Reparto 1Reparto 2

35  Download (0)

Testo completo

(1)

Privacy e Sicurezza in sanità:

alcune esperienze concrete alcune esperienze concrete

Claudio Eccher eHealth (cleccher@fbk.eu)

Michele Trainotti eGovernment (mtrainotti@fbk.eu)

(2)

I dati in sanita’

MMG

Privacy e Sicurezza

Medico Specialista Cittadino/Paziente

Privacy e Sicurezza

(3)

Gli scenari presentati

Sanita’ provinciale/regionale Politiche sociali

Cittadino/Paziente

(4)

Cooperazione Socio Sanitaria

(5)

Il Fascicolo Sanitario Elettronico

(6)

Il Fascicolo Sanitario Elettronico

• Almeno due casi di accesso alle informazioni del paziente:

Visita programmata Emergenza urgenza Emergenza urgenza

(7)

Domande per l’accesso alle informazioni

Chi?

Chi?

Con che

ruolo? Perche’?

(8)

Principali progetti

• E-Heart Failure: cartella clinica Web per la gestione condivisa dello paziente affetto da scompenso cardiaco;

scompenso cardiaco;

• Trec - Cartella Clinica del Cittadino: fascicolo sanitario elettronico del cittadino per la

gestione dei propri dati sanitari.

(9)

Il progetto e-Heart Failure (2002-2005)

• Il contesto

Hospital Physicians Hospital Physicians and

and NursesNurses ofof Domiciliary Care Domiciliary Care

(family)

Heart Failure Patient

and

and NursesNurses ofof

•• Cardiology WardCardiology Ward

•• Gerontology WardGerontology Ward

•• Internal Medicine WardInternal Medicine Ward

Domiciliary Care Domiciliary Care Nurses Nurses

General Practitioners General Practitioners (GPs) (GPs)

(10)

L’interfaccia Web della EPR e-HF

Patient information Patient information Patient information Patient information

Relevant problems Clinical history

Contact history

Navigation Navigation Navigation Navigation toolbar

toolbar toolbar toolbar

Shared Shared Shared Shared management management management management tooltool tooltool

Patient information Patient information Patient information Patient information managed by the health managed by the health managed by the health managed by the health

care professional care professional care professional care professional

Asyncrhonous

Teleconsultation tool

(11)

Il nuovo CPDP 196/03

• Il 30 giugno 2003 fu approvato il nuovo

Codice di Protezione dei Dati Personali- CPDP (DL 196/03) e relativo Disciplinare Tecnico.

• Il TITOLO V del CPDP regola in modo

dettagliato l’archiviazione e la gestione dei

• Il TITOLO V del CPDP regola in modo

dettagliato l’archiviazione e la gestione dei dati personali sanitari.

• Durante tutto il 2004 abbiamo lavorato per rendere il sistema a norma CPDP.

(12)

Misure minime

• Le misure minime del Disciplinare Tecnico

possono essere raggruppate a seconda che si voglia assicurare:

La disponibilità dei dati;

La disponibilità dei dati;

La riservatezza dei dati (art. 34 CPDP);

L’integrità dei dati.

(13)

Riservatezza dei dati

• Autenticazione informatica

Procedura connessa ad uno specifico trattamento o ad un insieme di trattamenti, per il superamento della quale gli incaricati del trattamento devono essere dotati di opportune credenziali di

essere dotati di opportune credenziali di autenticazione.

• Autorizzazione

(14)

Riservatezza dei dati

• Autenticazione informatica

• Autorizzazione

Procedura mediante la quale si decide quali privilegi assegnare ad un incaricato del

privilegi assegnare ad un incaricato del

trattamento dei dati che sia stato identificato e autenticato.

I profili di autorizzazione possono essere definiti per ciascun incaricato, ma anche per classi

(15)

Autenticazione

• Ad ogni incaricato sono assegnate una o più credenziali per identificarlo in modo certo.

• Dispositivi di autenticazione:

Dispositivi deboli: User id e parola chiave.

Dispositivi deboli: User id e parola chiave.

Dispositivi forti: One-time password, Smart Card e Token, Caratteristica biometrica.

(16)

Procedura di autenticazione

Internet/Intranet

User

e-HF Web site [1] access request

[2] generation and sending of the challenge

[5] sending of the signed challenge and the certificate

Is valid?

[7] signature verification

CA

Postecom

[6] extraction of the certificate and the public key

[3] signature of the challenge NO

[4] signed challenge

Access denied

Access denied Is correct?

Is valid?

e-HF CA

[8] challenge verification

[9] certificate verification access

autohrized access autohrized

YES NO

YES YES

NO Token/Smart card

Private key

The access to the token functions is protected by a PIN

(17)

Art. 3 CPDP: principio di necessità

• I sistemi informativi e i programmi informatici sono configurati riducendo al minimo

l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il

trattamento quando le finalità perseguite nei trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune

modalità che permettano di identificare l'interessato solo in caso di necessità.

(18)

Art. 22 comma 6 CPDP

• I dati sensibili e giudiziari contenuti in elenchi o banche di dati, tenuti con l’ausilio di strumenti elettronici, sono trattati con tecniche di

cifratura o mediante l’utilizzo di codici identificativi o di altre soluzioni che,

identificativi o di altre soluzioni che,

considerato il numero e la natura dei dati trattati, li rendono temporaneamente

inintelligibili anche a chi è autorizzato ad

(19)

Disciplinare tecnico

• I dati sensibili contenuti in elenchi, registri o banche di dati, tenuti con l’ausilio di

strumenti elettronici, devono essere trattati

secondo le modalità descritte nel comma 6 art.

22, anche per consentire il trattamento 22, anche per consentire il trattamento

disgiunto dei medesimi dati dagli altri dati personali che consentono di identificare direttamente gli interessati.

(20)

Trattamento disgiunto

• Separazione nel database dei dati anagrafici dai dati clinici e crittografia delle associazioni tra

dati e identità dei possessori.

(21)

Principio di necessità

In principio, un operatore sanitario che non sia

coinvolto nella cura del paziente non ha necessità (e non dovrebbe avere i permessi) di accedere ai suoi dati clinici.

Il sistema implementava procedure differenti per i

diversi ruoli per autorizzare l’associazione tra identità diversi ruoli per autorizzare l’associazione tra identità e dati clnici.

4 ruoli:

Medici di medicina generale (MMG);

Infermieri del territorio (IT);

Medici ospedalieri di uno specifico reparto (MO);

(22)

Procedure di accesso

• Adozione di procedure diverse per i diversi ruoli:

MMG e IT che possono associare alcuni pazienti

(propri assistiti) ai loro dati clinici in ogni momento;

MO e IO che possono associare tutti i pazienti ai loro MO e IO che possono associare tutti i pazienti ai loro

dati clinici solo in alcuni momenti, durante i quali loperatore sanitario è interessato al processo di cura del paziente, o in caso di emergenza.

(23)

Accesso ai dati: MO ed IO

Ricovero Ricovero

tempo Accettazione Dimissione

Visita Amb. Visita Amb.

Dimissione Accettazione

Emergenza

Reparto 1

Visita Amb. Visita Amb. Emergenza

Ricovero

tempo Accettazione Dimissione

Reparto 2

?

(24)

Il flusso di accesso: MMG

(25)

Il flusso di accesso: MO

(26)

Trec: Cartella Clinica del Cittadino

• Creazione di un fascicolo sanitario elettronico per la gestione e comunicazione dei propri

dati di salute.

• Problema: gli utenti devono avere la

possibilità di specificare con precisione:

• Problema: gli utenti devono avere la

possibilità di specificare con precisione:

quali altri utenti possono accedere ai propri dati;

a quali parti del fascicolo questi utenti possono accedere;

(27)

Modello di accesso

Politiche comuni di accesso definite a priori e indipendenti dall’utente;

Regole di controllo di accesso definite da ogni utente a seconda delle proprie esigenze in

modificabili in ogni momento.

Politiche basate su ruolo (RBAC):

Politiche basate su ruolo (RBAC):

familiare, medico, badante, ecc.

Ad ogni ruolo sono associati dei permessi

Modello basato su Attributi (risorse, ruoli, operazioni, applicazioni) inseriti in strutture

(28)

Architettura logica

TreC Web Portal

TreC on iPad TreC on

Smartphone

REST Controller MIDDLEWARE TreC DB

TreC DB

1. Richiesta Dati

5. Restituzione Dati

(29)

Problematiche affrontate

• Definizione degli attibuti e delle gerarchie degli attributi;

• Assegnazione dei ruoli agli utenti;

Role ID Operation ID Resource Type ID

App

Context ID

Depth Effect

• Assegnazione dei ruoli agli utenti;

• Definizione della politica di controllo comune;

• Progettazione di un meccanismo per la

definizione da parte dell’utente delle “proprie”

(30)

Ruoli

• Record Subject

0-13 anni, 14-17 anni, Maggiorenni, Utenti interdetti

• Record Custodian

Tutori per interdetti , Genitori con patria potestà

• Health Care Provider

Operatori di PS (emergenza)

• External Application

Dispositivi, software di medici esterni APSS, SIO

• Operatore di sportello

(31)

Operazioni sui record di dati

• Tutte le operazioni

garantite solo al proprietario dei dati.

• Modifica

• Visualizzazione

Un utente deve poter ‘nascondere’ un record Un utente deve poter ‘nascondere’ un record

Un minorenne può oscurare un dato ‘supersensibile’

anche ai familiari.

• Amministrazione

(32)

Applicazioni

Scrittura di policy per l’accesso a risorse da parte di specifiche applicazioni.

•TreC cittadino mobile

•TreC cittadino web

•TreC cittadino web

•TreC medico Web

•Dispositivi di telemonitoraggio

(33)

Altre problematiche

• Dimensione temporale di accesso al dato:

Richieste di consulto: un medico richiede una consulenza ad un esperto esterno;

Visite ambulatoriali: il cittadino/paziente concede per un tempo limitato l’accesso a parte dei dati per un

un tempo limitato l’accesso a parte dei dati per un periodo limitato.

• Accesso di emergenza…

• Dati Georeferenziati:

L’analisi di dati GIS per studi epidemiologici potrebbe

(34)

Solo un problema tecnologico?

• La gestione delle privacy e della sicurezza è in minima parte un problema tecnologico:

• Implica una ridefinizione di pratiche cliniche

consolidate, consuetudini, processi organizzativi;

• È necessario prendere in considerazione molti

• È necessario prendere in considerazione molti fattori:

Informativa trattamento al cittadino/paziente Convenzione tra enti

Gestione dei problemi legati al circuito di trust

(35)

Grazie per l’attenzione

Claudio Eccher eHealth (cleccher@fbk.eu)

Michele Trainotti eGovernment (mtrainotti@fbk.eu)

figura

Updating...

Riferimenti

Argomenti correlati :