I referti medici tramite web e pec

Consegna referti medici tramite web e posta elettronica certificata (PEC)

La consegna dei referti medici tramite web e PEC ( posta elettronica certificata ) nonchè di effettuazione del pagamento online delle prestazioni erogate, ai sensi dell'articolo 6, comma 2, lettera d), numeri 1) e 2) del decreto-legge 13 maggio 2011, n.70, convertito, con modificazioni, dalla legge 12 luglio 2011, n. 106, recante «Semestre europeo - prime disposizioni urgenti per l'economia».

Decreto del Presidente del Consiglio dei Ministri del 08.08.13 (Gazzetta Ufficiale n. 243 del 16.10.13)

Esso non si applica alle analisi genetiche, mentre per gli accertamenti sull'HIV resta fermo quanto stabilito dalla legge 5 giugno 1990, n. 135.
Il provvedimento, dopo aver definito con chiarezza il significato dei termini impiegati, affronta i seguenti temi:

• consegna del referto in modalità digitale,
• copia cartacea del referto digitale,
• consenso dell'interessato,
• requisiti di sicurezza per le aziende sanitarie,
• pagamenti online,
• rilevazione del giudizio dei cittadini.

Nell'allegato al provvedimento vengono approfonditi i seguenti aspetti: servizi di refertazione online, servizi aggiuntivi, formati ammessi per il referto digitale, requisiti di sicurezza per le aziende sanitarie.
 

RIPORTIAMO DI SEGUITO I PUNTI SALIENTI DELL'ALLEGATO A

 

SERVIZI DI REFERTAZIONE ONLINE

1.1 Consegna tramite web

Il servizio offre all'interessato la possibilità di collegarsi al sito Internet della azienda sanitaria al fine di visualizzare online il referto digitale e effettuare la copia locale (download). In questo caso devono essere adottate dall'azienda sanitaria le seguenti cautele:

a) utilizzo di idonei sistemi di identificazione dell'interessato, quali carta di identità elettronica (CIE), carta nazionale dei servizi (CNS), ovvero di altri strumenti che consentono l'individuazione del soggetto che richiede il servizio, ai sensi dell'art. 64 del CAD, fermo restando l'obbligo di garantire al titolare di CIE o CNS di poterne fare uso;

b) utilizzo di protocolli di comunicazione sicuri, basati sull'utilizzo di standard crittografici per la comunicazione elettronica dei dati, con la certificazione digitale dell'identità dei sistemi che erogano il servizio in rete (protocolli https ssl - Secure Socket Layer);

c) stabilire un limite temporale per la disponibilità online del referto digitale (non superiore a 45 giorni.), permettendo comunque all'interessato, in tale intervallo di tempo, di richiedere di oscurare dal sistema web il referto digitale.

1.2 Consegna tramite Posta elettronica

Il servizio offre all'interessato la possibilità di ricevere il referto digitale, o copia informatica dello stesso, alla casella di posta elettronica da esso indicata. In questo caso devono essere adottate dall'azienda sanitaria le seguenti cautele:

a) il referto digitale o la sua copia informatica dovranno essere spediti in forma di allegato a un messaggio e non come testo compreso nel corpo del messaggio;

b) il referto digitale o la sua copia informatica dovranno essere protetti con tecniche di cifratura e accessibili tramite una password per l'apertura del file consegnata separatamente all'interessato.

1.3 Consegna tramite

Posta elettronica certificata o domicilio digitale del cittadino

Il servizio offre all'interessato la possibilità di ricevere il referto digitale o la sua copia informatica alla casella di posta elettronica certificata da esso indicata ovvero al proprio domicilio digitale. In questo caso devono essere adottate dall'azienda sanitaria le seguenti cautele:

a) il referto digitale o la sua copia informatica dovranno essere spediti in forma di allegato a un messaggio e non come testo compreso nel corpo del messaggio.

1.4 Consegna tramite supporto elettronico

Il servizio offre all'interessato la possibilità di ricevere il referto digitale o la sua copia informatica tramite apposito supporto elettronico. Possono essere utilizzati supporti elettronici quali memorie USB, DVD, CD, etc. Nel caso in cui il supporto venga utilizzato per consegnare all'interessato referti digitali in momenti diversi, devono essere adottate dall'azienda sanitaria le seguenti cautele:

a) il supporto deve essere protetto da opportune credenziali di sicurezza (es. username e password) consegnate separatamente all'interessato o in busta chiusa ad un suo delegato.

1.5 Consegna tramite fascicolo sanitario elettronico FSE Il servizio offre all'interessato la possibilità di ricevere il referto digitale o la sua copia informatica tramite il proprio fascicolo sanitario elettronico (FSE). In questo caso devono essere adottate le seguenti cautele:

a) utilizzo di idonei sistemi di identificazione dell'interessato, quali carta di identità elettronica (CIE), carta nazionale dei servizi (CNS), ovvero di altri strumenti che consentono l'individuazione del soggetto che richiede il servizio, ai sensi dell'art. 64 del CAD, fermo restando l'obbligo di garantire al titolare di CIE o CNS di poterne fare uso;

b) utilizzo di protocolli di comunicazione sicuri, basati sull'utilizzo di standard crittografici per la comunicazione elettronica dei dati, con la certificazione digitale dell'identità dei sistemi che erogano il servizio in rete (protocolli https ssl - Secure Socket Layer);

c) ulteriori specifiche cautele secondo quanto disposto nelle "Linee guida in tema di Fascicolo sanitario elettronico e di dossiersanitario" del 16 luglio 2009 del Garante per la protezione dei dati personali e dalle disposizioni attuative dell'art. 12, comma 7, del decreto-legge 18 ottobre 2012, n. 179, convertito in legge, con modificazioni, dall'art. 1 della legge 17 dicembre 2012, n. 221.

 

2. SERVIZI AGGIUNTIVI

L'azienda sanitaria può rendere disponibile all'interessato ulteriori servizi aggiuntivi per favorire o facilitare l'utilizzo dei servizi di refertazione online, ovvero per migliorare, in generale, la qualità dei servizi offerti dalla medesima. Esempi di tali servizi aggiuntivi sono i seguenti:

a) Servizi di notifica: permettono all'interessato di richiedere di essere avvisato della messa a disposizione del referto digitale attraverso l'invio di uno short message service (sms) sul numero di telefono mobile ovvero attraverso l'invio di un messaggio alla casella di posta elettronica indicati all'atto di adesione ai servizi di refertazione online;

b) Servizio di inoltro dei referti digitali a un medico designato dall'interessato: offre la possibilità all'interessato di richiedere la consegna del referto digitale al medico curante da esso indicato.

 

3. REFERTO DIGITALE: FORMATI AMMESSI

Il referto digitale o la sua copia informatica sono consegnati preferibilmente in formato ISO 32000. Si raccomanda, per la firma digitale, l'utilizzo dello standard PAdES o di altro standard equivalente che ne favorisca l'utilizzo uniforme su tutto il territorio nazionale.

Analoghe specifiche si applicano, ove opportuno, anche al reperto digitale.

 

4. REQUISITI DI SICUREZZA PER LE AZIENDE SANITARIE

Per il trattamento dei dati nell'ambito dei servizi di refertazione online, l'azienda sanitaria prevede:

a) idonei accorgimenti per la protezione dei dati registrati e archiviati rispetto ai rischi di accesso abusivo, furto o smarrimento parziali o integrali dei supporti di memorizzazione o dei sistemi di elaborazione portatili o fissi (ad esempio, attraverso l'applicazione anche parziale di tecnologie crittografiche al file system o database, oppure tramite l'adozione di altre misure di protezione che rendano i dati inintelligibili ai soggetti non legittimati);

b) idonei sistemi di autenticazione e di autorizzazione per gli incaricati in funzione dei ruoli e delle esigenze di accesso e trattamento (ad es., in relazione alla possibilità di consultazione, modifica e integrazione dei dati);

c) separazione fisica o logica dei dati idonei a rivelare lo stato di salute e la vita sessuale dagli altri dati personali trattati per scopi amministrativo-contabili;

d) apposite procedure che rendano immediatamente non disponibili i referti digitali tramite i servizi di refertazione online qualora l'interessato abbia comunicato il furto o lo smarrimento delle proprie credenziali di autenticazione all'accesso o altre condizioni di possibile rischio per la riservatezza dei propri dati personali;

e) ulteriori specifiche cautele secondo quanto disposto nelle «Linee guida in tema di Fascicolo sanitario elettronico e di dossier sanitario» del 16 luglio 2009 del Garante per la protezione dei dati personali e dalle disposizioni attuative dell'art. 12, comma 7, del decreto-legge 18 ottobre 2012, n. 179, convertito in legge, con modificazioni, dall'art. 1 della legge 17 dicembre 2012, n. 221.

In ogni caso devono essere adottate dalle aziende sanitarie tutte le misure di sicurezza necessarie per rispettare la disciplina in materia di protezione dei dati personali e, in particolare, il divieto di diffusione dei dati sanitari prescritto dall'art. 22, comma 8, del Codice in materia di protezione dei dati personali.