Ppt I S H 2010

Roma - 30 novembre 2010

1w w w. i n f o r m a t i o n s e c u r i t y h o s p i t a l . i t - C o p y r i g h t © B y M .

F. P e n c o

La sicurezza nella formazione:

trasmissione e archiviazione dei

documenti sanitari.


2

I principi per il funzionamento del sistema sono:Collaborazione, Interoperabilità, Fruibilità, Sicurezza, Privacy, Audit

w w w. i n f o r m a t i o n s e c u r i t y h o s p i t a l . i t - C o p y r i g h t © B y M . F. P e n c o


3

IL CONCETTO DI SICUREZZA E LE LEGGI

La Sicurezza dei sistemi informativi è strettamente legata alla tecnologia e deve essere adeguata alle ultime tecnologie esistenti.

Regole, leggi, disposizioni, non viaggiano, per loro natura, alla stessa velocità della tecnologia.

Quando le leggi divengono “regole tecniche” e quindi, la tecnologia viene forzatamente mescolata con le leggi, il risultato è l’applicazione di una vecchia tecnologia ad una “legge moderna”……

Il rischio, con la rigida applicazione delle leggi, è quello di avere un sistema insicuro, in quanto, se imposto dalla legge, userà sempre tecnologie obsolete.



4

SI ERA INIZIATO BENE NEL LONTANO 1997La definizione del documento informatico:

Questa semplice definizione doveva essere il principio di base in cui ci si doveva muovere ed a cui ci si doveva attenere senza complicarci la vita.

Invece, che cosa è avvenuto? Una pioggia di provvedimenti, regolamenti legislativi, circolari, che hanno completamente ingessato il sistema.

Ecco un grafico che illustra parzialmente cosa è avvenutow w w. i n f o r m a t i o n s e c u r i t y h o s p i t a l . i t - C o p y r i g h t © B y M .

F. P e n c o

L’art. 2 Legge 15 Marzo 1997 N° . 59“Il documento informatico da chiunque

formato, l’archiviazione su supporto informatico e la trasmissione con strumenti telematici, sono validi e rilevanti a tutti gli effetti di legge…”


5

SI ERA INIZIATO BENE NEL LONTANO 1997… 10 anni dopo: il caos!



6

SI ERA INIZIATO BENE NEL LONTANO 1997… 10 anni dopo: il caos!



7

È difficile muoversi, in quanto tutto il sistema è imbrigliato da leggi e regole estremamente difficili da capire ed interpretare anche dagli addetti ai lavori, in un certo qual modo anche da chi le ha redatte ed approvate

Quello che noi tecnici possiamo fare, è indicare i principi per far si che la logica prevalga sulle disposizioni di legge o per meglio dire, che le interpreti, se possibile in modo corretto.

Esaminare soluzioni presenti sul mercato, valutarne le architetture e compliance, personalizzarle per il paese. Nella trattazione, ho seguito il progetto della CISCO sulla sanità elettronica che è conforme sia alla HIPAA ed alla normativa EU.

Tutto cio’ premesso



8

La filiera della trasmissione dei dati deve essere quanto più omogenea, interoperabile ed al passo con le nuove tecnologie, non ci può essere infatti, discontinuità dalla creazione dei dati sanitari, alla trasmissione, fino alla loro archiviazione.

L’intero sistema deve essere fruibile e consultabile senza interruzioni, sia dagli addetti ai lavori, che dagli utenti stessi e sempre più interoperabile con la sanità, non solo Europea, ma del mondo intero, in un mondo sempre più globale ed interconnesso.

Soluzioni di carattere “autarchico”, funzionanti solo in Italia, come la PEC, sono, per loro natura, destinate a perire vanificando, non solo gli investimenti intrinsechi, ma anche tutto l’investimento nell’indotto e nell’addestramento del personale all’uso.

Tutto questo si può accomunare alla torre di Babele, per la sua incompatibilità tra sistemi, che oltre a far lievitare enormemente i costi, provoca un fenomeno di incomunicabilità ben più grave di quanto avvenuto a Babilonia.



9

Il processo relativo alla: formazione, archiviazione e trasmissione dei dati

• Origine e generazione dei dati (formazione del fascicolo sanitario elettronico)

• Sistema di accesso unificato agli archivi nazionali dei dati sanitari

• Riservatezza dei dati (non solo sanitari)

• Trasmissione sicura degli stessi

• Tracciabilità della trasmissione

• Reperibilità in assoluto dei dati sanitari

• Interoperabilità dei sistemi informativi

• Accessibilità, dei Cittadini e degli addetti ai lavori, ai servizi

• Sistemi di Audit



10

Origine e generazione dei datiLa filiera del dato sanitario di una persona ha indubbiamente inizio alla nascita della stessa, a mio avviso è da lì che si deve formare il cosiddetto “file sanitario del soggetto”.



11

Origine e generazione dei dati - Nel lontano 1999 si era immaginato, trascinati dall’entusiasmo della scelta, di inserire tutte le informazioni ed applicazioni possibili in un microchip da 32kb!!!

Poteva quindi essere il sistema di accesso, nella tasca di ognuno di noi, per attivare quel sistema virtuoso di servizi al cittadino e archivi accessibili a tutti, per eseguire ogni genere di operazione possibile. Oggi con chip da oltre 256kb è ancora più facile e quindi attuale ed attuabile.w w w. i n f o r m a t i o n s e c u r i t y h o s p i t a l . i t - C o p y r i g h t © B y M .

F. P e n c o


12

Sistema di accesso unificato agli archivi nazionali dei dati sanitariA prescindere dalle disposizioni sulla cosiddetta Privacy, mi sembra abbia assolutamente senso tenere TUTTI i dati di un paziente, riservati.

Non occorre una regola, una legge, ma il senso comune.Ci sono varie scuole di pensiero che parlano di schedatura delle persone già fin dalla nascita.A mio avviso, è un non problema formare un file sanitario di una persona e trattarlo in maniera opportuna, è molto meglio che avere un’infinità di data base tenuti in modo insicuro e frazionati, secondo le diverse competenze ed esigenze.Me ne vengono in mente alcuni, conosciuti da tutti, ma in effetti ce ne sono molti altri che vengono formati in base alle origini (nascita), alla crescita della persona ed alla sua attività, oltre a quelli più propriamente sanitari. Molti di questi archivi possono contenere anche dati sanitari dell’individuo detti “sensibili”:

• Anagrafe del Comune di nascita• Ospedale dove si è nati • Scuola• Medico di famiglia• ASL



13

Sistema di accesso unificato agli archivi nazionali dei dati sanitari

Enti/professionisti hanno ormai dei sistemi informativi più o meno avanzati, anche il piccolo studio medico ha il suo computer con un archivio informatizzato di tutti i suoi pazienti.

Tutti questi archivi sono tenuti da diversi soggetti senza alcun collegamento tra loro ed ovviamente, nessuna interoperabilità, non parliamo della sicurezza nel trattamento dei dati.

Lo stesso sistema sanitario nazionale ha un numero imprecisato di banche dati, tra cui alcune parzialmente evolute, relativamente fruibili dagli addetti ai lavori e molto spesso senza alcuna possibilità di accesso da parte del Cittadino/paziente.



14


Siamo costretti a recarci al “cosiddetto sportello” per compiere operazioni che si potrebbero fare in modo remoto con l’uso di un PC, ed oggi anche di un cellulare .Fare la fila, per vedere un operatore che fa al PC quello che potremmo fare noi stessi da casa, non è proprio il massimo della modernizzazione del sistema.



15


Diciamo che i dati ci sono, ma sono tenuti da più soggetti e in modo, a dir poco confusionario ed insicuro; estrarli e metterli a disposizione in un unico archivio o attraverso un gateway gestito dal sistema sanitario nazionale, non è un’impresa difficile, quello che manca è la volontà politica di farlo.

Nell’immagine che segue quella che doveva essere la rivoluzione digitale dell’epoca (1999) di alcune informazioni basilari, annunciata e mai realizzata.



16

Riservatezza dei dati (non solo sanitari)

Ho l’impressione che si sia perso il concetto del valore dei propri dati personali, lo stesso Garante ha di fatto cambiato il suo nome istituzionale da:

in “Garante della privacy” Definizione affascinante, ma non mi sembra che abbia lo stesso significato. Può una legge stabilire quanto della mia sfera personale sia sensibile e quanto no?Direi che i dati personali di un individuo appartengono allo stesso e solo lui può stabilire a chi e cosa comunicare pubblicamente sulla sua persona e sul suo status. Dopo l’approvazione del D.L. 30/06/2003 n.° 196 si è dato vita, come succede spesso in Italia, a tutta una serie di interpretazioni dello stesso, arrivando, senza chiederlo agli interessati (I cittadini Italiani) come soli arbitri dei propri dati personali, a classificare in due categorie gli stessi, aggiungendo un concetto nuovo quello dei dati sensibili, che non mi sembra sia previsto da alcuna normativa. w w w. i n f o r m a t i o n s e c u r i t y h o s p i t a l . i t - C o p y r i g h t © B y M .

F. P e n c o


17


Non voglio entrare nel merito del criptico sistema giuridico/legislativo, ma cercare di rimanere nei limiti del senso comune.

Non può esserci autorità al mondo che decida senza consultarmi, se alcuni dei miei dati siano sensibili o meno nei confronti di terzi.Non ha, semplicemente, alcun senso.

Premesso tutto questo, sperando che siano tutti d’accordo, si può parlare dei dati sanitari, definiti da queste nuove interpretazioni della legge come sensibili, soggetti quindi a maggior controllo e rigore con sanzioni e altre più aspre penalità, ma sicuramente non secondari per riservatezza rispetto ai primi.

Ripeto, è difficile scindere le cose, ricordo la battaglia condotta molti anni fa, in cui nella carta di identità, veniva riportata la “non paternità”, poi abolita.

Un vero e proprio marchio infamante per i figli illegittimi: figlio di N.N., che segnava un individuo a vita.



18


Nel nostro sistema, i dati sanitari sono combinati con quelli anagrafici:

• Nome, Cognome• Età• Data di nascita• Luogo di nascita

a cui vanno ad aggiungersi anche i dati relativi alla posizione sociale e finanziaria base, delle prestazioni sanitarie, ticket, bonus, ecc.

Tutto questo, forma un insieme inscindibile, che va a generare, con un discutibile ed insicuro obsoleto algoritmo, il codice fiscale, già di per se fonte di un’infinità di problemi, fra l’altro troppo facile da copiare e generare. L’immigrazione ha dato il colpo di grazia al codice fiscale, base del dato generante l’informazione del cittadino, con combinazioni non previste, luogo di nascita non codificabile, ed altro ancora.



19


Il dato sanitario sensibile è sempre banalmente ed indissolubilmente legato:

• alla Persona• ai dati anagrafici e fiscali della stessa (codice fiscale, tessera

sanitaria)• alla situazione patrimoniale della persona stessa • allo stato sociale: pensionato, disoccupato ecc.

Mi sembra quindi che il partito della “no schedatura” non abbia senso, dovrebbe vincere quello della schedatura fatta bene, ad uso del cittadino e delle istituzioni, visto che, comunque sia, siamo tutti schedati, che lo vogliamo o no!



20

Trasmissione sicura dei dati sanitari

Una volta stabilito il sistema ottimale per la formazione ed archiviazione dei dati sanitari, si deve pensare alla gestione della trasmissione attraverso sistemi informatici:

• tra un soggetto e l’altro• tra un sistema e l’altro• tra entrambi

a prescindere che sia un’istituzione o un privato cittadino e non solo in ambito nazionale, ma in un sistema mondiale sempre più interconnesso.

Di importanza basilare è l’interoperabilità e reciprocità tra le varie nazioni, nell’interesse del “Cittadino paziente”.

Diritto essenziale di essere curato ed assistito nel migliore dei modi in qualsiasi paese.

La comunicazione e lo scambio di informazioni tra addetti ai lavori in tutto il mondo, non può non essere che a vantaggio del progredire della scienza medica e conseguentemente a vantaggio del cittadino.



21


Quando si parla di trasmissione dei dati, non si può non includere anche la fruizione tramite web di dati on-line ed il suo possibile “downloading”, che rappresenta anch’esso una trasmissione, come pure lo scambio di dati in un sistema interconnesso da server e sistemi complessi.

Questa dovrebbe essere la rassicurante immagine del nostro futuro



22


Chi si accinge nella sanità a studiare un sistema sicuro di trasmissione dati, deve tenere a mente alcuni principi di base che sono:

• Standard del sistema di trasmissione: deve essere uno standard comune ed adottato in tutto il mondo fruibile e utilizzabile da tutti;

• Deve avere la capacità di inviare grandi volumi di dati;• Il protocollo di sicurezza deve essere universalmente riconosciuto e

compatibile in tutti i sistemi del mondo (inventarsi soluzioni proprietarie non ha alcun senso);

• Limitare la trasmissione dei dati, anziché attraverso e-mail, siano esse certificate o meno con sistemi alternativi di WEB ACCESS ON DEMAND, cioè sistemi sicuri in cui si possa accedere alla rete, sia da parte degli addetti ai lavori, che da parte dei pazienti da qualsiasi postazione;

• Alla trasmissione deve essere integrato un sistema sicuro di archiviazione dei dati;

• Il sistema deve essere fruibile e non interrompibile 24 su 24 e 7 giorni su 7;• Deve essere compatibile ed interoperabile con tutti i sistemi di fruizione e

trasmissione dati nel mondo. w w w. i n f o r m a t i o n s e c u r i t y h o s p i t a l . i t - C o p y r i g h t © B y M .

F. P e n c o


23

Trasmissione sicura dei dati sanitariNon mi pare un traguardo difficile, se si pensa all’ormai obsoleto fax, che ha questa caratteristica ed è purtroppo usato in modo massivo in questo paese, senza alcuna preoccupazione circa la sua sicurezza. In sostanza, tutti i canali di trasmissione debbono essere sicuri nella loro interezza ed accessibili solo a persone autorizzate, con sistemi gerarchici di accesso e funzioni di interazione con un sistema differenziato tra utenti ed addetti ai lavori.



24

Trasmissione e archiviazione sicura dei dati sanitari Ci sono centinaia di aziende e migliaia di applicazioni in materia.

Ecco un esempio di integrazione CISCO dove la parte hardware ed applicativa è sicuramente curata, ma non tanto la parte sicurezza

Avere aggiornato il profilo delPaziente e la sua cartella

clinicain tempo reale è, non solo

possibile, ma relativamente facile.

Richiede solo INTEGRAZIONE

con i sistemi esistenti.



25

Trasmissione e archiviazione sicura dei dati sanitari Una volta scelto il sistema, nell’interno dell’infrastruttura, tipicamente un Ospedale, renderla fruibile all’esterno è relativamente facile. Ecco uno

schema di base dove deve esserci la possibilità di integrare, anche con la voce, i sistemi di trasmissione dati.



26

Tracciabilità della trasmissione

Legata più che altro alle problematiche relative alle responsabilità ed al non ripudio, oltre che a giuste regole di carattere legale, la trasmissione dei dati sanitari deve essere tracciabile nel suo percorso, sia per chi li trasmette, che per chi li riceve.

Tutto questo può essere garantito con le tecnologie attuali, che saranno sempre più accurate in un futuro molto prossimo; è una necessità sentita in modo molto forte.

Ormai, la dipendenza ai sistemi elettronici di trasmissione dati, fa si che lo scambio degli stessi, anche “sensibili”, avvenga attraverso e-mail senza alcuna protezione e molto diffuso è l’uso dei fax.

Con qualsiasi sistema si trasmetta, si ha a che fare con una realtà molto complessa ed è ormai inimmaginabile, per i relativi costi, pensare ad una rete proprietaria, dato che la tecnologia ha sviluppato sistemi che consentono l’assoluta sicurezza nelle trasmissioni attraverso la rete Internet.



27

Tracciabilità della trasmissione

È sufficiente che il backbone della trasmissione sia protetto con sistemi ormai largamente in uso, compatibili ed interoperabili. Il protocollo SSL standard X509 è sicuramente il più diffuso, ormai da oltre un decennio.

La tracciabilità deve essere poi messa a disposizione per i sistemi di audit, attraverso apparati facilmente consultabili da coloro che ne hanno la responsabilità.



28

Reperibilità in assoluto dei dati sanitari

Nel settore business si definisce come “business continuity”, ancor di più importante è nel settore sanitario, dove la mancanza di un dato può influire anche sulla vita e la morte di una persona.

Il problema non è solo di trasmissione dei dati, bensì di accesso agli stessi, in un certo qual modo le due cose si equivalgono.

Infatti, è sufficiente conoscere dove, nella rete, sono reperibili i dati per accedere agli stessi e se necessario estrarli in qualsiasi forma si voglia.

Ritorniamo, quindi, alla necessità di avere un archivio nazionale o di un punto di accesso nazionale ad “N” archivi, per entrare nel file dove è residente l’informazione che si cerca, per poi consultarla e se necessario, scaricarla nel proprio PC, divenendo anche questo un sistema di auto-trasmissione di dati sanitari, che ovviamente deve essere sempre disponibile, funzionante e sicuro.



29

Reperibilità in assoluto dei dati sanitari

Si possono tracciare infiniti schemi sulla business continuity, essa è comunque parte, come qualsiasi sistema di sicurezza, di un insieme di altri moduli che fanno si che la continuazione di un servizio sia disponibile e non venga mai interrotto. Sarebbe un approccio completamente sbagliato pensare a questo come un sistema a se stante con delle responsabilità avulse dal puzzle della sicurezza.



30

Interoperabilità dei sistemi Informativi

Ovviamente, tutto quanto su descritto funziona solo se viene studiato e creato un sistema in cui esista una vera e propria interoperabilità e compatibilità, altrimenti è meglio lasciare le cose come sono. Ci sono stati molti investimenti senza un vero e proprio disegno globale; non credo che esistano dati certi su quanto speso complessivamente nell’IT dalla Sanità in Italia.


Se una persona pensa ad un sistema complesso, questo grafico può terrorizzare chiunque.Sembra insolvibile far colloquiare più sistemi tra loro, eppure, con la moderna tecnologia non c’è nulla di più semplice, ancora una volta occorre una forte volontà politica per far si che ciò avvenga.


31

Sistemi di Audit e controllo

Un altro aspetto essenziale, a garanzia del funzionamento di un sistema integrato di servizi della Sanità, è senz’altro un robusto ben congegnato sistema di Audit. Attualmente, non credo esista un authority centrale in Italia realmente operativa e dotata dei necessari poteri per stabilire la Best Practice relativa ad un vero sistema di Audit, mi sembra, che tutto sia lasciato ai singoli soggetti che cercano di fare il loro meglio.

Gli Stati Uniti, pur non avendo un vero e proprio sistema sanitario nazionale sono i più avanzati in materia; la legge relativa all’ HIPAA è quanto di più severo e complesso in un sistema dove le leggi e i relativi regolamenti vengono scritti poco o nulla, se si prova a sfogliare le Compliance relative all’HIPAA, solo per la parte questionario, si ha un’idea di cosa sia un sistema veramente complesso, ma soprattutto controllato.

Con la riforma OBAMA sulla sanità pubblica, da molti criticata con lo spettro della burocrazia, è interessante vedere come viene rappresentata, esempio forse vicino al nostro sistema.


http://www.training-hipaa.net/compliance/Official-HIPAA-Security-Compliance-Audit-checklist_document-by-DHHS.pdf




32w w w. i n f o r m a t i o n s e c u r i t y h o s p i t a l . i t



33


E’ utile capire, se pur brevemente, il perché questo sia stato fatto ben prima dell’avanzare di Internet, 14 anni or sono, ed assolutamente antesignano alla riforma della sanità, dell’attuale Presidente degli Stati Uniti.


Gli Stati Uniti sono una confederazione vera di Stati Indipendenti ed anche nel settore sanitario ci sono regole diverse da Stato a Stato con diversa legislazione; arrivare ad una regola federale l’Health Insurance Portability and Accountability Act (HIAA) è stato articolato e difficile da adottare in tutto il complesso sistema sanitario Americano.

Negli USA, come tutti sanno, non esiste un sistema di Sanità pubblica gratuita come da noi.

Gli Ospedali sono per la quasi totalità delle vere e proprie aziende che possono, ed è avvenuto, anche fallire.

http://en.wikipedia.org/wiki/Health_Insurance_Portability_and_Accountability_Act











34


Chi fa la parte del leone, in questo sistema, sono le compagnie di assicurazioni che assicurano in pratica tutto il sistema sanitario federale, statale e privato americano, imponendo premi assicurativi strettamente legati all’esperienza di quella od altra struttura, di quel medico o dell’altro, di quella od altra casa farmaceutica, ecc. Arrivando persino a negare la copertura assicurativa, imponendo premi impossibili da pagare, provocando la chiusura di strutture o l’interruzione professionale dei medici.

Le cause, verso la struttura sanitaria sono brevi, in tempi, ma molto, molto onerose, anche se gli effetti variano da Stato a Stato.

Vi sono poi stuoli di Avvocati, che valutato il caso, lo “comperano”, nel senso che risarciscono loro il danneggiato e procedono per la causa multi milionaria contro la compagnia di assicurazione.

Sembra consequenziale e saggio, visti i tempi, che occorrerebbe imitare, eliminando quanto non applicabile nel nostro paese, quanto fatto negli Stati Uniti.



35


Lo schema di Audit e controllo HIPAA



36

Il Futuro la comunicazione unificata

Per un’infinità di motivi, ma anche perché tutte le ricerche tecnologiche vanno in questa direzione, la comunicazione unificata è la tecnologia da seguire per il futuro, in cui non esiste più la sola e-mail o PEC che dir si voglia, ma un sistema unico di comunicazione, unificato.

Il semplice schema che segue illustra cosa sta avvenendo un po’ in tutto il mondo.



37

Il Futuro la comunicazione unificata

Tutti investono ormai in questa tecnologia, in cui possono essere inserite tutta una serie di applicazioni, iterazioni, che vanno dalla telemedicina, fino alle consultazioni ed interventi chirurgici a distanza.

Insomma, non si può confondere la comunicazione con il solo invio e ricezione di messaggi e documenti tramite e-mail certificata o non.

Un grosso passo avanti verso l’integrazione e interoperabilità dei sistemi dove sicuramente la PEC, CEC PAC, non sono né la soluzione, né il futuro, ma neanche un sistema tecnologicamente avanzato.



IL FUTURO E’ OGGI

Grazie per l’attenzione per informazioni [email protected]

w w w. i n f o r m a t i o n s e c u r i t y h o s p i t a l . i t - C o p y r i g h t © B y M . F. P e n c o 38

mailto:[email protected]

Ppt I S H 2010

Documents

Transcript of Ppt I S H 2010