Che cos’è un referto medico
Per “referto medico” si intende la relazione scritta rilasciata dal medico sullo stato clinico del paziente dopo un esame clinico o strumentale.
Che cos’è un referto online
Per “referto online” si intende la possibilità di accedere al referto tramite modalità digitali (Fascicolo sanitario elettronico, sito Web, posta elettronica anche certificata, supporto elettronico).
Come avviene la consegna tramite email
Il referto dovrà essere spedito in allegato a un messaggio e-mail e non come testo compreso nel corpo del messaggio. Il file contenente il referto dovrà essere protetto, ad es. con una password.
Come proteggere i dati in caso di referti disponibili sul sito web della struttura sanitaria
La struttura sanitaria deve adottare protocolli di comunicazione sicuri (https) e sistemi di autenticazione forte dell’interessato (strong authentication). Deve inoltre rendere disponibile il referto online sul proprio sito web per un massimo di 45 gg. e garantire all’utente la possibilità di cancellare dal sistema di consultazione, in modo complessivo o selettivo, i referti che lo riguardano.
Quali sono le misure di sicurezza da adottare
E’ necessario adottare specifiche misure e accorgimenti tecnici al fine di assicurare idonei livelli di protezione dei dati sia in base alle Linee Guida in materia di refertazione online del Garante che al DPCM 08/08/2013.
E’ necessario prevedere idonei sistemi di autenticazione e autorizzazione per i soggetti autorizzati a seconda dei ruoli e delle finalità dei trattamenti.
E’ necessario definire differenti livelli di protezione a seconda che la consultazione online dei referti avvenga tramite servizi Web, tramite posta elettronica anche certificata o supporto elettronico. Chiunque abbia accesso o tratti i dati dei referti online deve essere opportunamente formato.
Quali sono gli adempimenti da adottare
La refertazione online, con le sue specifiche caratteristiche e misure di sicurezza, deve essere inserita all’interno del Registro delle attività di trattamento in base all’art. 30 del GDPR.
Qualora il titolare intenda implementare l’uso di nuove tecnologie per offrire su larga scala nuovi servizi digitali di refertazione deve effettuare, prima di procedere al trattamento, la valutazione d’impatto (cd. DPIA) secondo le regole previste dal GDPR.