FSE, opportunità per proteggere l’accesso ai dati sanitari: ecco come

Strumenti quali l’FSE, Fascicolo Sanitario elettronico[1] da un lato consentiranno di migliorare i servizi al cittadino e ridurre i costi sanitari, dall’altro saranno una occasione importante per rivedere le policy di accesso ai dati immagazzinati nelle singole strutture ospedaliere, talvolta non sufficientemente protetti ed accessibili anche attraverso piattaforme web (magari ad uso interno) non cifrate ed esposte ad attacchi malevoli [9].

La gestione digitale dell’intera filiera sanitaria è considerata una soluzione primaria per rispondere all’esigenza di razionalizzare i processi e accedere alle informazioni ovunque e con qualsiasi piattaforma. Ma ciò non può prescindere dalla garanzia di sicurezza e privacy delle informazioni.

A questo proposito, torna utile una panoramica sullo strumento FSE, i suoi contenuti, le modalità di accesso e i criteri di sicurezza utilizzati per garantire la sicurezza dei dati e un focus sul caso di utilizzo della Valle d’Aosta.

Il fascicolo sanitario elettronico (FSE)

Nel Fascicolo Sanitario elettronico devono essere contenuti i dati sanitari dei cittadini in modo da potervi accedere in modo rapido, sicuro e conforme al GDPR [2] sia da parte degli utenti sia da parte degli operatori in conformità allo standard HL7 [3] senza però dimenticare una pletora di attività che un tempo richiedevano la presenza fisica o almeno un contatto telefonico ed ora devono necessariamente passare attraverso il canale informatico quali: ricetta dematerializzata, ritiro referti on line, pagamento ticket, cambio medico, etc.

Alla luce della circolare AgID 04 del 01-08-17 [4] è stato chiarito quali siano gli obiettivi del FSE:

• agevolare l’assistenza sanitaria del paziente;
• offrire un servizio che può facilitare l’integrazione delle diverse competenze professionali nell’ambito sanitario;
• fornire una base informativa clinica consistente relativa al paziente;

Il FSE contiene almeno i seguenti dati:

Per quanto concerne l’accesso al FSE, la consultazione dei dati e dei documenti presenti può essere realizzata soltanto con il consenso preventivo dell’assistito e sempre nel rispetto del segreto professionale, salvo specifici casi di emergenza sanitaria per i quali sono previste particolari procedure operative discrezionali dei sanitari con tracciamento di ogni attività informatica.

Accesso informatico ai dati sanitari

Le principali componenti del modello architetturale con cui i servizi si interfacciano sono:

• Il repository che consente la memorizzazione e l’accesso a documenti prodotti dagli organismi sanitari.
• Il registry che permette l’indicizzazione dei documenti, memorizzati nei repository, attraverso un insieme di metadati.
• Il sistema di autenticazione che permette il matching tra la persona fisica e l’identità digitale.

I documenti sanitari, la cui titolarità appartiene agli organismi sanitari che hanno prodotto tali documenti, sono memorizzati in repository (che possono essere centralizzati a livello regionale oppure dislocati presso gli organismi stessi), mentre un registro indice regionale (registry) conserva i metadati inerenti ai documenti prodotti al fine di facilitarne il recupero (esempi di metadati sono la tipologia del documento, l’autore del documento, il paziente al quale il documento si riferisce, il riferimento al repository che conserva il documento, ecc.). [5]

In pratica ogni singolo documento prodotto viene indicizzato in un database a livello regionale per poterlo rintracciare in modo veloce ed univoco.

L’accesso avviene a partire dall’autenticazione di chi vuole consultare i dati attraverso o il Sistema Pubblico di Identità Digitale (SPID)[6] oppure da altri sistemi su base regionale.

Modalità di accesso al FSE

Il DPCM n. 178 emanato il 29 settembre 2015 sul Fascicolo Sanitario Elettronico (FSE) stabilisce che l’accesso al FSE da parte dei professionisti sanitari e degli assistiti deve avvenire in conformità all’art. 64 del CAD (Modalità di accesso ai servizi erogati in rete dalle pubbliche amministrazioni).

In particolare, al fine di favorire la diffusione di servizi in rete e agevolare l’accesso agli stessi (anche in mobilità), è stato istituito il sistema SPID, il quale è basato su tre livelli di sicurezza, corrispondenti ai Level of Assurance LoA2, LoA3 e LoA4.

Il processo di autenticazione elettronica, in generale, è utilizzato per verificare l’identità digitale di un soggetto nell’utilizzo di un servizio online. Questo meccanismo può essere gestito con livelli di sicurezza differenti, in base alla criticità dei servizi offerti e dai dati trattati. La tecnologia SPID, per esempio, si basa sullo standard ISO/IEC DIS 29115 e stabilisce tali “Level of Assurance” – LoAs e definisce tre livelli di sicurezza, relativi a diversi livelli dello standard:

• Primo livello: (Level of Assurance 2 (LoA2) dello standard ISO/IEC DIS 29115). Questo livello è utilizzato quando il rischio associato ad autenticazione errata è moderato. Ciò garantisce un buon livello di sicurezza, utilizzando un singolo fattore di autenticazione. Esempio: userID + password.
• Secondo Livello: (Level of Assurance 3 (LoA3) dello standard ISO/IEC DIS 29115). Questo livello è utilizzato quando c’è alta confidenza in un’identità asserita dall’entità, ed esiste un “rischio sostanziale” associato ad errata autenticazione. Ciò garantisce un alto livello di sicurezza. Ogni informazione segreta scambiata nell’autenticazione deve essere protetta con la crittografia. Esempio: UserID + password + OTP.
• Terzo livello: Level of Assurance 4 (LoA4) dello standard ISO/IEC DIS 29115. Questo livello garantisce un altissimo grado di sicurezza ed è compatibile con l’uso di due sistemi di autenticazione a due fattori, basati su certificati digitali e chiavi private memorizzate in dispositivi conformi alla Direttiva 1999/93/CE all.3. Il livello è appropriato per tutti i servizi per i quali il furto dell’identità può causare seri e gravi danni. I Service Providers che gestiscono dati sanitari devono interfacciarsi con gli Identity Providers a questo livello di protezione. Esempio: smartcard + PIN.

L’entry level per il FSE è LoA3 (SPID 2). I professionisti si autenticano con LoA4 (SPID 3).

Service, Identity e Attribute Providers nel contesto FSE

• Identity provider o gestore di identità digitale (IP) che fornisce le credenziali di accesso al sistema (identità digitali) e gestisce i processi di autenticazione degli utenti. [8]
• Service provider o fornitore di servizi (SP) che mette a disposizione servizi digitali accessibili tramite il login con credenziali SPID. I SP sono rappresentati dalle pubbliche amministrazioni e dai privati aderenti.
• Attribute provider o gestore di attributi qualificati (AP) che fornisce attributi che qualificano gli utenti (stati, ruoli, titoli, cariche), finalizzati alla fruizione dei servizi, per determinati servizi o processi, infatti, potrà essere necessario dimostrare il possesso di una specifica condizione o di un particolare requisito personale o professionale. Al momento gli AP accreditati sono il Ministero dello Sviluppo Economico (in relazione ai dati contenuti nell’indice nazionale degli indirizzi Pec delle imprese e dei professionisti), i Consigli, gli Ordini e i Collegi delle professioni regolamentate (per attestare l’iscrizione agli albi professionali), le Camere di Commercio, Industria, Artigianato e Agricoltura (per l’attestazione di cariche e incarichi societari) e l’AgID (in relazione ai dati contenuti nell’indice degli indirizzi della pubblica amministrazione e dei gestori di pubblici servizi).

Ricerca dei documenti e dati

Gli utenti, i medici e gli operatori e professionisti sanitari operanti nelle strutture sanitarie possono richiedere all’interfaccia web o all’applicativo software la consultazione dell’elenco dei documenti e dati del FSE, sulla base di opportuni criteri. In dettaglio, l’interfaccia o l’applicativo deve inoltrare la richiesta al servizio di ricerca del sistema regionale, il quale deve consentire il reperimento dei metadati associati a tutti i documenti e dati che soddisfano i criteri specificati, comprendenti un riferimento ad essi.

Inoltre la richiesta al servizio di ricerca deve comprendere, per gli operatori sanitari, oltre ai criteri di ricerca, opportune attestazioni sotto forma di asserzioni comprendenti una serie di attributi:

• Identificativo dell’utente (codice fiscale).
• Ruolo dell’utente.
• Identificativo dell’azienda sanitaria presso cui l’utente opera.
• Luogo (opzionale) dal quale l’utente opera (ospedale, studio medico, casa del
• paziente).
• Contesto operativo della richiesta (trattamento di cura ordinario, trattamento in
• emergenza).
• Tipo di dato o documento a cui si intende accedere.
• Identificativo dell’assistito (codice fiscale).
• Azione che l’utente intende effettuare sulla risorsa (lettura).

La validità temporale di tali asserzioni deve essere determinata per ovvie ragioni di documentazione a fini di sicurezza in modo da soddisfare la triade di Disponibilità Integrità e Sicurezza dei dati.

Il servizio deve restituire l’elenco dei metadati relativi ai documenti e dati soddisfacenti i criteri di ricerca indicati in Tabella 4, se esistenti, e, per ognuno di questi, un’opportuna asserzione di autorizzazione ad un successivo accesso per il recupero. La validità temporale di tale asserzione deve essere determinata.

Il servizio non deve restituire i metadati relativi ai documenti e dati che sono stati oscurati dal paziente o le cui politiche di visibilità non consentono l’accesso all’utente con riferimento al ruolo assunto e al contesto operativo corrente (non dimentichiamo che un medico può anche essere un paziente).

Lo stato dell’arte dell’attuazione

Un esempio di utilizzo: la Valle d’Aosta

La Vallé, per dimensioni e singolarità della struttura ospedaliera coincidente con l’Azienda Sanitaria Regionale è forse l’esempio più facile insieme alla provincia autonoma di Bolzano.

La Valle d’Aosta ha recentemente rilasciato anche una app mobile per accedere al FSE che opera in modalità on line, senza archiviare nulla sul dispositivo integrata con la piattaforma regionale di autenticazione che prevede l’utilizzo di SAML 2 attraverso canale cifrato tra il server sul quale risiede la componente applicativa dell’APP e il server sul quale risiede il Repository FSE utilizzando servizi XDS, ma il percorso è partito dal 2012:

Allo stato attuale le funzionalità implementate possono essere quindi fruite anche in mobilità, anche se per es. per le ricette la dematerializzazione non è ancora del tutto conclusa visto che le ricette cartacee vengono ancora emesse contestualmente ai codici a barre nella app mobile.

È stata quindi creata una infrastruttura a valore aggiunto per gli operatori sanitari ed i cittadini nei seguenti campi:

• Una rete territoriale regionale tra Cittadini, Ospedale Enti Locali Regione disponibile h24.
• Integrazione con le piattaforme nazionali FSE-INI, SPID e PagoPA in modo da evitare le code agli sportelli e pagare in mobilità.
• Servizi a valore aggiunto per i cittadini come consegna online dei referti, scelta e revoca online, cup online, pagamento ticket, promemoria ricetta.
• Portale FSE per gli Operatori sanitari.

Sicurezza dei dati sanitari

Sebbene il Fascicolo Sanitario Elettronico nella sua realizzazione stia portando un aggravio dei costi per la sanità pubblica, a tendere, con la razionalizzazione dei processi documentali e delle procedure operative, le spese scenderanno a valori decisamente inferiori mentre la “user experience” dei pazienti sufficientemente competenti nelle skills digitali e degli operatori costituiranno il valore aggiunto dell’intera opera proiettando la sanità pubblica al livello dei paesi più avanzati.

In ossequio alla direttiva NIS [10] entrata in vigore a fine giugno in Italia e al GDPR i dati e le strutture sanitarie devono infatti avere un altissimo grado di protezione essendo contemporaneamente infrastrutture critiche e depositarie di dati ultrasensibili. Purtroppo ad oggi non sono note le modalità operative degli hacker, ma probabilmente sono state prese di mira strutture non ancora adeguate alla nuova normativa o siti web in dismissione e/o da adeguare e con accesso diretto/privilegiato alle basi di dati contenenti le informazioni sanitarie.

Si ringraziano il dottor Erik Vizzi di IN.VA. S.p.A. e l’ing. Chiara Basile di AgID per la collaborazione fornita.

__________________________________________________________

[1] https://www.fascicolosanitario.gov.it/normativa-di-riferimento

[2] https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_it

[3] http://www.hl7italia.it/hl7it_publications

[4] https://www.agid.gov.it/sites/default/files/repository_files/circolari/04_-_agid_circ_n._04_-_01_ago_2017.pdf

[5] https://www.agid.gov.it/sites/default/files/repository_files/regole_tecniche/frameworkdataset_versione_2.1.pdf

[6] https://www.agid.gov.it/it/piattaforme/spid

[7] https://www.fascicolosanitario.gov.it/area-tecnica

[8] https://www.agid.gov.it/it/piattaforme/spid/identity-provider-accreditati

[9] https://anon-italy.blogspot.com/2018/12/salute-e-privacy-sotto-lalbero.html

[10] http://www.gazzettaufficiale.it/atto/serie_generale/caricaDettaglioAtto/originario?atto.dataPubblicazioneGazzetta=2018-06-09&atto.codiceRedazionale=18G00092&elenco30giorni=false