La ASL RM1, una delle maggiori aziende sanitarie pubbliche italiane, definisce così la funzione aziendale relativa al governo del rischio clinico:
“In un contesto sanitario in continua evoluzione dove l’orientamento è di offrire sempre più assistenza di alta qualità in condizioni di massima sicurezza, assume notevole rilievo la valutazione ed il controllo dell’effettiva sicurezza dei pazienti nell’ambito delle organizzazioni sanitarie. La gestione del Rischio Clinico, voluta dai recenti Piani Sanitari Nazionali è sempre più richiamata in quelli Regionali, rappresenta l’insieme delle azioni messe in atto per migliorare la qualità delle prestazioni sanitarie e garantire la sicurezza del paziente.
Benché sia una componente ineliminabile, ma contenibile della realtà lavorativa e umana, è importante considerare “l’errore” come fonte di conoscenza e miglioramento per evitare il ripetersi delle circostanze che lo hanno generato e mettere in atto iniziative capaci di presidiare la sicurezza dell’assistenza sanitaria. In quest’ottica, la Gestione del Rischio Clinico, che è una delle dimensioni della Clinical Governance, richiede che le Aziende Sanitarie sviluppino una visione strategica del rischio anche in risposta all’evoluzione dei costi assicurativi che impattano in misura sempre più importante sui bilanci delle Aziende e della Regione.”
Buone pratiche, comportamenti e responsabilità nel risk management in sanità
Qualità delle cure, sicurezza dei pazienti e degli operatori (implicita nel testo della ASL RM1) e non ultimo, la prevenzione degli “incidenti assicurativi” che impattano sui bilanci aziendali.
La cosa si fa interessante quando, continuando a navigare sul sito, si scoprono i percorsi le procedure e si immagina tutto questo fatto anni fa, con la carta e con la penna, inviando solerti impiegati a controllare il rispetto dei percorsi e delle procedure, affisse con cartelli perentori nei reparti e nelle camere operatorie “lavarsi le mani con il sapone solo se visibilmente sporche, altrimenti utilizzare il prodotto nel flacone sottostante”, “vietato uscire dal blocco operatorio con le divise operatorie”, la check list per la risonanza magnetica da far compilare al paziente, solo per presentarvi alcune cose immediatamente visibili e molto altro, ma sempre fatto con carta e penna o con la macchina da scrivere.
Il rischio digitale nel management sanitario
Poi sono arrivati i PC e le stampanti e le procedure sono diventate più leggibili, più facili da aggiornare, ma sempre basate su atti “analogici”. Improvvisamente, per qualcuno come un meteorite, l’era digitale è arrivata, non l’ha portata il PC ma l’ha portata la RETE, il fatto che i PC fossero semplici da mettere in rete, i “mainframe” delle aziende sanitarie sono stati sostituiti da reti distribuite, mille applicativi, dispositivi digitali connessi, upgrade su upgrade e il rischio clinico non è stato più così chiaro. Avere un PC non aggiornato con windows XP può essere considerato un fattore importante di rischio clinico? Si, se con quel PC si leggono e si stampano gli esami di laboratorio, magari attraverso un accesso remoto all’applicativo del laboratorio, che non nasceva per lavorare in rete (caso reale), si se la rete non funziona e non si possono preparare le liste operatorie perché qualcuno ha collegato un PC da casa che ha iniziato a fare il DNS. Cybersecurity? Si, nelle aziende in generale, rischio clinico in quelle sanitarie.
La Corte di Cassazione si è pronunciata nel 2016 (Cass. pen. Sez. IV, Sent., ud. 03‐12‐2015, 21‐01‐2016, n. 2541) in merito ad un decesso durante il telemonitoraggio. Come descritto nel documento di sentenza
1. “ G.M. veniva tratto a giudizio davanti al tribunale di Livorno in ordine al delitto p. e p. dall’art. 589 c.p. perché, nella qualità di direttore della Divisione di Cardiologia e Unità di Terapia Intensiva Cardiologia dell’ospedale civile di Livorno, per colpa consistita in negligenza, imprudenza, imperizia ed inoltre in violazione dei protocolli di buona prassi di organizzazione del lavoro in U.T.I.C. cagionava il decesso del paziente Go. M.
Precisamente a G.M. veniva contestato di aver omesso di verificare, al momento del trasloco dell’U.T.I.C. presso la nuova struttura nel febbraio 2006, che il mantenimento della precedente turnazione di tre Infermieri Professionali complessivi (non adeguato alla nuova logistica del reparto dove uno dei tre infermieri si sarebbe trovato in locali diversi dell’U.T.I.C. e materialmente impossibilitato al controllo dell’apparecchiatura di monitoraggio) comportava la formale scomparsa della funzione di controllo dal piano di lavoro, nonché il sostanziale impedimento della stessa nelle occasioni in cui gli infermieri professionali presenti in U.T.I.C. fossero stati completamente assorbiti dalle incombenze ordinarie e straordinarie del reparto.”
L’analisi dei comportamenti e la valutazione dei fattori di rischio
In sintesi per i non esperti, U.T.I.C. sta per Unità di Terapia Intensiva Coronarica, dove vengono ricoverati i pazienti con infarto acuto. Si tratta di un decesso causato da una “incuria” nel controllo del sistema di telemetria (o telemonitoraggio) che tecnicamente ha fatto il suo dovere, segnalando che il paziente aveva una aritmia critica, ma per problemi tecnici ed organizzativi nessuno se n’è accorto, causando purtroppo il decesso del paziente. Il giudice di secondo grado aveva attribuito la colpa al primario del reparto.
Il paziente è deceduto, secondo quanto accertato in primo grado perché “Go. era rimasto abbandonato a sé stesso, precisando che l’abbandono fu cagionato dal fatto che le infermiere B. e Ce., sole presenti nel reparto dalle “ore 5.15/5.30” fin “dopo le ore 6”, erano impegnate nell’assistenza urgente di altri pazienti e non erano pertanto “in grado di permanere nella guardiola davanti al monitor della postazione centrale, ove sono consumabili le tracce delle telemetrie”. Osservava il Giudice di primo grado che nella descritta situazione soltanto l’allarme sonoro avrebbe potuto avvertire tempestivamente le infermiere dell’aritmia ventricolare di Go., ma “l’allarme della telemetria n. I applicata a Go. non era scattato perché recava l’impostazione ALLARMI SOSPESI e – per quanto attiene alla durata della sospensione degli allarmi ‐ era stato configurato su “INDEFINITE”, cosicché quando la telemetria veniva applicata con gli allarmi sospesi, questi rimanevano tali se e fino a quando l’operatore non procedeva alla loro attivazione manualmente anche se l’apparecchio telemetrico veniva scollegato da precedente paziente, spento, collegato a nuovo paziente e riacceso”.
L’uso improprio di strumenti elettronici e digitali
Il caso fa riferimento ad un uso improprio dell’apparecchio, forse legato a scarsa competenza infermieristica e al modello organizzativo malfatto (gestione del rischio). Il tribunale in primo grado segnala anche che:
- il “sistema di monitoraggio Philips adottato per il nuovo reparto UTIC non era pienamente padroneggiato… neppure dagli stessi tecnici Philips;
- dall’esame testimoniale degli infermieri in servizio presso l’UTIC … è emerso … che ancora oggi … in alcuni di essi molta confusione è ancora presente su alcuni aspetti di quel sistema”;
- … il livello di apprendimento … del sistema di monitoraggio da parte degli operatori non (era) all’epoca dei fatti esaustivo;
- … la nozione fondamentale recepita dal tecnico D. durante i corsi o gli incontri di training applicativo fu quella della “immodificabilità” degli allarmi rossi (quelli segnalanti la fibrillazioni pericolose);
- … emerge una prova del tutto contraddittoria ed incerta circa l’iter attraverso il quale si sarebbe addivenuti alla modifica” (adottata in seguito a “un nuovo incontro in UTIC fra il D. e gli infermieri, avvenuto verosimilmente il 7.03.06”), ragion per cui, “una volta attivato il pulsante “SOSPENDI ALLARME” si sospendevano indefinitivamente tutti gli allarmi telemetria”, compresi quelli rossi, salvo essere riattivato con il tasto “FINE SOSPENSIONE”;
- quanto ai chiarimenti forniti dal tecnico D., “deve, invero, rilevarsi la inverosimiglianza delle sue dichiarazioni secondo le quali avrebbe comunicato espressamente al Primario e ai medici del reparto circa la modifica … sulla sospensione degli allarmi rossi”;
- “in tale quadro può ritenersi … che il D., tecnico giovane ed ancora inesperto … di tutte le innumerevoli potenzialità del sistema Philips, messo sotto pressione delle numerose richieste, dalle domande poste e dagli appunti fatti da un personale particolarmente esigente ed agguerrito … abbia operato sul sistema con una modifica, non avendone lui stesso chiare le complete implicazioni e/o soprattutto non avendone chiarito al personale, ai medici e ai responsabili le reali potenzialità operative”;
Da qui in poi la sentenza entra negli aspetti tecnico-giuridici, che ci riguardano molto poco.
Il rischio clinico e il tema delle competenze
Cosa insegna questa storia sul tema del rischio clinico nell’era digitale? Una storia di “ordinaria innovazione digitale italiana”. Arriva un nuovo reparto, con una nuova apparecchiatura, certamente migliore delle precedenti, capace di salvare vite ma questo evento si scontra con:
- una inadeguatezza numerica ed organizzativa del personale rispetto al nuovo reparto ed alle nuove tecnologie
- una inadeguatezza del personale tecnico della ditta fornitrice rispetto all’innovazione continua del produttore
- una incapacità di rilevare il peso che queste mancanze avrebbero potuto avere sul processo di diagnosi e cura, principalmente perché il personale coinvolto, tutto, per “pigrizia o altro” (non sono un giudice, parlo più che altro di aspetti umani) ha mancato di segnalare questi problemi.
Incapacità di gestione del rischio clinico, soprattutto quando questo è digitale
Le basi, capisaldi dell’atto sanitario, e alla base della valutazione del rischio clinico sono gli stessi della Cybersecurity: Safety, Security, Resilience e Trust, che sono da sempre elementi chiave della professione sanitaria. Per chiarirci,
- Safety (evitare di fare danno per errore) per il medico/infermiere richiede apparati certificati, medici ed infermieri competenti, locali idonei, modelli organizzativi collaudati ecc.
- Security (evitare di fare danno perché un malintenzionato ha usato maliziosamente il sistema) richiede apparati protetti da manipolazioni intenzionali, luoghi accessibili solo a chi e’ autorizzato, cartelle accessibili solo agli aventi diritto, metronotte che sorvegliano, telecamere agli ingressi, ecc.
- Resilience (funzionare anche in presenza di guasti) richiede apparecchiature e presidi di scorta, manutenzione entro poche ore h24, medici che sostituiscono il collega in caso di malattia, backup sicuro dei dati clinici ecc.
- Trust (affidabilità e qualità della prestazione) richiede competenze professionali ed aggiornamento costante, referenze certificate, aggiornamenti e pubblicazioni scientifiche.
Il modello di Risk Management di Borsa Italiana
Come fare per tenere sotto controllo questi processi come fare per valutarli? Sarebbe interessante vedere applicati i concetti della Borsa Italiana illustrati nell’immagine sottostante.
Dobbiamo, noi “sanitari”, prendere in mano il governo dell’atto sanitario digitale ed utilizzare le nostre competenze per guidare l’atto di cura o il PDTA come abbiamo sempre fatto, anche attraverso strumenti digitali, con la massima tutela del medico e del paziente. Non è una specificità del digitale, safety, security, resilience e trust sono la BASE dell’atto medico. È ora di prendere seriamente in considerazione il tema, con policy forti, a livello centrale, l’aiuto degli esperti tecnici, senza delegare alle regioni o ai tecnici competenze che non hanno. Gli inglesi e gli americani hanno indicato una strada, a noi recepire il meglio, affinarlo ed adattarlo, per il bene di tutti, degli operatori del settore e dei cittadini
Ricerche sulla sicurezza dei sistemi informativi sanitari
Su questi temi sono in corso due ricerche, cui ho contribuito, supportate anche dal Ministero della salute e realizzate dalla Alta Scuola di Economia e Management dei Sistemi Sanitari, ALTEMS dell’Università Cattolica.
La prima ricerca si intitola “his-SA: metodologia di analisi e modello di classificazione della sicurezza nei sistemi informativi sanitari secondo un approccio di Health Technology Assessment”. I dati riguardano 46 aziende sanitare con 113 presidi ospedalieri. Molti i risultati interessanti del questionario e dell’analisi successiva. Un fattore di rilievo: nella maggior parte delle strutture esaminate non esistono connessioni tra chi valuta il rischio clinico e chi valuta l’ICT, e nessun processo per l’integrazione in corso.
Successivamente, la ricerca si è estesa e la seconda ha preso il titolo “La sicurezza dei dispositivi medici nei sistemi informativi sanitari secondo un approccio di Health Technology Assessment”
La gestione della “sicurezza”, va intesa non solo dal punto di vista prettamente tecnologico, piuttosto in un’ottica più ampia, in termini di esecuzione sicura, corretta ed economica dei processi aziendali, in modo da minimizzare e prevenire i rischi, prima di tutto quelli relativi alla salute del paziente ed alla protezione dei dati personali.
Una indagine sulla sicurezza e le prospettive per l’Health Technology Assessment
Seguendo questo approccio, nel 2017 è stata condotta una indagine a livello nazionale sulla sicurezza dei sistemi informativi sanitari ed è stato definito il modello hisSA per la valutazione della “sicurezza globale” del sistema informativo. hisSA coniuga la tradizionale analisi degli aspetti -organizzativi, informativi, funzionali e tecnologici dei sistemi informativi con le prospettive dell’ Health Technology Assessment, quali il rischio clinico, l’impatto sul paziente, l’aspetto economico, le implicazioni etiche, la rispondenza alle normative, etc. Questo nuovo studio è finalizzato a declinare il modello generale hisSA per gli aspetti di sicurezza specifici dei contesti in cui i dispositivi medici elettronici rivestono un ruolo significativo nel processo assistenziale e di cura.
Il concetto di rischio clinico infine è ben definito dalla regione Lazio “RISCHIO CLINICO La gestione del rischio clinico in sanità (spesso chiamata clinical risk management) ha come obiettivo quello di migliorare la qualità delle prestazioni sanitarie e aumentare la sicurezza dei pazienti e degli operatori. A questo scopo impiega un insieme di metodi, strumenti e azioni per identificare, analizzare, valutare e trattare i rischi connessi all’erogazione delle cure.” Quale può essere considerato, alla fine di questo ampio excursus, lo strumento, il metodo più rilevante per la gestione del rischio clinico? E l’azione? Io proporrei la digitalizzazione ben guidata. Sapete cosa può fare una semplice targhetta RFID messa negli indumenti di sala operatoria? E nel materiale di consumo? E un monitoraggio intelligente del consumo dell’acqua nei bagni? E della corrente elettrica? Non mi riferisco al risparmio della spesa ma ad una valutazione dell’uso delle sale operatorie. Big Data aziendale e rischio clinico, un nuovo grande capitolo del futuro prossimo.