Ferme restando le misure di sicurezza, individuate negli articoli da 31 a 36 del Decreto Legislativo 30 giugno 2003 n. 196 e nel Disciplinare Tecnico pubblicato in Allegato B) a tale Decreto, il presente Disciplinare dispone le misure di sicurezza specifiche per la gestione il Fascicolo sanitario elettronico .

La sicurezza dei dati trattati nel FSE deve essere assicurata in tutte le fasi del trattamento dei dati, adottando opportuni accorgimenti che preservino i medesimi dati da rischi di accesso abusivo, furto o smarrimento degli stessi.

Tutte le operazioni di seguito indicate sono svolte da incaricati appositamente individuati ed edotti in materia di protezione dei dati personali nonché sui profili di rischio che incombono sui dati.

Nell’ambito del Sistema Informativo Socio Sanitario di Regione Toscana, nel caso in cui l’Azienda sanitaria non sia in grado di inviare la prestazione già anonimizzata, l’anonimizzazione viene effettuata da componenti software sviluppate dalla Regione e installate sui sistemi di cooperazione applicativa nel dominio Aziendale;

Tramite questo processo i dati sensibili, relativi a prestazioni sanitarie, vengono archiviati senza riferimento ai dati personali del soggetto, ed il legame con il soggetto a cui si riferiscono, è mantenuto tramite l’identificativo del soggetto presente nell’anagrafe regionale (iduniversale).

Il processo di anonimizzazione si applica in tutti i contesti in cui i dati sanitari sono legati ai dati personali identificativi del soggetto.

• Anonimizzazione di prestazioni comunicate a Flussi (es. specialistica ambulatoriale, ricoveri,farmaceutica,ecc);

• Anonimizzazione di prestazioni comunicate a Eventi – RFC (es. Pronto Soccorso, Laboratorio,ecc);

• Anonimizzazione di prestazioni comunicate tramite Applicazioni (es. caricamento dati pregressi degli eventi di RSA).

• codice fiscale

• codice Sanitario

• codice STP

• tessera sanitaria TEAM

L’anonimizzazione prevede quindi che l’identificazione del soggetto possa avvenire a partire da uno degli identificativi sopra elencati.

• il cittadino deve inizialmente esprimere un consenso affinché i suoi dati possano essere raccolti per gli scopi del Fascicolo Sanitario. Finché il cittadino non esprime il consenso, i dati sulle prestazioni sanitarie non sono raccolti. Analogamente i dati non vengono raccolti se il consenso viene negato;

• nel caso in cui sia espresso un consenso positivo alla raccolta dei dati, il cittadino è poi chiamato a concedere o negare il consenso su ogni singola prestazione o gruppi di prestazioni. Solo le prestazioni per cui è stato acquisito un consenso positivo potranno essere mostrate nel FSE.

Di seguito viene data la descrizione degli scenari e delle scelte operative che si riferiscono alla gestione del consenso per il sistema regionale della Toscana, di gestione delle prestazioni sanitarie e, in particolare, al sistema di consultazione di FSE.

Un evento prestazionale è un messaggio XML che trasporta informazioni su una prestazione erogata o su un evento rilevante dal punto di vista amministrativo o sanitario. Il messaggio è inviato dalle Aziende Sanitarie erogatrici della prestazione al CART e ricevuto (secondo le regole stabilite per il dominio applicativo) dai soggetti titolati a trattare tali informazioni.

• recupera il codice identificativo del cittadino a cui la prestazione si riferisce;

• controlla se il cittadino ha dato il consenso per la attivazione del fascicolo sanitario elettronico;

• nel caso in cui il cittadino abbia dato il consenso, inserisce i dati della prestazione negli Archivi Prestazionali Aziendali del TIX, che contengono le prestazioni erogate da ognuna delle Aziende Sanitarie/Ospedaliere toscane.

Una volta che l’informazione sulla prestazione è stata inserita all’interno degli archivi aziendali, può essere messa a disposizione del Fascicolo.

• il codice identificativo dell’assistito;

• il codice della prestazione;

• la data di espressione del consenso;

• il tipo di consenso espresso (es. consenso concesso/negato)

Le prestazioni per le quali il consenso non è concesso o per le quali non esiste alcuna informazione di consenso (perché il consenso non è stato espresso dall’assistito) non sono mostrate in Fascicolo Sanitario. Un consenso non espresso viene quindi considerato equivalente ad un consenso negato.

- L’accesso al Fascicolo Sanitario Elettronico di Regione Toscana avviene tramite la Carta Nazionale dei Servizi (CNS).

Il riconoscimento dell’utente avviene tramite il portale di autenticazione ARPA, che realizza una infrastruttura di servizi di autenticazione e autorizzazione, parte integrante del nodo regionale del Sistema Pubblico di Connettività.

• consentire all’utente di accedere ai dati in modo controllato applicando le regole stabilite dalla profilazione della applicazione e quelle relative al consenso;

• gestire il tracciamento degli accessi.

In entrambi i casi, la base di dati consente solo di effettuare inserimenti all’interno delle tabelle di log e non aggiornamenti o cancellazioni.

• il sistema prevede profili diversi per i soggetti che trattano dati sensibili o personali per il tramite della separazione dei dati in DB distinti;

• le informazioni sensibili (es. dati prestazionali), vengono raccolte sulla base dati in forma anonimizzata.

- la cifratura di tutti i dati di natura sensibile residenti sui DBMS con chiavi distinte per le informazioni sanitarie e per gli assistiti a cui le informazioni stesse fanno riferimento. Tali chiavi sono gestite da personale diverso da coloro che hanno accesso ai sistemi per attività di gestione, onde evitare la possibilità di estrarre direttamente informazioni dai file di database, qualora esportati su sistemi diversi. Le chiavi, distinte per tipologia di informazione, sono assegnate a persone diverse, in modo da evitare che la decifratura di un set di informazioni consenta la ricostruzione completa del dato personale sensibile attribuito ad uno specifico assistito Interessato;

- limitazione dell’accesso sistemistico all’infrastruttura che gestisce dati sanitari, tramite un sistema “ponte” le cui credenziali sono a conoscenza esclusivamente del personale autorizzato;

- limitazione dell’accesso sistemistico all’infrastruttura da remoto, mediante meccanismi di virtual private network su canale cifrato;

- accesso nominale da parte di tutti gli operatori che svolgono attività di tipo sistemistico, sia sui sistemi operativi che sui DBMS dell’infrastruttura;

- segregazione delle credenziali amministrative di gruppo (ad esempio root, Administrator, etc…), le quali sono poste sotto la custodia di personale non coinvolto nella gestione sistemistica dell’infrastruttura e che non ha la possibilità di accedere ai sistemi non disponendo dell’accesso alla macchina “ponte”.

I profili sono costruiti sulla base di “white list” di comandi autorizzati, negando pertanto ogni operazione che non sia stata preventivamente autorizzata;

- procedure di verifica periodica della qualità e coerenza delle credenziali di autenticazione e dei profili di autorizzazione assegnati agli amministratori dell’infrastruttura, con gestione centralizzata dei profili amministrativi;

- come detto precedentemente, separazione logica e fisica (quando applicabile) dei sistemi che trattano i dati sensibili, garantendo che le informazioni sensibili siano conservate in modo separato dai dati identificativi degli assistiti a cui appartengono. Tali dati non si trovano mai (neppure su file temporanei) residenti sul medesimo disco (per “disco” si intende un volume logico accessibile da un singolo sistema), mentre la correlazione è mantenuta soltanto nell’ambito dell’elaborazione nella memoria volatile. I due gruppi di sistemi sono amministrati da gruppi di amministratori distinti;

- tracciamento degli accessi ai sistemi ed alle base dati dell’infrastruttura, i quali avvengono (secondo procedure ordinarie) mediante credenziali assegnate in modo nominale al personale autorizzato. Tale tracciamento è effettuato utilizzando i log dei sistemi e delle basi di dati, acquisito in tempo reale da un’infrastruttura di log management dedicata in grado di assicurare l’integrità e la protezione contro accessi non autorizzati delle informazioni raccolte. Il tracciamento prevede altresì la registrazione delle operazioni (incluso l’esito) svolte utilizzando privilegi di tipo amministrativo mediante account nominali. In caso di operazioni rilevanti sotto il profilo della sicurezza, quali ad esempio l’accesso mediante credenziali amministrative di gruppo o la creazione di nuovi account sui sistemi, oltre al tracciamento è previsto un meccanismo di alerting via email utilizzando una casella di posta la cui gestione non è attribuita al personale che svolge attività sistemistica sull’infrastruttura. Tutti i dati raccolti confluiscono infine in report di sintesi, generati automaticamente con frequenza mensile, a disposizione dei responsabili del servizio e/o di eventuali auditor;

- le procedure di emergenza in grado di assicurare la possibilità di ripristino dell’operatività dei sistemi in caso di incidenti, anche quando l’uso di account amministrativi di gruppo sia necessario: in tali casi gli operatori di sistema possono fare richiesta ed ottenere tempestivamente tali credenziali (diverse per ogni account/sistema) scrivendo in un apposito registro il periodo e le motivazioni di utilizzo di tali account. La gestione separata degli account amministrativi assicura che, al termine dell’utilizzo di tali utenze, la password sia cambiata e resa sconosciuta agli addetti alla gestione dell’infrastruttura. L’utilizzo del registro in caso di assegnazione delle credenziali garantisce un adeguato livello di tracciamento. Ogni attività effettuata in emergenza deve essere descritta e resa verificabile mediante l’apertura e la chiusura di un “ticket” su un sistema di change management.