Case study
Dodici reparti diversi, una piattaforma unica, zero coordinamento su come usarla.
Una struttura sanitaria aveva implementato una piattaforma digitale per cartelle cliniche, laboratori e farmaco. Ogni reparto l'usava in modo diverso. Integrita dei dati non era garantita. I dati di un paziente potevano essere inconsistenti tra sistemi. Compliance era una speranza, non una certezza. Rischi normativi crescenti.
Struttura ospedaliera, dodici reparti, piattaforma clinica multi-tenancy implementata in otto mesi senza un disegno di governance. Ogni reparto aveva configurato il sistema a suo modo. Workflow di approvazione dei dati inconsistenti tra reparti. Tracciamento degli accessi frammentato. Nessun process owner. Il progetto di governance ha durato cinque mesi, con coinvolgimento simultaneo di IT, compliance, medici e infermieri.
Dodici versioni della stessa piattaforma, dodici modi di usarla. Non era una piattaforma, erano dodici isole con lo stesso software. I dati di un paziente ricoverato in due reparti potevano essere duplicati o incoerenti.
I dati sensibili (dosaggi farmaco, risultati laboratorio) dovevano passare per un medico responsabile. Ma ogni reparto lo interpretava diversamente. Tempi di approvazione da 12 ore a tre giorni per la stessa operazione.
La tracciamento di chi accedeva a quale dato era incompleto. Non c'era un modo centralizzato di sapere se un infermiere in un reparto aveva accesso a dati di un paziente in un'altro reparto, e quando.
Requisiti normativi (GDPR, cartella digitale) erano stati tradotti da persone diverse in modi diversi. Nessuno sapeva con certezza se il sistema era compliant.
Mappatura di come la piattaforma era stata effettivamente configurata. Interviste ai 12 responsabili di reparto. Identificazione delle divergenze e della criticità. Assessment di compliance rispetto alle normative applicabili.
Definizione di sei livelli di decisione: strategia di piattaforma (CIO), disegno clinico (CME), configurazione di reparto (reparto lead), accesso ai dati (responsabile qualità), audit (compliance), escalation (governance committee). Chi decide cosa, in che ordine, con quale tempistica.
Identificazione di cosa doveva essere uguale per tutti (identità dei pazienti, tipi di dato sensibile, workflow di approvazione core) e cosa poteva essere diverso (workflow specifici di reparto, form localizzati). Una configurazione base, undici varianti autorizzate.
Implementazione di un sistema centralizzato di log di accesso. Dashboard di monitoraggio di chi accedeva a cosa. Alerting automatico per accessi inaspettati o anomali. Responsabile di monitoraggio designato.
Training specifico per ruoli: CIO (strategic governance), responsabili di reparto (operational governance), infermieri (data sensitivity), compliance officer (audit). Certificazione di competenza per chi avrebbe potuto configurare o accedere ai dati.
Workflow di approvazione standardizzato: tempo da 12-72 ore a 8-24 ore su tutti i reparti. Audit trail completo e tracciabile di ogni accesso a dati sensibili. Compliance assessment positivo sia da parte interna che da audit esterni. Riduzione di incidenti di data privacy da tre al mese a zero in sei mesi. Un governance committee attivo che si riunisce mensilmente e che prende decisioni di sistema con velocità.
La governance non è un documento che scrivi una volta. È un processo che vive. In sanità, dove i dati sono sensibili e le conseguenze di errori sono critiche, la governance deve essere parte della cultura operativa, non una sovrastruttura. La governance funziona quando chi opiera sa perché certe regole esistono, non solo quali sono le regole.
Audit di progetto Segnali precoci di un progetto in difficoltà Servizi
Governance è restrittiva o abilitante? Dipende da come la disegni. Se la imponi, è restrittiva e viene sabotata. Se la disegni partendo da quello che il team ha bisogno di fare, diventa abilitante: sai di avere il supporto quando serve.
Come si mantiene la governance nel tempo? Con una funzione permanente (governance officer) che monitora, segnala deviazioni, e coordina gli aggiustamenti. E con un governance committee che si riunisce regolarmente.
Quanta governance è troppa? La giusta quantità è quella in cui il team sa perché esiste. Se il 50% del tempo è speso in riporti di governance, è troppa. Se il 5% è speso in controlli e monitoraggio, è giusta.
Raccontami in breve: quante persone usano il sistema, quanti reparti o funzioni, quale è il rischio principale (compliance, security, data quality). La prima conversazione serve a capire se ha senso continuare a parlarne.