L’implementazione di un servizio di prenotazione web: l’esperienza di Cup 2000

Roma 31/01/2003

Lo stato attuale: l’integrazione tra Portale e Call Center

Roma 31/01/2003

“Prime disponibilità”: servizio web informativo anonimo che permette all’utente di informarsi in tempo reale sulle disponibilità delle prestazioni ricercate.

E’ un motore di ricerca che permette la consultazione su tutto il Cup Metropolitano Bolognese:

• 2300 prestazioni

• 3500 agende

• offerta: SSN, LPI, Privato

Roma 31/01/2003

“Prime disponibilità”: Ricerca della prestazione medica

Roma 31/01/2003

“Prime disponibilità”: conferma della prestazione

Roma 31/01/2003

“Prime disponibilità”: precisazioni relative a medico-luogo-contratto

Roma 31/01/2003

“Prime disponibilità”: precisazioni relative a medico-luogo-contratto Tabella dinamica per la scelta dell’area di erogazione

Roma 31/01/2003

“Prime disponibilità”: precisazioni relative a medico-luogo-contratto tabella dinamica per le modalità di erogazione

Roma 31/01/2003

“Prime disponibilità”: risultati della ricerca

Roma 31/01/2003

“Prime disponibilità”: informazioni sulla Unità Erogante Attesa Indirizzo Comune Orario di apertura Sabato lavorativo Età min , Età max Avvertenze

Come prenotare

Rete CUP M Farmacie CALL CENTER “Call me web”

Roma 31/01/2003

“Call me Web” l’interazione simultanea attraverso la voce e il web

tecnologia VoIP per la comunicazione dell’utente con il Call Center

la connessione vocale viene instaurata sulla medesima linea con cui gli utenti si connettono a Internet

è sufficiente microfono e cuffie/casse

è integrato nelle pagine web del Call Center e del servizio “Prime disponibilità”

Roma 31/01/2003

“Call me Web” integrato nel servizio “Prime disponibilità”

Roma 31/01/2003

Gli sviluppi futuri: la prenotazione web

Sistemi di prenotazione differenziati per le diverse categorie di utenza:

Domestica: dedicato ai cittadini per la prenotazione e la disdetta on-line. Include funzionalità limitate, sia in termini di quantità di prestazioni prenotabili (contemporaneamente o in un intervallo definito di tempo), sia nella possibilità di operare solo a nome dell’utente che ha effettuato il log-in.

Professionale: dedicato agli operatori con competenze nel campo sanitario, ma non necessariamente con competenze informatiche. Unisce la semplicità d’utilizzo del Web con le funzionalità avanzate di un sistema di prenotazione tradizionale. Le esigenze di sicurezza sono molto elevate, soprattutto per quanto riguarda l’autenticazione degli utenti.

Roma 31/01/2003

Prenotazione web “domestica”: tabella dei risultati

Roma 31/01/2003

Prenotazione web “domestica”: sintesi dati selezionati

Roma 31/01/2003

Prenotazione web “domestica”: login utente

codice personale

password

Roma 31/01/2003

Prenotazione web “domestica”: inserimento dati impegnativa Data e Codice

Roma 31/01/2003

Prenotazione web “domestica”: elenco date disponibili

selezione data

o visualizzazione delle prossime date

Roma 29/01/2003

Prenotazione web “domestica”: elenco orari disponibili

selezione orario

Roma 31/01/2003

La Sicurezza nella Prenotazione WEB

Roma 31/01/2003

Problematiche Principali

Roma 31/01/2003

1. Dati sensibili1. Dati sensibili

I dati sanitari sono dati sensibili: la legge obbliga ad adottare tutte le possibili

precauzioni per evitare l’intercettazione dei dati e l’accesso non autorizzato ai database.

Roma 31/01/2003

2. Importanza del servizio2. Importanza del servizio

E’ fondamentale un’autenticazione forte di colui che prenota, al fine di evitare “azioni di disturbo” (riempimento indiscriminato delle agende, prenotazioni senza impegnativa, prenotazioni a vuoto non annullate, …).

Roma 31/01/2003

3. 3. Servizio pubblico/di pubblica utilità Servizio pubblico/di pubblica utilità

E’ fondamentale l’affidabilità del sistema, sia in termini di disponibilità (24 ore su 24, 7 giorni su 7), sia in termini di resistenza ad

attacchi informatici (D.o.S., defacement, …).

Roma 31/01/2003

4. 4. Politiche di sicurezzaPolitiche di sicurezza

E’ necessario implementare delle corrette politiche di sicurezza, che devono

comprendere, oltre alle problematiche di natura informatica, anche quelle di natura

organizzativa.

Roma 31/01/2003

Possibili Soluzioni

Roma 31/01/2003

a. Sistema “sicuro”a. Sistema “sicuro”

Implementare una infrastruttura tecnologica “sicura”. In questo, il minimo indispensabile è il rispetto delle normative AIPA in merito di

sicurezza dei sistemi.

Roma 31/01/2003

b. Crittografiab. Crittografia

Utilizzo di sistemi di crittografia per impedire l’intercettazione dei dati.

Roma 31/01/2003

c. Firewallc. Firewall

Utilizzo di politiche di firewalling molto rigide per evitare il traffico non autorizzato.

Roma 31/01/2003

d. Aggiornamentod. Aggiornamento

Aggiornamento costante delle tecnologie, sia hardware che software, e revisione periodica

delle politiche di sicurezza (living documents).

Roma 31/01/2003

e. e. Autenticazione del prenotanteAutenticazione del prenotante

La soluzione ottimale sarebbe l’utilizzare sempre la firma digitale, ma è anche

possibile ipotizzare l’utilizzo di diversi livelli di autenticazione a seconda delle tipologie di

utente e del “grado di libertà”:

Utente “Professionale” (farmacista, medico, infermiere di reparto, etc.)

Utente “Home”

Roma 31/01/2003

Utente “Professionale”

Autenticazione tramite firma digitale, con possibilità di prenotare senza limitazioni

anche per utenti diversi.

Roma 31/01/2003

Utente “Home” (1)Autenticazione tramite username/password, con

forti limitazioni nell’utilizzo del sistema. In ogni caso, si dà la possibilità di prenotare solo per se stessi. Inoltre le limitazioni possono essere, per esempio,

nel numero di prestazioni prenotabili contemporaneamente, in un intervallo di tempo

definito tra due prenotazioni oppure nella tipologia di prestazioni prenotabili. Un’altra possibile limitazione

è data dal controllo formale del codice dell’impegnativa (se previsto dalla normativa

regionale).

Roma 31/01/2003

Utente “Home” (2)È anche importante che l’utilizzatore sia

chiaramente informato delle implicazioni legali che può portare un utilizzo non corretto del sistema.La password deve rispondere a caratteristiche di

complessità minime e non dovrebbe essere quindi liberamente scelta dall’utente.

Roma 31/01/2003

f. Responsabilizzazionef. ResponsabilizzazioneÈ comunque fondamentale responsabilizzare ogni

utente che detiene i codici per l’accesso al sistema. I codici devono poi essere distribuiti secondo

procedure “sicure”, quindi con una identificazione diretta dell’utilizzatore e con mezzi di distribuzione

fidati (non ci si può affidare alla distribuzione diretta via web o e-mail, ed anche la comunicazione

telefonica delle password dovrebbe essere evitata).

Roma 31/01/2003

g. Separazione dei datig. Separazione dei dati

Il software deve essere progettato in modo che durante la transazione non vengano mai inviati contemporaneamente dati sanitari e

dati anagrafici dell’utente.

Roma 31/01/2003

h. Log delle connessionih. Log delle connessioni

Per poter gestire gli eventuali incidenti, è comunque sempre necessario effettuare un logging completo delle operazioni effettuate sul sistema. Il log a sua volta deve essere

accuratamente protetto, in quanto costituisce in sé dato sensibile.

Roma 31/01/2003

Attenzione!Attenzione!La legge prevede che in caso di trattamento di dati

personali non sia sufficiente applicare le misure minime previste, ma sia necessario effettuare tutte

le operazioni possibili e teoriche per rendere sicuro il sistema (inversione del principio di presunzione di

innocenza). Pertanto è necessario prestare particolare attenzione agli aspetti di sicurezza del

sistema, in quanto, in caso incidente, si dovrà dimostrare di avere fatto tutto il possibile per

cautelarsi.

STOP STOP

Roma 31/01/2003

Roma 31/01/2003

SVILUPPI FUTURISVILUPPI FUTURI

Gli sviluppi futuri: le prescrizioni elettroniche MMG e PLS dopo aver compilato elettronicamente la prescrizione con il software in dotazione allo studio, la invieranno telematicamente (attraverso un bridging sw) alla propria azienda.

L’azienda utilizzerà le prescrizioni relative alla specialistica ambulatoriale a livello di CUP per non dover ridigitare i dati (riduzione del 35% circa del tempo di prenotazione). Le prescrizioni farmaceutiche potranno essere utilizzate per la verifica dei consumi effettivi (prescrizioni cartacee inviate dalle farmacie), potranno alimentare anche una base dati regionale in forma anonima ai fini di previsioni tendenziali di spesa.

MMG e dei PLS, avranno a disposizione per via telematica:• elenco degli assistiti che hanno scelto il medico• elenco delle prestazioni ambulatoriali prenotabili a Cup e relativa trascodifica • il prontuario farmaceutico aziendale, con le scelte effettuate dalla commissione terapeutica locale in modo che sia possibile individuare facilmente i farmaci generici e comunque i farmaci che presentano un miglior rapporto costi-benefici.

La possibilità di effettuare prenotazioni per gli esami urgenti con notifica immediata al medico dell'appuntamento e sarebbe a carico del paziente l'eventuale disdetta.

Roma 31/01/2003

Le prescrizioni elettroniche - architettura

Roma 31/01/2003

MMG/PLSMMG/PLS

Bridging

swstudio

MMG MMG AssocAssoc

Bridging

swstudio

Centro Centro RERRER

Bridging

swstudio

CittadinoCittadino

Browser

CUP/AuslCUP/Ausl

Porta Appl.

webserver

Intranet

Internet

Roma 31/01/2003

Adattatore (bridging sw) al sistema locale del medico (i sw utilizzati sono 4-5)

Modulo (uguale per tutti) di confezionamento e invio dei messaggi standard liberamente configurabile per la memorizzazione degli indirizzi (web services) a cui accedere

Le prescrizioni elettroniche – sw MMG/PLS

Creazione di un sito web per la compilazione on-line (compilazione sicura) delle prescrizioni da parte dei medici non informatizzati

Catalogo CUP on-line per prestazioni ambulatoriali

Catalogo farmaceutico on-line

Possibilità di vedere elenco prescrizioni effettuate

Roma 31/01/2003

Le prescrizioni elettroniche per MMG non informatizzati

Roma 31/01/2003

Evoluzione della prenotazione on line “Domestica” tramite la prescrizione elettronica - Vantaggi

Riduzione del tempo di prenotazione (minor numero di passaggi)

Maggior facilità nel compimento della prenotazione

Maggior garanzia e sicurezza per le Aziende e il Cup

Riduzione degli errori in fase di prenotazione sia per i cittadini che per gli operatori

Roma 31/01/2003

Evoluzione della prenotazione on line “Domestica” tramite la prescrizione elettronica - FASI

• Autenticazione: username, password, codice prescrizione (Token)

• Scelta della struttura e unità erogante

• Scelta di una data disponibile

• Scelta dell’orario disponibile in agenda

• Conferma e stampa del foglio di prenotazione

Roma 31/01/2003

L’infrastruttura tecnologica futuraL’infrastruttura tecnologica futura

Roma 31/01/2003

ASL, AO, Cup2000, etc.

DMZ

Web ServerPrima disponibilità

PRA

BRABRA

Web Server Prenotazione Domestica

DataBase Server

FARMACIEFARMACIECUPCUP

App. Layer Firewall

First Layer Firewall

FW HAFW HA

Sanità PrivataSanità Privata

Farmacie

Application Server

Internet

Roma 31/01/2003

Sicurezza infrastrutturaleSicurezza infrastrutturale• Ridondanza delle linee di trasmissione;• Ridondanza degli apparati (firewall ad alta

affidabilità, linee di collegamento tra i server);

• Reti separate per ambiti diversi (farmacie, sanità privata, ASL);

• DMZ con i server web prima disponibilità.

Roma 31/01/2003

Sistemi di sicurezzaSistemi di sicurezza• Il First Layer Firewall separa internet dalla rete interna e permette di accedere esclusivamente alla DMZ;• L’Application Layer Firewall separa la DMZ dalla rete interna e lascia passare solo le richieste dal Web server all’Application server;• I firewall HA gestiscono le politiche di sicurezza tra i diversi ambiti della rete.

Roma 31/01/2003

Politiche di sicurezza non tecnologichePolitiche di sicurezza non tecnologiche

E’ fondamentale l’educazione dell’utente alla sicurezza: gli utenti devono sapere che una parte della sicurezza dipende da loro e che sono perseguibili in caso di abusi volontari mirati al disturbo del servizio.

Roma 31/01/2003

Dott. Ing. Paolo PagnoniDott. Ing. Paolo Pagnonipaolo.pagnoni@cup2000.it

Cup 2000 S.p.a.Cup 2000 S.p.a.via del Borgo di San Pietro 90/cvia del Borgo di San Pietro 90/c

Tel +39 051 4208411Tel +39 051 4208411www.cup2000.itwww.cup2000.it