Privacy e Sicurezza in sanità:alcune esperienze concretealcune esperienze concrete
Claudio Eccher eHealth ([email protected])
Michele Trainotti eGovernment ([email protected])
Workshop BIOCRITTO 2011
17 ottobre
I dati in sanita’
MMG
Privacy e Sicurezza
Medico SpecialistaCittadino/Paziente
Altri operatori sanitari
Privacy e Sicurezza
Workshop BIOCRITTO 2011 - 17 ottobre
Gli scenari presentati
Sanita’ provinciale/regionale Politiche sociali
Cittadino/Paziente
Sanita’ di altre regioni
Workshop BIOCRITTO 2011 - 17 ottobre
Il Fascicolo Sanitario Elettronico
• Almeno due casi di accesso alle informazioni del paziente:
– Visita programmata
– Emergenza urgenza– Emergenza urgenza
Workshop BIOCRITTO 2011 - 17 ottobre
Domande per l’accesso alle informazioni
Chi?Chi?
Con che
ruolo? Perche’?
Workshop BIOCRITTO 2011 - 17 ottobre
Principali progetti
• E-Heart Failure: cartella clinica Web per la gestione condivisa dello paziente affetto da scompenso cardiaco;scompenso cardiaco;
• Trec - Cartella Clinica del Cittadino: fascicolo sanitario elettronico del cittadino per la gestione dei propri dati sanitari.
Workshop BIOCRITTO 2011 - 17 ottobre
Il progetto e-Heart Failure (2002-2005)
• Il contesto
Hospital PhysiciansHospital Physiciansand and NursesNurses ofof Domiciliary Care Domiciliary Care
(family)
Heart Failure Patient
and and NursesNurses ofof
•• Cardiology WardCardiology Ward•• Gerontology WardGerontology Ward•• Internal Medicine WardInternal Medicine Ward
Domiciliary Care Domiciliary Care NursesNurses
General PractitionersGeneral Practitioners(GPs)(GPs)
Workshop BIOCRITTO 2011 - 17 ottobre
L’interfaccia Web della EPR e-HF
Patient information Patient information Patient information Patient information
Relevant problems
Clinical history
Contact history
Navigation Navigation Navigation Navigation toolbartoolbartoolbartoolbar
Shared Shared Shared Shared management management management management
tooltooltooltool
Patient information Patient information Patient information Patient information managed by the health managed by the health managed by the health managed by the health
care professionalcare professionalcare professionalcare professional
Asyncrhonous Teleconsultation tool
Workshop BIOCRITTO 2011 - 17 ottobre
Il nuovo CPDP 196/03
• Il 30 giugno 2003 fu approvato il nuovo Codice di Protezione dei Dati Personali- CPDP (DL 196/03) e relativo Disciplinare Tecnico.
• Il TITOLO V del CPDP regola in modo dettagliato l’archiviazione e la gestione dei
• Il TITOLO V del CPDP regola in modo dettagliato l’archiviazione e la gestione dei dati personali sanitari.
• Durante tutto il 2004 abbiamo lavorato per rendere il sistema a norma CPDP.
Workshop BIOCRITTO 2011 - 17 ottobre
Misure minime
• Le misure minime del Disciplinare Tecnico possono essere raggruppate a seconda che si voglia assicurare:
– La disponibilità dei dati;– La disponibilità dei dati;
– La riservatezza dei dati (art. 34 CPDP);
– L’integrità dei dati.
Workshop BIOCRITTO 2011 - 17 ottobre
Riservatezza dei dati
• Autenticazione informatica
– Procedura connessa ad uno specifico trattamento o ad un insieme di trattamenti, per il superamento della quale gli incaricati del trattamento devono essere dotati di opportune credenziali di essere dotati di opportune credenziali di autenticazione.
• Autorizzazione
Workshop BIOCRITTO 2011 - 17 ottobre
Riservatezza dei dati
• Autenticazione informatica
• Autorizzazione
– Procedura mediante la quale si decide quali privilegi assegnare ad un incaricato del privilegi assegnare ad un incaricato del trattamento dei dati che sia stato identificato e autenticato.
– I profili di autorizzazione possono essere definiti per ciascun incaricato, ma anche per classi omogenee di utenti.
Workshop BIOCRITTO 2011 - 17 ottobre
Autenticazione
• Ad ogni incaricato sono assegnate una o più credenziali per identificarlo in modo certo.
• Dispositivi di autenticazione:
– Dispositivi “deboli”: User id e parola chiave.– Dispositivi “deboli”: User id e parola chiave.
– Dispositivi “forti”: One-time password, Smart Card e Token, Caratteristica biometrica.
Workshop BIOCRITTO 2011 - 17 ottobre
Procedura di autenticazione
Internet/Intranet
User
e-HF Web site
[1] access request
[2] generation and sending of the challenge
[5] sending of the signed challenge and the certificate
Is valid?
[7] signature verification
CA
Postecom
[6] extraction of the certificate
and the public key
NO[3] signature of the challenge
[4] signed challenge
Autorizzazione: l’informazione nel certificato X509 è usata per assegnare l’utente a uno dei ruoli previsti (MMG, IT, IO o MO di un reparto).
Access deniedAccess denied Is correct?
Is valid?
e-HF CA
[8] challenge verification
[9] certificate verification
access
autohrized
access
autohrized
YES NO
YES
YES
NOToken/Smart card
Private key
Autenticazione: la correttezza della firma digitale e la validità del certificato certificano l’identità.
The access to the token functions is protected by a PIN
Workshop BIOCRITTO 2011 - 17 ottobre
Art. 3 CPDP: principio di necessità
• I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità.
Workshop BIOCRITTO 2011 - 17 ottobre
Art. 22 comma 6 CPDP
• I dati sensibili e giudiziari contenuti in elenchi o banche di dati, tenuti con l’ausilio di strumenti elettronici, sono trattati con tecniche di cifratura o mediante l’utilizzo di codici identificativi o di altre soluzioni che, identificativi o di altre soluzioni che, considerato il numero e la natura dei dati trattati, li rendono temporaneamente inintelligibili anche a chi è autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessità.
Workshop BIOCRITTO 2011 - 17 ottobre
Disciplinare tecnico
• I dati sensibili contenuti in elenchi, registri o banche di dati, tenuti con l’ausilio di strumenti elettronici, devono essere trattati secondo le modalità descritte nel comma 6 art. 22, anche per consentire il trattamento 22, anche per consentire il trattamento disgiunto dei medesimi dati dagli altri dati personali che consentono di identificare direttamente gli interessati.
Workshop BIOCRITTO 2011 - 17 ottobre
Trattamento disgiunto
• Separazione nel database dei dati anagrafici dai dati clinici e crittografia delle associazioni tra dati e identità dei possessori.
Workshop BIOCRITTO 2011 - 17 ottobre
Principio di necessità• In principio, un operatore sanitario che non sia
coinvolto nella cura del paziente non ha necessità (e non dovrebbe avere i permessi) di accedere ai suoi dati clinici.
• Il sistema implementava procedure differenti per i diversi ruoli per autorizzare l’associazione tra identità diversi ruoli per autorizzare l’associazione tra identità e dati clnici.
• 4 ruoli:
– Medici di medicina generale (MMG);
– Infermieri del territorio (IT);
– Medici ospedalieri di uno specifico reparto (MO);
– Infermieri di uno specifico reparto (IO).
Workshop BIOCRITTO 2011 - 17 ottobre
Procedure di accesso
• Adozione di procedure diverse per i diversi ruoli:
– MMG e IT che possono associare alcuni pazienti(propri assistiti) ai loro dati clinici in ogni momento;
– MO e IO che possono associare tutti i pazienti ai loro– MO e IO che possono associare tutti i pazienti ai lorodati clinici solo in alcuni momenti, durante i qualil’operatore sanitario è interessato al processo di cura del paziente, o in caso di emergenza.
Workshop BIOCRITTO 2011 - 17 ottobre
Accesso ai dati: MO ed IO
Ricovero Ricovero
tempo
Accettazione Dimissione
Visita Amb. Visita Amb.
DimissioneAccettazione
Emergenza
Rep
arto
1
Visita Amb. Visita Amb. Emergenza
Ricovero
tempo
Accettazione Dimissione
Visita Amb. Visita Amb.
Rep
arto
2
Teleconsulto
?
Workshop BIOCRITTO 2011 - 17 ottobre
Trec: Cartella Clinica del Cittadino
• Creazione di un fascicolo sanitario elettronico per la gestione e comunicazione dei propri dati di salute.
• Problema: gli utenti devono avere la possibilità di specificare con precisione:
• Problema: gli utenti devono avere la possibilità di specificare con precisione:– quali altri utenti possono accedere ai propri dati;
– a quali parti del fascicolo questi utenti possono accedere;
– quali tipi di operazioni possono essere eseguite sui dati.
Workshop BIOCRITTO 2011 - 17 ottobre
Modello di accesso• Politiche comuni di accesso definite a priori e
indipendenti dall’utente;
• Regole di controllo di accesso definite da ogni utente a seconda delle proprie esigenze in modificabili in ogni momento.
• Politiche basate su ruolo (RBAC):• Politiche basate su ruolo (RBAC):– familiare, medico, badante, ecc.
• Ad ogni ruolo sono associati dei permessi
• Modello basato su Attributi (risorse, ruoli, operazioni, applicazioni) inseriti in strutture gerarchiche (ereditarietà dei permessi).
Workshop BIOCRITTO 2011 - 17 ottobre
Architettura logicaTreC Web Portal
TreC on iPadTreC on
Smartphone
Modulo autorizzazioni
REST Controller(HTTP request Manager)
REST Core
MIDDLEWARE
TreC DBTreC DB
Auth. DBAuth. DB
1. RichiestaDati
2. Autenticazione
3. Verifica
4. Autorizzazione
5. Restituzione Dati
Problematiche affrontate• Definizione degli attibuti e delle gerarchie degli
attributi;
• Assegnazione dei ruoli agli utenti;
Role ID Operation ID Resource
Type ID
App
Context ID
Depth Effect
• Assegnazione dei ruoli agli utenti;
• Definizione della politica di controllo comune;
• Progettazione di un meccanismo per la definizione da parte dell’utente delle “proprie”politiche;
Workshop BIOCRITTO 2011 - 17 ottobre
Ruoli• Record Subject
– 0-13 anni, 14-17 anni, Maggiorenni, Utenti interdetti
• Record Custodian– Tutori per interdetti , Genitori con patria potestà
• Health Care Provider– Operatori di PS (emergenza)
• External Application– Dispositivi, software di medici esterni APSS, SIO
• Operatore di sportello – Iscrizioni nuovi RS, associazioni RS-RC
Workshop BIOCRITTO 2011 - 17 ottobre
Operazioni sui record di dati
• Tutte le operazioni
– garantite solo al proprietario dei dati.
• Modifica
• Visualizzazione
– Un utente deve poter ‘nascondere’ un record– Un utente deve poter ‘nascondere’ un record
– Un minorenne può oscurare un dato ‘supersensibile’anche ai familiari.
• Amministrazione
– Privilegi di accesso alle risorse e delega dei privilegi ad altri utenti per periodi temporali definiti.
Workshop BIOCRITTO 2011 - 17 ottobre
Applicazioni
Scrittura di policy per l’accesso a risorse da parte di specifiche applicazioni.
•TreC cittadino mobile
•TreC cittadino web•TreC cittadino web
•TreC medico Web
•Dispositivi di telemonitoraggio
•Applicazione di Pronto Soccorso
Workshop BIOCRITTO 2011 - 17 ottobre
Altre problematiche
• Dimensione temporale di accesso al dato:
– Richieste di consulto: un medico richiede una consulenza ad un esperto esterno;
– Visite ambulatoriali: il cittadino/paziente concede per un tempo limitato l’accesso a parte dei dati per un un tempo limitato l’accesso a parte dei dati per un periodo limitato.
• Accesso di emergenza…
• Dati Georeferenziati:
– L’analisi di dati GIS per studi epidemiologici potrebbe rivelare l’identità di soggetti affetti da patologie;
Workshop BIOCRITTO 2011 - 17 ottobre
Solo un problema tecnologico?
• La gestione delle privacy e della sicurezza è in minima parte un problema tecnologico:
• Implica una ridefinizione di pratiche cliniche consolidate, consuetudini, processi organizzativi;
• È necessario prendere in considerazione molti • È necessario prendere in considerazione molti fattori:– Informativa trattamento al cittadino/paziente
– Convenzione tra enti
– Gestione dei problemi legati al circuito di trust
– Standard di riferimento (SPCoop, ICAR-INF3, SAML)
– Vincoli esterni (CNS, …)
Workshop BIOCRITTO 2011 - 17 ottobre
Grazie per l’attenzione
Claudio Eccher eHealth ([email protected])
Michele Trainotti eGovernment ([email protected])