Bologna, 21 marzo 1998
Convegno
Privacy, sicurezza e sanità
La sicurezza dei sistemi informativi sanitari:
la norma UNI ENV 12924
Sintesi della relazione di Adalberto Biasiotti
Riassunto
Gli obblighi e le responsabilità che caratterizzano la gestione dei sistemi informativi sanitari sono molti e gravosi.
Il regolamento sulle misure minime di sicurezza per i sistemi che trattano dati sensibili, ex legge 675/96, il codice penale, il codice civile e la prudente diligenza del gestore impongono una grande attenzione e cautela in questo terreno minato.
Ecco perché la recente approvazione come standard UNI di una normativa per il settore, che costituisce stato dell’arte, può costituire un prezioso e cautelativo punto di riferimento per tutti i responsabili dei sistemi informativi sanitari.
Questo prestandard europeo è stato approvato dal Comitato Europeo di Normalizzazione il primo novembre 1997, ed il periodo di validità è inizialmente limitato a tre anni. Dopo due anni i membri del CEN dovranno sottoporre i loro commenti, soprattutto in merito al fatto che questo prestandard possa essere convertito in una norma europea EN.
Introduzione
I sistemi informativi degli enti sanitari di tutta Europa hanno offerto supporto essenzialmente amministrativo per funzioni gestionali e burocratiche, per molti anni. Negli ultimi anni questo supporto si è espanso, sino ad includere la gestione di informazioni in un contesto clinico, non solo nell'ambito di un stesso ospedale, ma attraverso reti che connettono enti sanitari primari e secondari in un certo numero di paesi. Questi progetti hanno consentito ai medici di archiviare informazioni in una forma più strutturata e di ripresentarle in un formato più utile alle persone appropriate, quando necessario, ovunque esse si trovino.
Questi passi avanti nella gestione delle informazioni hanno a loro volta introdotto nuove minacce allo stato di queste informazioni e la necessità di introdurre misure che garantiscano la riservatezza e la integrità delle informazioni non è mai stata maggiore. Inoltre, mano a mano che queste opportunità vengono messi in pratica ed i processi telematici diventano una componente di routine delle abitudini di lavoro, diventa ancora più vitale la necessità di assicurare la continua disponibilità di dati corretti, al posto corretto ed al tempo appropriato; questo è già oggi un fattore estremamente importante in molti contesti sanitari. Questi tre requisiti della telematica - disponibilità, riservatezza ed integrità - sono ora ritenuti collettivamente appartenenti al dominio della sicurezza.
I sistemi informativi che trattano dati amministrativi e non influenzano direttamente la cura del paziente sono talvolta esclusi da considerazioni di sicurezza. Essi non possono essere ritenuti connessi alla sicurezza, ma la esperienza ha mostrato che violazioni della sicurezza dei sistemi amministrativi sovente hanno effetti consequenziali sulla cura del paziente, se non altro perché dirottano l'attenzione e le risorse dalle problematiche di cura del paziente. Per questa ragione i sistemi amministrativi ospedalieri sono inclusi nell'ambito di questa norma.
Per determinare il modo migliore di proteggere i sistemi telematici dalla vasta gamma di eventi che possono minacciare o compromettere la sicurezza, è dapprima opportuno analizzare la natura specifica dei rischi ai quali è esposto uno specifico sistema. Per qualsiasi sistema, eccetto quelli di un ente ospedaliero molto piccolo, questa analisi richiede molto tempo e richiede delle risorse particolarmente esperte. In un contesto, come quello sanitario, dove lo sfruttamento delle scarse risorse è particolarmente intenso, molti enti hanno trovato difficile giustificare la spesa della conduzione di una tale analisi del rischio.
Il lavoro in questo settore si è sviluppato per alcuni anni in alcuni paesi europei. Il lavoro sin qui svolto ha mostrato che vi è una notevole uniformità dei rischi connessi alla sicurezza fra enti ospedalieri di tutti i tipi. Questo fatto deriva soprattutto dalla considerazione che le influenze più significative sul livello di protezione richiesto derivano dal tipo di dati che un sistema tratta e dall'uso che è fatto delle informazioni in uscita, che vengono consegnate all'utente finale. Vi sono naturalmente altre influenze che possono modificare il modo in cui i meccanismi di sicurezza vengono messi in pratica, ma l'esperienza ha mostrato che l'obiettivo comune del benessere del paziente permette la individuazione di un gruppo formalizzato di requisiti e raccomandazioni di sicurezza, che trovano significativa applicazione in tutti gli enti ospedalieri.
Deve essere sottolineato il fatto che, per quanto un sistema informativo sia protetto, la sicurezza totale, nel senso che non potrà mai verificarsi una violazione, non è raggiungibile. Il meglio che si possa fare è di ridurre il rischio di accadimento di una violazione di sicurezza ad un livello che sia accettabile, da un punto di vista operativo, alla direzione dell'ente ospedaliero. La protezione indicata in questo pre standard europeo è stata fissata ad un livello che la corrente esperienza suggerisce rappresentare un diligente comportamento direzionale, nell'ambito degli enti ospedalieri europei. Questa esperienza è maturata a seguito di una serie di analisi di rischio condotte in vari contesti ospedalieri europei.
Questo pre standard europeo si applica a tutti i sistemi informativi automatizzati che trattano dati sanitari. Sono quindi inclusi i sistemi che contribuiscono direttamente alla cura del paziente, per esempio i rapporti contenenti i risultati delle prove di laboratorio; ma sono anche inclusi i sistemi statistici ed i sistemi amministrativi che offrono supporto operativo per l'ente sanitario medesimo, per esempio la contabilità degli stipendi dei dipendenti, i sistemi di pianificazione e supporto finanziario e gestione del personale. Tuttavia questi sistemi dove la riservatezza è ritenuta non importante, vale a dire le informazioni sono di pubblico dominio, non sono coperti da questo pre standard europeo. I destinatari primari di questo pre standard europeo sono gli utenti ed acquirenti di sistemi informativi sanitari sicuri ed gli sviluppatori e fabbricanti di sistemi informativi sanitari sicuri.
La attuazione pratica dei termini di questo pre standard europeo è ritenuta conforme ad una diligente risposta della direzione agli obblighi delle leggi nazionali ed europee, come pure alle attese del pubblico, nei confronti di un elevato standard di sicurezza delle informazioni sanitarie.
Metodologia di classificazione e misure di sicurezza
In questo documento, tutte i sistemi informativi sanitari vengano classificati secondo gli obiettivi di massimo livello di sicurezza, connessi alla disponibilità (avalaibility - A), riservatezza (confidentiality - C) ed integrità (integrity - I) delle informazioni, reali o presunte, che vengono comunicate, elaborate o archiviate dal sistema informativo (schema ACI).
Sono stati assegnati dei valori ad ognuna di queste componenti e queste sole sono utilizzate per individuare la categoria di appartenenza di un sistema. Per ogni categoria è stato progettato un corrispondente gruppo di requisiti di protezione. Tuttavia, alcuni di questi requisiti possono variare tra diversi sistemi, anche appartenenti alla stessa categoria, in funzione dell'ambiente in cui il sistema funziona, incluse le caratteristiche della rete. Per tener conto di questo fatto, è stato sviluppato un gruppo di assunti ambientali e di connessione di rete ed a esso sono state attribuiti possibili valori. Questi valori vengono utilizzate per differenziare gli appropriati requisiti di sicurezza per specifici sistemi.
I vari obiettivi di sicurezza connessi agli attributi ACI hanno ricevuto in questo documento una serie di valori, che gli attributi possono assumere. Tuttavia, non vi è un metodo riconosciuto che consente di attribuire precisi valori alle caratteristiche ACI delle informazioni. Pertanto è stata scelta la soluzione di basare la valutazione ACI sul risultato di studi di analisi di rischio, dove tale valutazione è raggiunta grazie alle risposte a quesiti che riguardano scenari probabili di caso peggiore ( o conseguenze), causati dall'impatto delle violazioni di sicurezza. Come parte di questa considerazione, le contro misure in effetto o pianificate, che potrebbero essere installate, devono essere ignorate e ritenute non presenti. Ciò è necessario perché è la importanza intrinseca (valore) del dato stesso che deve essere valutata. Si venissero prese in conto le contro misure esistenti, questo fatto potrebbe diminuire artificialmente il valore essenziale del dato per l'ente sanitario. Il fatto che queste violazioni di sicurezza possono essere contrastate o le conseguenze possono essere prevenute o ridotte al minimo, non è rilevante per la valutazione. I valori ACI sono mutuamente esclusivi, vale a dire il sistema informativo sanitario può assumere un solo possibile valore per ogni specifico parametro.
Vi sono due valori possibili per questo attribuito: non critica (A.n-c) e critica (A.c).
Questi valori riflettono la puntualizzazione che questa norma fa sulle informazioni utilizzate per la diagnosi del paziente, la terapia e la cura. Tuttavia, è anche importante valutare le informazioni la cui disponibilità sia critica per obiettivi diversi da quelli di utilizzo nella cura del paziente.
Ecco un diagramma di flusso progettato per assistere il titolare del sistema informativo sanitario nel decidere quale sia il valore corretto del parametro di un sistema reale od ipotetico (vale a dire della informazione presunta o effettiva che si trova nel sistema informativo sanitario). Le domande che vanno poste, e che nella figura sono state succintamente indicate. sono:
Quesito 1: il fatto che i dati o le informazioni non siano disponibili quando necessarie in qualche situazione connessa al trattamento, in qualche modo può danneggiare i pazienti, portare ad una terapia non corretta od un allungamento della terapia? (La non disponibilità dei dati può essere causata sia dalla distruzione sia dalla cancellazione del dato stesso, o dalla non disponibilità del sistema, incluso un tempo eccessivo di elaborazione o di risposta)
Quesito 2: il fatto che i dati o informazioni non siano disponibili quando necessarie per sviluppare funzioni amministrativi può avere conseguenze finanziarie, legali o di altra natura, che potrebbero danneggiare il regolare funzioname******************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************** Riservatezza (C)
Vi sono tre valori possibili per questo attributo: non sensibile (C.n-s), sensibile (C.s) e molto sensibile (C.v-s).
Questi valori riflettono la puntualizzazione di questa normativa sui dati sanitari. Tuttavia i valori di C devono anche prendere in conto informazioni che possono essere riservate, anche se anonime.
Ecco un diagramma di flusso progettato per aiutare il titolare del sistema informativo ad identificare il corretto valore di C di un sistema reale od ipotetico (vale a dire le parti rilevanti di informazioni o dati, reali o presunti, esistenti in un sistema informativo sanitario). I quesiti da porre, succintamente elencati nella figura 7.2, sono:
Quesito 1: il sistema archivia, elabora o comunica informazioni e dati sanitari connessi a persone identificabili?
Quesito 2: la comunicazione di dati sanitari a estranei o persone non autorizzate può provocare gravi inconvenienti o danni, diretti od indiretti, ad uno o più pazienti?
Quesito 3: la comunicazione di informazioni anonime può portare a conseguenze significative per l'ente sanitario, con riferimento a perdite finanziarie, oppure risvolti legali, oppure situazioni pregiudizievoli legate alla riservatezza commerciale od organizzativa?
Nota 1: occorre prestare particolare attenzione ai dati che, anche se privi di identificazione dell'interessato, possono tuttavia essere ad esso associati per inferenza da dati che sono presenti nel sistema informativo.
Nota 2: nel rispondere a questi quesiti occorre ipotizzare scenari probabili di caso peggiore. Non bisogna considerare le contro misure esistenti
Vi sono due valori possibili per questo attributo: non critica (I.n-c) e critica (I.c) .
Questi valori riflettono la puntualizzazione di questo documento sulle informazioni utilizzate per la diagnosi del paziente, la terapia e la cura. Questi valori prendono anche in conto le informazioni che possono essere critiche dal punto vista della integrità, anche se non vengono usate nella cura del paziente.
Ecco un diagramma di flusso progettato per assistere il titolare sistema informativo nel valutare in corretto valore di I in un sistema reale od ipotetico. I quesiti da porre, succintamente elencati nella figura 7.3, sono:
Quesito 1: Errori, cancellazioni o dati in altro modo non corretti, in modo sistematico o casuale, possono in qualche modo danneggiare uno o più pazienti, portare a terapie non corrette od un allungamento della terapia?
Quesito 2: Errori, cancellazioni o dati in altro modo non corretti, in modo sistematico o casuale, possono in qualche modo produrre conseguenze finanziarie, legali od altre conseguenze che possono intralciare il regolare funzionamento del sistema informativo sanitario?
Nota: nel rispondere a questi quesiti occorre ipotizzare scenari probabili di caso peggiore. Non bisogna considerare le contro misure esistenti
Categorie di sistemi informativi
Sulla base degli attributi di disponibilità, riservatezza ed integrità, e dei differenti valori che tali attributi possono assumere, questo documento individua sei categorie di sistema (i sistemi che trattano informazioni non sensibili sono considerati esclusi dagli obiettivi questo documento). Essi sono:
Categoria I: disponibilità-non critica, riservatezza-sensibile e integrità-non critica
(A.n-c, C.s; I.n-c)
Categoria II: disponibilità-non critica, riservatezza-sensibile e integrità- critica
(A.n-c, C.s; I.c)
Categoria III: disponibilità- critica, riservatezza-sensibile e integrità- critica
(A.c, C.s; I.c)
Categoria IV: disponibilità-non critica, riservatezza- molto sensibile e integrità- non critica
(A.n-c, C.v-s; I.n-c)
Categoria V: disponibilità-non critica, riservatezza-molto sensibile e integrità- critica
(A.n-c, C.v-s; I.c)
Categoria VI: disponibilità- critica, riservatezza- molto sensibile e integrità- critica
(A.c, C.v-s; I.c)
ESEMPI DI CLASSIFICAZIONE DI SISTEMI INFORMATIVI
Esempio 1 : registrazione elettronica dei pazienti per un medico di base
Descrizione
Un sistema di registrazione elettronica di dati dei pazienti, con più di un utente, per uno studio di medico di base
Valutazione ACI
Disponibilità: Q1: no; A.n-c
Riservatezza: Q1:si; Q2:si; C.v-s
Integrità: Q1:si;I.c
Questo sistema informativo sanitario è classificabile in categoria V
Esempio 2: sistema di registrazione elettronica dei dati dei pazienti per un ospedale
Descrizione
Sistema di registrazione dei dati dei pazienti, operante con molti utenti e su più dipartimenti, basato su una piattaforma client - server. Può essere usato per un gran numero di utenti o gruppi di utenti.
Valutazione ACI
Disponibilità: Q1: si; A.c
Riservatezza: Q1: si, Q2: si;C.v-s
Integrità: Q1: si; I.c
Questo sistema informativo sanitario è classificabile in categoria VI
Esempio 3: sistema di banca del sangue per il dipartimento di ematologia
Descrizione
Sistema di banca del sangue multi utente, basato su una piattaforma client - server. Può essere usato da un gran numero di utenti o vari gruppi di utenti
Valutazione ACI
Disponibilità: Q1: no; A.n-c
Riservatezza: Q1: si, Q2: si; C.v-s
Integrità: Q1: si; I.c
Questo sistema informativo sanitario è classificabile in categoria V
Esempio 4: data base per ricerche cliniche di tipo stand alone
Descrizione
Unità con stazione di lavoro singola, di tipo stand alone, con un data base ed applicazioni per ricerche cliniche, che usa dati identificabili, ma laddove non vi è una reazione verso il paziente, come parte o risultato della ricerca
Valutazione ACI
Disponibilità: Q1: no; A.n-c
Riservatezza: Q1: si, Q2: no; C.s
Integrità: Q1: no; I.n-c
Questo sistema informativo sanitario è classificabile in categoria I
Esempio 5: sistema di informazioni cliniche per un dipartimento di oftalmologia
Descrizione
Sistema informativo usato dai clinici come supporto alle decisioni con riferimento alla terapia da applicare al paziente
Valutazione ACI
Disponibilità: Q1: no; A.n-c
Riservatezza: Q1: si, Q2: no; C.s
Integrità: Q1: si; I.c
Questo sistema informativo sanitario è classificabile in categoria II
Esempio 6: sistema di laboratorio per analisi chimico-cliniche
Descrizione
Sistema di laboratorio per il dipartimento clinico-chimico, che fornisce i risultati di test ad altri sistemi informativi
Valutazione ACI
Disponibilità: Q1: si; A.c
Riservatezza: Q1: si, Q2: no; C.s
Integrità: Q1: si; I.c
Questo sistema informativo sanitario è classificabile in categoria III
Esempio 7: data base per registrazione e ricerche su AIDS
Descrizione
Sistema di registrazione locale, regionale o nazionale per AIDS
Valutazione ACI
Disponibilità: Q1: no; A.n-c
Riservatezza: Q1: si, Q2: si; C.v-s
Integrità: Q1: no; I.n.c
Questo sistema informativo sanitario è classificabile in categoria IV
Nota 1: questi sono solo esempi. In qualunque situazione reale, il risultato della analisi di rischio da parte dell'utente di questo documento può portare a risultati diversi e quindi una diversa classificazione.
Nota 2: se differenti elementi di un unico sistema ricadono in differenti categorie, occorre scegliere la categoria più elevata
Elenco di rischi di un sistema informativo sanitario
|
Tipo di rischio |
Tipo di impatto |
Strumenti o beni coinvolti |
|
Rischi fisici |
Danni da incendio |
Tutti i beni che si trovano nella stessa area |
|
|
Danni da acqua |
Tutti i beni che si trovano nella stessa area |
|
|
Danni da intemperie od altri disastri naturali |
Tutti i beni che si trovano nello stesso sito od in uno stesso edificio |
|
|
Sabotaggio e danno deliberato |
Gruppi di beni che si trovano nella stessa area |
|
|
furto |
Beni singoli, beni isolati o gruppi di beni |
|
|
|
|
|
Rischi tecnici |
Accesso non autorizzato |
Potenzialmente, l'intero sistema |
|
|
Uso improprio di risorse informative |
Potenzialmente, l'intero sistema |
|
|
Guasto del sistema |
Potenzialmente, l'intero sistema |
|
|
Guasto HW |
Beni individuali e gli strumenti connessi o dipendenti |
|
|
|
|
|
Rischi ambientali |
Mancanza di energia di alimentazione |
Beni individuali o gruppi di beni che usano la stessa sorgente di energia (potenzialmente, l'intero sistema) |
|
|
Guasto dei controlli ambientali |
Beni individuali o gruppi di beni che usano gli stessi controlli ambientali |
|
|
|
|
|
Rischio di errore umano |
Errore umano |
Beni che sono gestiti, usati, sviluppati o mantenuti dal personale. Potenzialmente, intero sistema |
La sicurezza dei sistemi informativi sanitari:
la norma UNI ENV 12924
La attuazione pratica dei termini di questo pre standard europeo è ritenuta conforme ad una diligente risposta della direzione agli obblighi delle leggi nazionali ed europee, come pure alle attese del pubblico, nei confronti di un elevato standard di sicurezza delle informazioni sanitarie.
Misure minime - decreto presidenziale ex legge 675/96
Misure appropriate - ex articolo 2050 CC
Esimente di repsonsabilità civile:
rispondenza allo stato dell’arte
Metodologia di classificazione e misure di sicurezza
In questo documento, tutte i sistemi informativi sanitari vengano classificati secondo gli obiettivi di massimo livello di sicurezza, connessi alla
disponibilità (avalaibility - A),
riservatezza (confidentiality - C)
integrità (integrity - I)
delle informazioni, reali o presunte, che vengono comunicate, elaborate o archiviate dal sistema informativo
(schema ACI)
Disponibilità (A)
Vi sono due valori possibili per questo attribuito: non critica (A.n-c) e critica (A.c).
Quesito 1: il fatto che i dati o le informazioni non siano disponibili quando necessarie in qualche situazione connessa al trattamento, in qualche modo può danneggiare i pazienti, portare ad una terapia non corretta od un allungamento della terapia? (La non disponibilità dei dati può essere causata sia dalla distruzione sia dalla cancellazione del dato stesso, o dalla non disponibilità del sistema, incluso un tempo eccessivo di elaborazione o di risposta)
Quesito 2: il fatto che i dati o informazioni non siano disponibili quando necessarie per sviluppare funzioni amministrativi può avere conseguenze finanziarie, legali o di altra natura, che potrebbero danneggiare il regolare funzionamento del sistema formativo dell'ente sanitario?
Nota: quando si da' risposta a questi quesiti, occorre prendere in esame gli scenari probabili di caso peggiore. Non bisogna tener conto dei dati di backup, anche su supporto cartaceo, e di altre contromisure in vigore. In grandi enti sanitari i problemi di analisi del rischio possono essere forse meglio affrontati dal responsabile della sicurezza del sistemi informativo, in consulto con il personale sanitario ed altri utenti.
Riservatezza (C)
Vi sono tre valori possibili per questo attributo: non sensibile (C.n-s), sensibile (C.s) e molto sensibile (C.v-s).
Quesito 1: il sistema archivia, elabora o comunica informazioni e dati sanitari connessi a persone identificabili?
Quesito 2: la comunicazione di dati sanitari a estranei o persone non autorizzate può provocare gravi inconvenienti o danni, diretti od indiretti, ad uno o più pazienti?
Quesito 3: la comunicazione di informazioni anonime può portare a conseguenze significative per l'ente sanitario, con riferimento a perdite finanziarie, oppure risvolti legali, oppure situazioni pregiudizievoli legate alla riservatezza commerciale od organizzativa?
Nota 1: occorre prestare particolare attenzione ai dati che, anche se privi di identificazione dell'interessato, possono tuttavia essere ad esso associati per inferenza da dati che sono presenti nel sistema informativo.
Nota 2: nel rispondere a questi quesiti occorre ipotizzare scenari probabili di caso peggiore. Non bisogna considerare le contro misure esistenti
Integrità (I)
Vi sono due valori possibili per questo attributo: non critica (I.n-c) e critica (I.c) .
Quesito 1: Errori, cancellazioni o dati in altro modo non corretti, in modo sistematico o casuale, possono in qualche modo danneggiare uno o più pazienti, portare a terapie non corrette od un allungamento della terapia?
Quesito 2: Errori, cancellazioni o dati in altro modo non corretti, in modo sistematico o casuale, possono in qualche modo produrre conseguenze finanziarie, legali od altre conseguenze che possono intralciare il regolare funzionamento del sistema informativo sanitario?
Nota: nel rispondere a questi quesiti occorre ipotizzare scenari probabili di caso peggiore. Non bisogna considerare le contro misure esistenti
Classificazione pratica
Categoria I: disponibilità-non critica, riservatezza-sensibile e integrità-non critica
(A.n-c, C.s; I.n-c)
Categoria II: disponibilità-non critica, riservatezza-sensibile e integrità- critica
(A.n-c, C.s; I.c)
Categoria III: disponibilità- critica, riservatezza-sensibile e integrità- critica
(A.c, C.s; I.c)
Categoria IV: disponibilità-non critica, riservatezza- molto sensibile e integrità- non critica
(A.n-c, C.v-s; I.n-c)
Categoria V: disponibilità-non critica, riservatezza-molto sensibile e integrità- critica
(A.n-c, C.v-s; I.c)
Categoria VI: disponibilità- critica, riservatezza- molto sensibile e integrità- critica
(A.c, C.v-s; I.c)
Elenco di rischi di un sistema informativo sanitario
|
Tipo di rischio |
Tipo di impatto |
Strumenti o beni coinvolti |
|
Rischi fisici |
Danni da incendio |
Tutti i beni che si trovano nella stessa area |
|
|
Danni da acqua |
Tutti i beni che si trovano nella stessa area |
|
|
Danni da intemperie od altri disastri naturali |
Tutti i beni che si trovano nello stesso sito od in uno stesso edificio |
|
|
Sabotaggio e danno deliberato |
Gruppi di beni che si trovano nella stessa area |
|
|
furto |
Beni singoli, beni isolati o gruppi di beni |
|
|
|
|
|
Rischi tecnici |
Accesso non autorizzato |
Potenzialmente, l'intero sistema |
|
|
Uso improprio di risorse informative |
Potenzialmente, l'intero sistema |
|
|
Guasto del sistema |
Potenzialmente, l'intero sistema |
|
|
Guasto HW |
Beni individuali e gli strumenti connessi o dipendenti |
|
|
|
|
|
Rischi ambientali |
Mancanza di energia di alimentazione |
Beni individuali o gruppi di beni che usano la stessa sorgente di energia (potenzialmente, l'intero sistema) |
|
|
Guasto dei controlli ambientali |
Beni individuali o gruppi di beni che usano gli stessi controlli ambientali |
|
|
|
|
|
Rischio di errore umano |
Errore umano |
Beni che sono gestiti, usati, sviluppati o mantenuti dal personale. Potenzialmente, intero sistema |