesso sono proprio questi pazienti a creare difficoltà… Pertanto, in questo caso si può anche rinunciare all’accettazione di tali pazienti. In casi di emergenza, tuttavia, si deve ovviamente aiutare il paziente ma sussiste anche un interesse prioritario dal punto di vista della protezione dei dati: proteggere la vita di questo paziente.
Cosa succede se ho ottenuto il consenso verbale di un paziente e questi successivamente lo nega o non ricorda di averlo dato?
In tal caso deve essere dimostrato che avete violato intenzionalmente la legge. Se il paziente non ricorda di aver dato il proprio consenso ma gestite il processo nello stesso modo per tutti i pazienti, è sufficiente che diversi altri pazienti possano confermare che il consenso viene ottenuto nell’ambito del processo. Tuttavia, per voi è più sicuro far firmare ai vostri pazienti una dichiarazione di consenso scritta. Un modello di dichiarazione di consenso / modulo per il paziente è fornito dalla FMH.
È consentito aggiungere alla Dichiarazione di consenso del paziente che i dati del paziente saranno inviati in modo non crittografato via e-mail o SMS?
Sì, teoricamente è possibile farlo dal punto di vista legale. In questo caso, il paziente d’altronde acconsente. Tuttavia, noi di HIN raccomandiamo di non inviare mai dati sensibili non crittografati per via elettronica poiché, in questo caso, non è possibile garantire una protezione sufficiente. Se si desidera inviare e-mail in modo sicuro ai pazienti o ad altri destinatari senza HIN è possibile utilizzare l’opzione HIN Mail Global di HIN Mail. Nel nostro Blog sono disponibili maggiori Informazioni.
È necessario ottenere un consenso separato dal paziente per ogni categoria di partner esterni (ad esempio compagnie assicurative, istituti di radiologia, psicoterapeute e psicoterapeuti) o è lecito raggrupparli sotto la voce «professioniste e professionisti della salute post trattamento»?
Sì, possono essere raggruppati. Bisogna tuttavia assicurarsi che il paziente sappia di cosa si tratta. Inoltre, se si preleva il sangue a un paziente e gli si dice «Lo invieremo al laboratorio per le analisi» è già chiaro che i relativi dati saranno trasmessi a una terza parte, ovvero al laboratorio. In questi casi non è necessario un consenso separato.
Anche la mia banca o il mio fiduciario devono firmare accordi di riservatezza?
In teoria, probabilmente sì. Ciò può essere difficilmente attuabile dalla banca che è tuttavia vincolata alla segretezza in base alla relativa legge vigente. È improbabile che avrete problemi al riguardo, a meno che non facciate firmare alla vostra banca un accordo di riservatezza. Con il vostro fiduciario, invece, avete bisogno di un accordo di riservatezza nonché utilmente di disposizioni contrattuali sulla protezione dei dati e sulla sicurezza dei dati (elaborazione degli ordini).
Se l’assistente di studio medico viene nominata o nominato Responsabile della protezione dei dati, può essere perseguita o perseguito direttamente?
Sì. Tuttavia emerge la domanda se sia davvero l’assistente di studio medico a decidere come debba essere attuata la protezione dei dati all’interno dello studio medico. La persona che prende decisioni specifiche sulla protezione dei dati deve essere indicata come Responsabile della protezione dei dati. Questo ruolo può essere ricoperto dall’assistente di studio medico. In tal caso, tale persona deve avere anche la voglia e la tenacia di cambiare qualcosa se rileva possibili violazioni della protezione dei dati o una gestione negligente nella protezione dei dati.
Tutti i pazienti esistenti devono firmare un nuovo consenso a partire dal 1° settembre 2023?
Si consiglia di utilizzare, a partire dal 1° settembre 2023, il nuovo modulo di consenso. Va presentato sia ai nuovi pazienti sia a quelli esistenti in occasione della loro successiva visita. Tuttavia non è necessario inviare il modulo per posta o via e-mail per la relativa firma ai pazienti che non hanno ancora un appuntamento con lo studio medico.
La o il Responsabile della protezione dei dati deve essere riportata o riportato sul sito Web dello studio medico? Oppure altrove?
No, è sufficiente formulare una chiara responsabilità – ad esempio l’indirizzo dello studio medico – nonché il numero di telefono necessario e un indirizzo e-mail.
I pazienti devono fornire il proprio consenso scritto affinché un altro medico che lavora nello stesso studio possa visualizzare i loro dati?
Sì, è consigliabile. Si può tuttavia menzionarlo anche nella relativa Dichiarazione sulla protezione dei dati e aggiungere nel modulo di registrazione che i pazienti accettano la Dichiarazione sulla protezione dei dati. In linea di principio, il contratto di trattamento medico riguarda solo il rapporto tra medico (e le persone ausiliarie direttamente coinvolte) e paziente. Sono esclusi i medici partner non coinvolti nel caso.
È necessario ottenere il consenso dei pazienti per il trattamento dei dati da parte delle o degli assistenti di studio medico?
No, il paziente deve partire dal presupposto che anche le persone necessariamente coinvolte nel caso abbiano accesso ai dati dei pazienti. Vi rientra anche il personale ausiliario del medico.
Vivere la protezione dei dati nella quotidianità lavorativa
È consentito comunicare con i pazienti tramite WhatsApp?Sì, è possibile farlo. Tuttavia, ciò richiede il consenso e una chiara informazione al paziente. Infatti, WhatsApp non è un canale sicuro e conforme alle norme in materia di protezione dei dati. Se desiderate comunicare tramite WhatsApp dovreste includere questa sezione nella dichiarazione di consenso che i pazienti firmano.
È consentito utilizzare piattaforme quali OneDrive o iCloud per salvare o condividere dati dei pazienti?
È possibile farlo con il consenso del paziente. Senza consenso si genera una divergenza dal punto di vista giuridico. Oggi, tuttavia, entrambi i sistemi consentono di adottare misure di sicurezza più severe che tengono conto delle modalità di protezione dei dati. Sarebbe sempre possibile l’archiviazione su questi sistemi di Vault – cartelle crittografate – dato che in questo caso la chiave non viene memorizzata congiuntamente.
In uno studio collettivo è lecito tenere cartelle informatizzate comuni dei pazienti a cui tutti i medici hanno accesso?
È possibile farlo. Tuttavia, anche in questo caso è necessario ottenere il consenso del paziente. Se il contratto con il paziente prevede la possibilità di sostituzioni in caso di assenza del medico curante, questo è già sufficiente. Allora il consenso deriva già da questo contratto. In breve: assicuratevi che i pazienti siano informati e diano il loro consenso.
Ho l’obbligo di tenere una cartella clinica elettronica o posso continuare a gestire la documentazione manualmente?
Attualmente non vi è alcun obbligo di tenere una cartella clinica digitale.
In un piccolo studio individuale sono necessari accessi separati protetti da password per ogni ASM?
Deve essere garantita la tracciabilità. È un obbligo di legge sapere chi tratta quali dati. Non è possibile farlo con una password unica per tutti. Quanto ciò sia gravoso e se si possa appurarlo anche in un altro modo rimane da chiarire. L’obiettivo è certamente che ogni ASM abbia un proprio accesso.
I dati medici e le cartelle cliniche dei pazienti devono essere conservati per 20 anni. Questo vale per tutti i Cantoni? E per tutti i tipi di professionisti della salute?
Il termine di conservazione deriva dall’art. 60 cpv. 1bis CO che prevede 20 anni in caso di morte e lesione corporale. Da ciò può derivare anche un diritto di difesa, per cui anche dopo 19 anni ci si può difendere da una presunta lesione corporale in qualità di medico. Questo vale anche per altri settori sanitari. Pertanto, restano validi 20 anni in tutta la Svizzera. Tuttavia, alcuni Cantoni obbligano i medici a una conservazione anche successiva.
È obbligatorio cancellare la cartella clinica di un paziente dopo 20 anni?
Sì, a meno che il paziente non acconsenta o anche desideri che non vengano cancellati.
È necessario un consenso scritto del paziente per poterlo indirizzare e quindi per trasmettergli gli esiti delle visite?
No, non c’è bisogno della forma scritta. Il colloquio e la documentazione relativa al decorso sono sufficienti come consenso.
È sufficiente identificare i pazienti al telefono mediante nome, cognome e data di nascita?
In linea di principio avrebbe senso aggiungere qualche altro dato, come ad esempio l’ultimo appuntamento o qualcosa di simile che non sia visibile su Internet.
Posso salvare i nomi e i numeri di telefono dei miei clienti nell’elenco dei contatti del mio cellulare?
Finché il cellulare è sufficientemente sicuro (crittografato e protetto) e nessun altro ha accesso ai dati, non c’è nulla che lo vieti.
È consentito conservare i dati dei pazienti nel calendario di Outlook?
Se i pazienti forniscono il proprio consenso, ciò non rappresenta alcun problema. Tuttavia bisogna assicurarsi che il calendario di Outlook in questione sia accessibile solo su dispositivi protetti da password o codice. In linea di principio, anche il dispositivo deve essere crittografato. Questo può essere impostato con tutti i software di sistema oggi disponibili in commercio, senza software aggiuntivi. Ciò vale sia per computer e notebook sia per gli smartphone.
Cosa fare se qualcuno desidera che i propri dati vengano cancellati prima della scadenza legale?
I dati non possono essere cancellati prima della scadenza legale. Devono essere conservati anche contro la volontà del paziente e possiedono, a tal fine, una giustificazione giuridicamente vincolante.
Il paziente deve essere informato sull’uso di tecnologie Microsoft come Word per la generazione di report, TeamViewer e programmi simili?
I pazienti devono essere informati sul fatto che i loro dati possono essere inoltrati a terze parti come, ad esempio, fornitori di servizi informatici, servizi cloud ecc. Tuttavia non è necessario spiegare in dettaglio come ciò avviene esattamente e quale programma si utilizza a tal fine. Le informazioni possono pertanto essere di livello molto alto comprendendo tutti i dati software. È opportuno informare separatamente i pazienti sulla comunicazione tramite applicazioni non crittografate, ad esempio per l’invio di e-mail non crittografate o per l’utilizzo di WhatsApp.
Se un paziente effettua una richiesta tramite il modulo di contatto ma, alla fine, non viene stipulato alcun contratto di trattamento medico – ad esempio nel caso della psicoterapia – i suoi dati devono comunque essere salvati e conservati?
No. Finché non viene stipulato alcun contratto si tratta di dati sensibili ma non di dati del paziente, in quanto la persona non è ancora un paziente a tutti gli effetti. I dati possono essere cancellati, previa consultazione del richiedente.
Domande sulla crittografia delle e-mail e HIN
I dati dei pazienti possono essere inviati ai pazienti per e-mail non crittografati, a condizione che i pazienti forniscano in precedenza il loro consenso scritto?Sì, se i pazienti forniscono il consenso scritto, questo non costituisce un problema.
Devo inviare ricette e prescrizioni al paziente in forma crittografata?
Sì, la trasmissione deve essere crittografata, a meno che il paziente non abbia precedentemente acconsentito all’invio tramite e-mail standard (ad es. Gmx, Gmail ecc.).
Come possiamo inviare dati dei pazienti in modo sicuro a destinatari senza HIN, ad esempio pazienti?
Se le e-mail vengono inviate da un indirizzo di posta HIN a un altro indirizzo di posta HIN, la trasmissione è automaticamente sicura e conforme alle norme in materia di protezione dei dati. Tuttavia, se il destinatario non è membro HIN è necessario scrivere «(confidenziale)» nell’oggetto, in modo che l’e-mail venga inviata in forma crittografata. Nel Blog di HIN troverete maggiori Informazioni.
Le e-mail ai pazienti vanno sempre inviate con HIN Mail Global?
Se le e-mail ai pazienti contengono informazioni sensibili, è obbligatorio che tali informazioni siano crittografate quando vengono inviate per e-mail. È possibile farlo con HIN Mail Global. Se le e-mail non contengono dati sensibili possono essere inviate tramite e-mail standard, ad esempio anche a destinatari con domini come Gmx, Gmail o Bluewin. Maggiori dettagli su HIN Mail Global.
Le e-mail devono essere trasmesse in forma crittografata o è sufficiente proteggere con una password gli allegati inviati tramite e-mail?
Anche la visita di un paziente da parte del medico è soggetta a riservatezza. Così come le informazioni contenute in un’e-mail non crittografata come «Grazie per la sua visita di ieri. In allegato troverà gli esiti» costituisce una violazione della protezione dei dati. È quindi raccomandabile inviare e-mail solo in forma crittografata o comunque ottenere il consenso dei pazienti all’invio dei loro dati tramite «posta elettronica standard».