Le nuove regole tecniche in materia di conservazione sostitutiva e protocollo informatico, come sapete sono in vigore dal 11 Aprile 2014 e hanno radicalmente cambiato i processi didematerializzazione. Ma come hanno impattato e come impatteranno queste regole tecniche per quanto concerne i processi di conservazione e dematerializzazione per la documentazione sanitariae soprattutto per la cartella clinica elettronica ?
Io e Fabio Ferrara abbiamo risposto a questa interessantissima domanda, scrivendo un lungo articolo che è stato pubblicato sul numero 9 del DMS , edito da Edisef e che qui vi riportiamo.
Per chi volesse ricevere una copia cartacea della rivista, potrà contattarmi direttamente. Prima di inoltrarvi di seguito l’articolo, è importante fare questa premessa : di recente l’Agid ha pubblicato le linee guida nazionali sul Fascicolo Sanitario Elettronico, che estendono per ogni regione, regole e procedure per gestire al meglio l’insieme della cartelle cliniche elettroniche. L’articolo è utile anche perchè è perfettamente adeso appunto alle nuove indicazioni sul fascicolo sanitario elettronico.
Ecco il “famoso” articolo nelle pagine successive :
Prima di entrare nel merito delle regole e degli accorgimenti che devono essere rispettati nel processo di conservazione della CCE è necessario ricordare sia la Circolare del Ministero della Sanità, n° 61 del 19 dicembre 1986 N. 900.2/ AG. 464/260 la quale prevede che “Le cartelle cliniche, unitamente ai relativi referti, vanno conservate illimitatamente poiché rappresentano un atto ufficiale indispensabile a garantire la certezza del diritto, oltre che costituire preziosa fonte documentaria per le ricerche di carattere storico sanitario”, sia la pubblicazione in Gazzetta Ufficiale del 12 Marzo 2013, con DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 3 dicembre 2013 , inerente le Regole tecniche in materia di sistema di conservazione ai sensi degli articoli 20, commi 3 e 5-bis, 23-ter, comma 4, 43, commi 1 e 3, 44 , 44-bis e 71, comma 1, del Codice dell’amministrazione digitale di cui al decreto legislativo n. 82 del 2005.
Affinché la cartella clinica elettronica mantenga nel tempo lo stesso valore probatorio di quella cartacea, si rende necessario ed indispensabile un corretto processo di conservazione digitale.
Per quanto concerne la correttezza dei processi di conservazione deidocumenti informatici, il Codice dell’Amministrazione Digitale stabilisce in modo chiaro che ogni documento, che per legge o regolamento deve essere conservato, può essere riprodotto e conservato su supporto informatico ed è valido a tutti gli effetti di legge (vedi art. 43, comma 1, del CAD che stabilisce che “I documenti degli archivi, le scritture contabili, la corrispondenza ed ogni atto, dato o documento di cui è prescritta la conservazione per legge o regolamento, ove riprodotti su supporti informatici sono validi e rilevanti a tutti gli effetti di legge, se la riproduzione e la conservazione nel tempo sono effettuate in modo da garantire la conformità dei documenti agli originali, nel rispetto delle regole tecniche stabilite ai sensi dell’articolo 71”, ovvero quelle da poco pubblicate e sopra citate, che sostituiranno in toto entro 36 mesi, la delibera CNIPA 11/2004. Da ciò si evince che tutti i sistemi informativi sviluppati secondo le normative e le metodologie previgenti, dovranno migrare su sistemi conformi alle nuove regole tecniche.
La riproduzione e relativa conservazione del documento, devono essere effettuate in modo da garantire la conformità dello stesso all’originale e la sua conservazione nel tempo. Inoltre, qualora il documento venga generato e prodotto in origine in modalità informatica, è obbligatorio che la conservazione permanente avvenga con modalità digitali (art. 43, comma 3, CAD).
Più in generale, la conservazione digitale può essere definita come quel procedimento che permette di assicurare la validità legale nel tempo a un documento informatico – inteso come rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti – o a un documento analogico digitalizzato.
Per entrare nel dettaglio, il significato che si deve attribuire al processo di conservazione digitale di un documento informatico, è quello di garantire allo stesso, già correttamente formato le caratteristiche di autenticità, immodificabilità nel tempo ed integrità, attraverso l’utilizzo degli strumenti del riferimento temporale e dellafirma digitale del Responsabile della conservazione.
Di seguito elenchiamo gli obblighi del Responsabile della conservazione, che, salva l’adozione delle misure di sicurezza prescritte dal D.Lgs. 30 giugno 2003 e succ. modif. (recante il “Codice in materia di protezione dei dati personali”), svolge i seguenti compiti:
– fornisce le necessarie indicazioni sulla generazione e sulla gestione delle copie di sicurezza o backup (numero, frequenza, formato, priorità, test di restore, etichettatura, incarichi e responsabilità);
– verifica la corretta funzionalità del sistema e dei programmi in gestione;
– adotta le misure necessarie per la sicurezza fisica e logica del sistema preposto al processo di conservazione sostitutiva e delle copie di sicurezza dei supporti di memorizzazione (custodia fisica; policy procedurali per coloro che sono autorizzati a prelevare e usare i backup; protezione logica tramite crittografia);
– definisce e documenta le procedure di sicurezza da rispettare per l’apposizione del riferimento temporale;
– verifica periodicamente, con cadenza non superiore a cinque anni, l’effettiva leggibilità dei documenti conservati provvedendo, se necessario, al riversamento diretto o sostitutivo del contenuto dei supporti).
Esplicitiamo di seguito questi due concetti/due nozioni di estrema:
con il primo termine si intende il trasferimento di uno o più documenti portati in conservazione da un supporto di memorizzazione a un altro, senza che venga alterata la loro rappresentazione informatica (classico è l’esempio dei “backup” o copie di sicurezza). Con il secondo, invece, il trasferimento comporta siffatta alterazione (in gergo informatico si usa anche il termine di “migrazione”), per es. per la necessità di un aggiornamento tecnologico dell’archivio informatico, laddove non sia possibile o conveniente mantenere il formato di rappresentazione dei documenti originariamente conservati. La differenza è estremamente significativa, poiche, mentre per il riversamento diretto la normativa non prevede particolari formalità, per il riversamento sostitutivo essa prevede l’intervento pur sempre del responsabile della conservazione che deve assicurare il corretto svolgimento del processo. Se il riversamento sostitutivo coinvolge poi documenti informatici sottoscritti, allora sarà ovviamente necessario l’intervento di un notaio o altro pubblico ufficiale che, apponendo la propria firma digitale, attesterà la conformità di quanto riversato al documento d’origine.
L’art. 3, comma 2, della deliberazione n. 11/2004 cit. prevede poi specifiche formalità per il riversamento sostitutivo di documenti informatici, processo che si rende necessario ed obbligatorio per riversare i documenti conservati con le metodologie della Delibera 11/2004, nelle indicazioni delle nuove regole tecniche: “Il processo di riversamento sostitutivo di documenti informatici conservati avviene mediante memorizzazione su altro supporto ottico e termina con l’apposizione sull’insieme
dei documenti o su una evidenza informatica contenente una o piu’ impronte dei documenti o di insiemi di essi del riferimento temporale e della firma digitale da parte del responsabile della conservazione che attesta il corretto svolgimento del processo. Qualora il processo riguardi documenti informatici sottoscritti, cosi’ come individuati nell’art. 1, lettera f), e’ inoltre richiesta l’apposizione del riferimento temporale e della firma digitale, da parte di un pubblico ufficiale, per attestare la conformita’ di quanto riversato al documento d’origine. ”.
In tema di riversamento sostitutivo, per quel che concerne tutte le problematiche inerenti all’apposizione della marca temporale e alla corretta individuazione del pubblico ufficiale, si rinvia a quanto sopra scritto.
Resta poi, ovviamente, salva, per il responsabile della conservazione, la possibilità di delegare i propri compiti a una o più persone che, per competenza ed esperienza, garantiscano la corretta esecuzione delle operazioni ad esse delegate nonché la possibilità di affidare il procedimento di conservazione sostitutiva, in tutto o in parte, in outsourcing, ossia a soggetti esterni, pubblici o privati. In tutti i casi devono essere messe in atto tutte le procedure ed i processi di compliance inerenti le nomine sistemiche anche in ambito D.lgs.196.03, come rafforzato dall’art. 7 comma 1 : “Il responsabile della conservazione opera d’intesa con il responsabile del trattamento dei dati personali, con il responsabile della sicurezza e con il responsabile dei sistemi informativi che, nel caso delle pubbliche amministrazioni centrali, coincide con il responsabile dell’ufficio di cui all’art. 17 del Codice, oltre che con il responsabile della gestione documentale ovvero con il
coordinatore della gestione documentale ove nominato, per quanto attiene alle pubbliche amministrazioni.” e come ben evidenziato dall’art. 12, titolato Sicurezza del sistema di conservazione : “1. Nelle pubbliche amministrazioni, il responsabile della conservazione, di concerto con il responsabile della sicurezza e, nel caso delle pubbliche amministrazioni centrali, anche con il responsabile dell’ufficio di cui all’art. 17 del Codice, provvede a predisporre, nell’ambito del piano generale della sicurezza, il piano della sicurezza del sistema di conservazione, nel rispetto delle misure di sicurezza previste dagli articoli da 31 a 36 del decreto legislativo 30 giugno 2003, n. 196 e dal disciplinare tecnico di cui all’allegato B del medesimo decreto, nonche’ in coerenza con quanto previsto dagli articoli 50-bis e 51 del Codice e dalle relative linee guida emanate dall’Agenzia per l’Italia digitale. Le suddette misure sono descritte nel manuale di conservazione di cui all’art. 8. 2. I soggetti privati appartenenti ad organizzazioni che gia’ adottano particolari regole di settore per la sicurezza dei sistemi informativi adeguano il sistema di conservazione a tali regole. Gli altri soggetti possono adottare quale modello di riferimento le regole di sicurezza indicate dagli articoli 50-bis e 51 del Codice e dalle relative linee guida emanate dall’Agenzia per l’Italia digitale. I sistemi di conservazione rispettano le misure di sicurezza previste dagli articoli da 31 a 36 e dal disciplinare tecnico di cui all’allegato B del Codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196.”
L’uso della firma digitale del responsabile della conservazione si rende necessaria per la validazione del processo di conservazione, rendendo immodificabile l’insieme dei documenti od il singolo documento affidati alla sua custodia e responsabilità, mentre la validazione temporale permette di determinare temporalmente in modo certo sia l’affidamento sia di estendere la validità dei certificati di firma digitale.
Come per i documenti informatici in generale, anche per i documenti appartenenti alla CCE si rende necessario sviluppare un processo che sia rispettoso dei parametri fissati dalle Regole tecniche già citate e pubblicate in Gazzetta Ufficiale.
In base dunque alle nuove regole tecniche, la conservazione digitale dei documenti informatici, anche sottoscritti (e la CCE ne è un chiaro esempio, essendo formata da documenti che, inoltre, possono essere sottoscritti con varie modalità e livelli di responsabilità e/o da più attori), deve ovviamente avvenire su supporti idonei alla conservazione e avrà come processo finale a chiusura del ciclo, l’apposizione sull’insieme dei pacchetti di archiviazione e distribuzione contenente i documenti di varia provenienza che la compongono (cartella di accettazione, referti, diario clinico, diario infermieristico,consensi informati eccetera), della firma digitale e della marca temporale a cura ed opera del Responsabile della conservazione, certificando, il corretto svolgimento del processo stesso.
Relativamente alla tempistica di conferimento al sistema di “archiviazione legale”, occorre distinguere i singoli documenti prodotti e/o firmati digitalmente, che andranno conservati nel più breve tempo possibile, e la cartella clinica nel suo complesso, che andrà conservata successivamente alla sua chiusura (a seguito della formazione della SDO). A prescindere dalla conservazione o meno dei singoli elementi prima della chiusura della cartella clinica completa, dovrà essere comunque garantita la reperibilità e la leggibilità di ogni singolo documento contenuto nella cartella stessa, attraverso un processo di indicizzazione e catalogazione delle informazioni affluite nel sistema di conservazione.
Il Responsabile della conservazione digitale deve, inoltre, garantire la totale e pronta tracciabilità di tutte le operazioni che vengono effettuate durante l’intero processo. Ciò permette, infatti, di agevolare le operazioni di controllo e verifica che possono essere richieste ed effettuate dagli organi preposti e di mappare in modo univoco l’iter percorso dal documento o dall’insieme dei documenti. In ambito CCE questo ha enorme valenza in quanto è requisito stesso della conservazione della CCE che consente, senza ombra di dubbio od incertezza alcuna, di risalire ai vari soggetti che si sono interfacciati al sistema informatico dell’azienda, ricordando quanto possa essere eterogenea sia l’origine dei documenti che la tipologia di soggetti che, a vario titolo firmano il documento nativo.
L’art. 44 del CAD elenca, poi, i requisiti minimi necessari che un sistema di conservazione deve garantire per la corretta conservazione dei documenti informatici, ossia:
a) l’identificazione certa del soggetto che ha formato il documento e dell’amministrazione
o dell’area organizzativa omogenea di riferimento di cui all’articolo 50, comma 4, del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445;
b) l’integrità del documento;
c) la leggibilità e l’agevole reperibilità dei documenti e delle informazioni identificative, inclusi i dati di registrazione e classificazione originari;
d) il rispetto delle misure di sicurezza previste dagli articoli da 31 a 36 del decreto legislativo 30 giugno 2003, n. 196, e dal disciplinare tecnico pubblicato in allegato B a tale decreto.
Inoltre, il successivo comma 1-bis dell’art. 44 del CAD prevede che ”Il sistema di conservazione dei documenti informatici è gestito da un responsabile che opera d’intesa con il responsabile del trattamento dei dati personali di cui all’articolo 29 del decreto legislativo 30 giugno 2003, n. 196 , e, ove previsto, con il responsabile del servizio per la tenuta del protocollo informatico, della gestione dei flussi documentali e degli archivi di cui all’articolo 61 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445 , nella definizione e gestione delle attività di rispettiva competenza”.
Prima di passare all’analisi di un preciso modello tecnico-organizzativo per la conservazione è utile riportare alcune specificazioni sul concetto di immodificabilità e integrità presenti nelle nuove regole tecniche sul documento informatico1.
Le nuove regole tecniche, al comma 1 dell’art. 3, dispongono che “In attuazione di quanto previsto dall’art. 44, comma 1, del Codice, il sistema di conservazione assicura, dalla presa in carico dal produttore di cui all’art. 6 fino all’eventuale scarto, la conservazione, tramite l’adozione di regole, procedure e tecnologie, dei seguenti oggetti in esso conservati, garantendone le caratteristiche di autenticita’, integrita’, affidabilita’, leggibilita’, reperibilita’”
Di particolare importanza è anche quanto previsto al comma 1 del sopracitato art. 3, il quale dispone che, ove non sia già presente, al documento informatico immodificabile debba essere associato un riferimento temporale (marca temporale), elemento che rientra comunque nell’elenco minimo dei metadati che devono essere associati al documento informatico immodificabile, insieme all’identificativo univoco e persistente, all’oggetto, al soggetto che ha formato il documento e all’eventuale destinatario.
A questo proposito è fondamentale fare un inciso: nel caso di documento informatico acquisito per via telematica o su supporto informatico, o acquisito tramite copia per immagine su supporto informatico di un documento analogico, o ancora mediante copia informatica di un documento analogico, le caratteristiche di immodificabilità e di integrità sono determinate da quelle che sono le operazioni di memorizzazione in un sistema di gestione informatica dei documenti che garantisca l’inalterabilità del documento o in un sistema di conservazione.
Nel caso di documento informatico formato tramite registrazione informatica delle informazioni risultanti da transazioni o processi informatici o dalla presentazione telematica di dati attraverso moduli o formulari resi disponibili all’utente, oppure mediante generazione o raggruppamento, anche in via automatica, di un insieme di dati o registrazioni, (provenienti da una o più basi dati, anche appartenenti a più soggetti interoperanti, secondo una struttura logica predeterminata e memorizzata in forma statica), le caratteristiche di immodificabilità e di integrità sono determinate dall’operazione di registrazione dell’esito della medesima operazione e dall’applicazione di misure per la protezione dell’integrità delle basi di dati e per la produzione e conservazione dei log di sistema, ovvero con la produzione di una estrazione statica dei dati e il trasferimento della stessa nel sistema di conservazione.
Da notare che oltre al documento sanitario-clinico, è infatti presente anche il singolo dato sanitario nei processi di gestione e creazione della cartella clinica. Per questo motivo, è auspicabile un passaggio, viste le nuove regole tecniche , ad una logica che permetta di conservare un contenuto o un singolo dato, oltre che un documento informatico generato o prodotto. La soluzione proposta inoltre permette di essere coerente con i processi di dematerializzazione, sia dal punto di vista tecnico e sia normativo, in quanto si basa sulla conservazione sia di documenti sia di un singolo contenuto o dato, come potrebbero essere ad esempio i dati del Diario Clinico o di quello infermieristico.
Implementazione tecnologico-organizzativa della conservazione della CCE (il modello OAIS)
E’ possibile scegliere differenti modelli per la creazione di un sistema di conservazione, purché siano rispettati i requisiti minimi richiesti dall’art. 44 del CAD citato.
Tra i vari modelli analizzabili, certamente il più interessante è il modello OAIS (Open Archival Information System). Tale modello costituisce lo standard ISO 14721 di riferimento per la certificazione dei depositi di conservazione. Tra l’altro lo standard OAIS è anche stato preso a modello per la redazione delle nuove regole tecniche per la conservazione.
La schematizzazione del modello OAIS, disegnata nella figura sottostante, è utile per comprendere quanto descritto successivamente nel presente documento.
In particolare nella figura sono illustratati i concetti di:
flussi di ingresso: i flussi dei pacchetti informativi (SIP: Submission Information Package) dalle applicazioni che generano i documenti (Producer) e da eventuali depositi intermedi, quali ad esempio il Repository;
sistema informatico di conservazione (Preserver) che si fa carico della conservazione dei documenti generati dai Producer, gestendoli in pacchetti informativi di archiviazione (AIP: Archival Information Package);
flussi di uscita, comprendenti le funzionalità e/o le applicazioni (Consumer) che consentono l’accesso ai documenti conservati. I DIP (Dissemination Information Package) sono i pacchetti informativi usati per la distribuzione.
Nell’ambito delle CCE, per capire come posizionare la conservazione è opportuno rifarsi al modello OAIS.
I documenti informatici clinici contenuti in una CCE sono generati da un Producer (Produttore) e sono destinati ad uno o più Consumer (Utenti). Al fine di tutelare il percorso assistenziale e le responsabilità degli operatori e dell’Azienda Sanitaria è opportuno che i documenti prima di essere consultati siano stati conservati o quanto meno siano stati presi in carico dal sistema di conservazione (questo al fine di non rallentare i tempi di fruizione che in ambito clinico potrebbero introdurre delle criticità assistenziali). Questo flusso conferisce ai documenti una sorta di “certificazione” Aziendale.
Dal punto di vista pratico e tecnico questa garanzia può avvenire implementando due possibili tipologie di flussi:
1. Producer – Preserver (presa in carico) – Repository – Consumer
2. Producer – Repository – Preserver (presa in carico) – Consumer; si tenga presente che anche in questo flusso il consumer agisce solo dopo il preserver o meglio solo dopo l’avvenuta presa in carica dei documenti nel sistema di conservazione
Non esiste in assoluto una scelta a priori. La tipologia di flusso da implementare, deve tener conto dello stato di informatizzazione corrente aziendale e delle sue necessità evolutive. In ogni modo le scelte devono considerare l’interoperabilità interna ed esterna a livello interaziendale, regionale, nazionale e internazionale.
L’obiettivo principale di un modulo di conservazione è quello consentire la conservazione a lungo termine dei documenti del repository documentale, in modo tale da garantire il mantenimento a lungo termine delle caratteristiche di integrità, autenticità, reperibilità, leggibilità, riproducibilità e trasferibilità. Inoltre, in conformità con quanto indicato dal modello OAIS, il modulo deve attuare la conservazione del documento non come la conservazione di un semplice oggetto informativo digitale, quanto di un pacchetto informativo costituito da informazioni di contenuto, informazioni di identificazione, informazioni di contesto, informazioni di provenienza, informazioni di stabilità, informazioni di pacchetto e dati descrittivi del pacchetto.
Supponiamo ora di dover sviluppare un modulo software conforme alle specifiche del modello OAIS e chiamiamo la piattaforma ipotetica da sviluppare proprio con questo modulo.
Il perno ovviamente di un archivio OAIS è il concetto di informazione, che nel sistema sanitario-clinico verrà rappresentata da una serie di dati, identificati dai documenti e dalle loro informazioni di rappresentazione all’interno del sistema e da una serie di documenti sanitari che dovranno essere gestiti singolarmente e non come un flusso documentale. La figura seguente, mostra la relazione del concetto di informazione vista proprio come un insieme di dati-oggetti:
Per conservare correttamente i dati del sistema sanitario-clinico e quindi le relative informazioni di interesse, sarà implementata una funzione di impacchettamento dell’intero Oggetto-dati e dei relativi documenti. In questo modo verrà a formarsi un pacchetto informativo che verrà individuato dal sistema grazie alle informazioni descrittive in esso conservate ed aggregate, come indicato dalla seguente figura :
Solo dopo che il contenuto dell’informazione è stato chiaramente definito sarà quindi possibile valutare la Descrizione delle informazioni sulla conservazione, in modo tale che si preservino le informazioni, garantendo l’identificazione certa del dato e del documento e da chi è stata creata l’informazione su quel specifico contenuto. Questa soluzione permette anche di risolvere il problema relativo alla migrazione dell’intero archivio informatico di conservazione verso nuove tecnologie o cambiamenti nella gestione, nella struttura dei dati e nel formato dei files/documenti.
L’interrogazione (query) dell’archivio informatico, avverrà per mezzo dello standard CMIS, integrato nel modello OAIS, seguendo il modello esposto in figura seguente:
Attraverso questo strumento di integrazione ovvero il CMIS Query, sarà possibile separare il contenuto informativo, dalle informazioni di conservazione (PDI), ambedue incapsulati e identificati dalle informazioni descrittive e soprattutto creare l’OAIS di conservazione-archiviazione.
Vediamo ora in dettaglio e per mezzo di un diagramma, come avviene praticamente la “cattura” delle informazioni-documenti da mandare in conservazione sostitutiva dalla piattaforma sanitario-clinico verso il modulo di conservazione digitale. Il pacchetto informativo digitale, ha tre diverse tipologie : pacchetto di versamento (SIP), inviato ad un OAIS da un Produttore; il pacchetto di archiviazione (AIP), conservato in un OAIS e derivato dalla trasformazione di uno o più pacchetti di versamento a scopo di conservazione a lungo termine; il pacchetto di distribuzione (DIP), invitato ad un Utente-Consumer da un OAIS.
Nella figura seguente, sono riportati tutte le interazioni attinenti alla conservazione dei documenti-informazioni-dati che il sistema sanitario-clinico invia al OAIS per permetterne la conservazione sostitutiva a lungo termine :
Tale architettura logica, ci permette di fare le seguenti analisi:
Le informazioni sulla conservazione sono l’insieme complessivo delle informazioni necessarie per la comprensione del contenuto informativo per un periodo di tempo indefinito; esso infatti deve includere le informazioni necessarie per conservare adeguatamente il particolare contenuto informativo al quale sono associate, garantendo che sia univocamente identificabile e che non abbia subito alterazioni. Avremo dunque quattro tipologie di PDI di conservazione : le informazioni sull’identificazione, che identificano gli attributi degli identificatori al contenuto informativo; le informazioni sul contesto, che documentano le relazioni tra il contenuto informativo e sanitario-clinico; le informazioni sulla provenienza, che forniscono e documentano le indicazioni sull’origine o sulla fonte del contenuto informativo, sui cambiamenti avvenuti dal momento della sua creazione e su chi ne ha curato la custodia sin dall’origine; le informazioni sull’integrità, che forniscono i controlli sull’integrità dei dati e le chiavi di validazione/verifica per garantire che il contenuto informativo non sia stato alterato.
Tutte le funzionalità sopra descritte verranno implementate nel sistema sanitario-clinico, proprio tramite la veicolazione ed integrazione dello standard CMIS sopra descritto, che dunque permetterà di conservare in maniera sostitutiva, non un semplice oggetto informativo digitale, ma anche e soprattutto l’intero pacchetto informativo prodotto e i rispettivi documenti clinici prodotti.
La soluzione proposta inoltre permetterà di fornire esaustive raccomandazioni che garantiscano che l’informazione archiviata nel modulo, resti accessibile sempre e comunque nel lungo termine anche qualora l’ambiente informatico d’origine diventi obsoleto.
Conservazione della CCE secondo l’OAIS: processi e procedure
Vediamo ora praticamente come potrebbe essere sviluppato un processo di conservazione della CCE.
Senza perderci in definizioni tecniche che sono comunque reperibili nelle bozze a questo link : http://www.agid.gov.it/sites/default/files/regole_tecniche/regole_tecniche_conservazione.pdf, vediamo un esempio pratico di conservazione del documento-dato informatico sanitario e dell’insieme cartella clinica elettronica.
Da notare che oltre al documento sanitario-clinico, è infatti presente anche il singolo dato sanitario nei processi di gestione e creazione della cartella clinica. Sebbene tecnicamente ed informaticamente sia comunque possibile conservare un contenuto o un singolo dato, per completezza di conservazione e per garantire rispondenza con le nuove regole tecniche nonché con la normativa, in questo contesto esamineremo la conservazione di uno o più documenti piuttosto che di un singolo contenuto-dato. Questa considerazione deriva anche dalla necessità , oltre ai fini della conservazione, che per ogni o più accadimento clinico sia sempre prodotto almeno un documento informatico. Anzi risulta necessario qualora si pensi ad esempio alla natura del referto medico. Tale soluzione inoltre permette di essere coerente con i processi di de materializzazione, sia dal punto di vista tecnico e sia normativo, in quanto la normativa attualmente in vigore si basa sulla conservazione di documenti, piuttosto che sulla conservazione del singolo contenuto o dato. Del resto la produzione di documenti è un processo quotidiano in qualunque clinica o struttura ospedaliera.
La cartella clinica elettronica, vista come un contenitore di diversi documenti e di diversa natura, dovrà essere dunque conservata secondo determinate tecniche e metodologie. In questo paragrafo supporremo, per semplicità e perchè già trattato da altri paragrafi della presente relazione, che tutti i documenti o un insieme di documenti siano già firmati digitalmente ed eventualmente marcati temporalmente. Per quanto concerne la firma digitale dei singoli documenti della cartella clinica elettronica, sebbene possano esistere dei documenti su cui non sia strettamente necessario apporre una firma digitale o ad esempio una firma elettronica avanzata, è sempre e comunque consigliabile firmare digitalmente tutti i documenti al fine di garantire integrità, qualità e robustezza del singolo documento. Risulta chiaro che per quei documenti per cui è prevista la firma digitale, come ad esempio un referto medico, tale firma debba essere riferita necessariamente alla persona, struttura o soggetto responsabile della redazione di quel documento; mentre per tutti gli altri documenti, in virtù delle considerazioni di cui sopra, la firma digitale potrebbe essere anche del Responsabile della Conservazione Sostitutiva. Sarà dunque opportuno inserire all’interno del Manuale del Responsabile della Conservazione, le descrizioni di processo delle varie tipologie di firme e dell’uso specifico. Sulla marca temporale invece, è importante fare la seguente considerazione : nella produzione del documento informatico clinico non sarà sempre necessario apporre una marca temporale, ma solo in quei casi in cui risulta necessario garantire un orario e una data opponibili a terzi. Questo comporta che all’interno della cartella clinica elettronica, siano presenti dei documenti sia con marca temporale sia senza. Di certo resta comunque necessario apporre la marcatura temporale alla chiusura della cartella clinica, prima del processo di conservazione e quindi anche sull’insieme di tutti i documenti che compongono la cartella.
Nella figura seguente, in considerazione di quanto esposto sopra, viene presentata una descrizione del processo di conservazione :
Da notare come nel grafico vengano richiamati le terminologie proprie dell’ OAIS e delle nuove regole tecniche in fase di emanazione, come il Volume di Conservazione (VdC) e l’Indice di Conservazione (IdC).
Per conservare i documenti oggetto della cartella clinica, si dovranno applicare le indicazioni fornite dallo standard UNI SinCRO 11386, per la creazione dell’evidenza informatica. L’allegato 4 delle bozze, richiama appunto lo standard UNI SinCRO, ma cambiando i nomi dei singoli componenti della struttura XML che formerà l’evidenza informatica. Per informazioni sullo standard UNI SinCRO 11386 e per comprendere come si definisce tecnicamente sia il Volume di Conservazione sia l’Indice di Conservazione, indicati in figura, si veda il paragrafo 3.6.5.
Ricordiamo infine che il flusso di cui sopra, dovrà sempre essere validato dal Responsabile della Conservazione, il quale dovrà cooperare con almeno le figure esposte nella figura seguente :
Difatti, la figura di cui sopra, riporta quanto già esposto dal paragrafo OAIS, ma chiarisce bene quali responsabilità sono definite sia in fase di conservazione, sia in quella di distruzione, nonché di produzione. Il Responsabile della Conservazione, è quindi la figura che governa l’intero processo di conservazione e se pur non avendo direttamente responsabilità sulla produzione della cartella clinica, dovrà colloquiare e collaborare con il produttore o i produttori della CCE, per garantire l’accettazione di quanto prodotto evitando notevoli rifiuti che potrebbero rallentare il processo di conservazione. In figura viene anche definito come Utente, qualunque soggetto adibito al controllo dei documenti conservati digitalmente o chiunque ne faccia esplicita richiesta al responsabile della conservazione sostitutiva.
La conservazione della CCE in outsourcing
La conservazione digitale è un processo complesso che richiede, per la sua realizzazione, strutture e competenze spesso non presenti all’interno dell’organizzazione a cui è richiesta la conservazione. Per tale motivo, il legislatore ha sempre esplicitamente ammesso la possibilità di affidare all’esterno parte o anche tutto il processo materiale di conservazione.
L’art.44-bis del CAD stabilisce che “Il responsabile della conservazione può chiedere la conservazione dei documenti informatici o la certificazione della conformità del relativo processo di conservazione a quanto stabilito dall’art. 42 e dalle regole tecniche ivi previste, nonché dal comma 1 ad altri soggetti, pubblici o privati, che offrono idonee garanzie organizzative e tecnologiche”.
La scelta relativa al se affidare o meno in outsourcing dev’essere attentamente valutata all’interno della struttura sanitaria che dovrà, inizialmente censire le proprie risorse umane e strutturali e, sulla base di questi risultati, valutare l’opportunità di affidare, anche solo in parte, il processo a soggetti esterni.
Già l’art. 5 della Deliberazione CNIPA riconosceva la possibilità dell’affidamento all’esterno così come l’art 44, comma 1-ter del CAD che, contestualmente, ha anche riconosciuto la possibilità che il titolare della documentazione da conservare, richieda, a soggetti terzi, la certificazione della conformità del proprio processo rispetto a quanto stabilito dall’art. 43 del CAD (Riproduzione e conservazione dei documenti) e dalle regole tecniche stabilite ai sensi dell’art.71 del codice medesimo.
In merito a questo profilo, il successivo art. 44 bis prevede che i soggetti pubblici e privati, che svolgono attività di conservazione dei documenti e di certificazione dei relativi processi, possano accreditarsi presso DigitPa per conseguire il riconoscimento del possesso dei requisiti di livello più elevato in termini di qualità e sicurezza. La naturale conseguenza di tale disposizione è quella di rendere processualmente più problematico il disconoscimento di una copia digitale sostitutiva di un originale analogico effettuata da un conservatore accreditato.
L’accreditamento presso DigitPa (che sulla base delle nuove regole tecniche sarà indispensabile per quei soggetti privati che intendano offrire i propri servizi di conservazione alla PA) dovrà essere richiesto rispettando sia quanto previsto dal CAD sia quanto successivamente previsto da una circolare (la 59 del 2012) emanata da DigitPA.
Per concludere questo rapido excursus sull’ousourcing, è da considerare il fatto che la tendenza ad esternalizzare, propria di questo momento storico, non debba mai fare dimenticare che, la decisione di utilizzare questa modalità, debba essere unita ad una grande attenzione dal punto di vista delle gestione delle responsabilità, della Business Continuity e della implementazione corretta di SLA coerenti.
Considerazioni sulla conservazione della CCE in Cloud
Per ciò che riguarda il cloud si ritiene non sia possibile adottare una logica di tipo cloud pubblico. Oltre alle criticità relative alla protezione dei dati personali, si evidenzia anche una scarsa sicurezza nella conservazione dei documenti sanitari e clinici in un cloud pubblico. Si ritiene invece che sia necessario, qualora sia scelta un’architettura IT in Cloud di tipo SaaS o semplicemente come Web Application, riferirsi al private cloud.
Il private cloud è un’architettura proprietaria che fornisce servizi di tipo hosted a un numero limitato di utenti dietro un firewall e un load balancer. Difatti gli sviluppi nella virtualizzazione e negli ambienti distribuiti hanno permesso agli amministratori delle reti aziendali e dei datacenter di diventare service provider in ottica cloud che soddisfano le esigenze dei clienti all’interno dell’azienda stessa. Il private cloud può essere adottato da un’azienda che desidera o ha bisogno di maggior controllo sui propri dati rispetto a quanto farebbe utilizzando un servizio di terze parti come Elastic Compute Cloud (EC2) di Amazon o Simple Storage Service (S3).
In ambito sanitario, visti i maggiori requisiti che devono essere garantiti in materia di protezione dei dati personali e di sicurezza, potrebbe essere adottata una tecnologia di questo tipo per la conservazione delle CCE a condizione che vengano rispettati almeno i seguenti requisiti fondamentali:
– utilizzare solo ed esclusivamente un cloud privato e quindi mai pubblico;
– rispettare gli standard fissati dalla normativa di settore;
– garantire la solidità tecnologica e di servizio nel tempo;
– consentire l’accesso ai dati, in entrata ed in uscita, in forma criptata, tipo PGP;
– implementare il processo di certificazione ISO 270001 o la ISO 20000:2005;
– implementare il processo di certificazione ISO/TS 21547:2010 per la gestione e la conservazione della cartella clinica elettronica e della documentazione sanitaria;
– applicare il cloud in reti privati e non reti pubbliche;
– verificare che la riservatezza dei dati memorizzati in cloud, sia adeguata per la tipologia
documentale trattata;
– avere una risorsa esperta nel cloud e non un sistemista di infrastrutture tradizionali;
– redigere uno SLA di riferimento adeguato solo per la nuvola;
– effettuare periodicamente e come indicato dalla normativa vigente, copie di backup anche al
di fuori della nuvola;
– virtualizzare solo e soltanto istanze cifrate dei propri application server;
– verificare la sicurezza dei meccanismi di clustering delle vostre applicazioni sulla nuvola;
– rendere persistenti i dati nella nuvola, per mezzo di storage a blocchi e snapshot cifrate.
In sintesi il procedimento di conservazione (non solo la parte tecnologica) deve garantire la conservazione dei documenti tenendo conto e governando il continuo e repentino cambio di tecnologie informatiche. Inoltre si deve tener conto che all’interno di un’Azienda Sanitaria i sistemi informatici clinici sono spesso molteplici per soddisfare esigenze di differenti branche cliniche e cambiano, versione o fornitore, molto più frequentemente rispetto al tempo di tenuta dei DCE da essi prodotti e sottoposti a conservazione.
E’ quindi importante approcciare la conservazione come quella “componente” che garantisce il patrimonio documentale dell’Azienda Sanitaria per i suoi fini strategici (assistenziali) prima ancora che un mero strumento di adempimento alla norma. Il procedimento di conservazione della CCE non può essere, quindi, avulso dalla tipologia dei documenti gestiti e dai processi clinici informatizzati: la conservazione è parte necessaria, importante della CCE ed é profondamente integrata alle altre componenti informatiche ed organizzative che gestiscono la CCE stessa.
Conservazione degli Studi Immagini Digitali
Un utile riferimento per approcciare il tema della conservazione degli Studi Immagini Digitali sono le “Linee Guida per la Dematerializzazione della Documentazione Clinica in Diagnostica per immagini – Normativa e Prassi” reperibile nell’ultima versione al link
http://www.statoregioni.it/dettaglioDoc.asp?idprov=10549&iddoc=35770&tipodoc=2&CONF=CSR
Si tratta di un documento molto interessante che offre moltissimi spunti per una corretta conservazione digitale. Purtroppo il documento non è stato mai definitivamente approvato e, quindi, potrà essere utilizzato solo come utile guida
L’indice di conservazione e la norma UNI SINCRO
Le regole tecniche per la conservazione a norma descrivono gli aspetti procedurali e indicano le responsabilità degli attori di questo processo, fornendo anche dettagli tecnici sulle modalità di rappresentazione dei dati e documenti oggetto di conservazione e contengono molte specifiche disposizioni mirate a conseguire o a promuovere forme d’interoperabilità.
La formulazione voluta dal legislatore mira a sostenere soluzioni a supporto dell’interoperabilità, soprattutto all’interno dei seguenti scenari:
evoluzione dei sistemi – I documenti archiviati devono in generale sopravvivere per molti anni, ben più dei sistemi hardware e software a cui sono affidati: l’assenza d’interoperabilità rende difficile e costosa la migrazione verso nuovi sistemi e soluzioni tecnologiche, vincolando di fatto i soggetti possessori di archivi digitali ai fornitori di servizi e alle loro scelte, con ciò limitando l’auspicabile fluidità delle dinamiche di mercato;
accesso ai documenti – La necessità di poter esibire (per esempio in sede giudiziale, o a scopo di consultazione da parte degli aventi diritto) i documenti conservati, ma anche un inderogabile requisito di un corretto processo conservativo: in assenza d’interoperabilità è inevitabile che la mera conformità degli archivi alle regole tecniche richieda laboriose perizie, non potendo fare affidamento su strumenti e standard di riferimento per accedere in modo intellegibile ai dati generati da applicazioni ad hoc.
Per rispondere a queste situazioni l’UNI, attraverso un’apposita commissione, ha promulgato lo standard “Supporto all’Interoperabilità nella Conservazione e nel Recupero degli Oggetti digitali (SInCRO)” (standard UNI 11386 – Ottobre 2010).
Per integrare il tema della conservazione sostitutiva in maniera coerente nel più ampio contesto della conservazione a lungo termine, sostenibile solo attraverso la definizione di modelli, strategie e pratiche archivisticamente corretti e adeguati a garantire la portabilità nel futuro degli oggetti contemporanei, nel rispetto della loro identità e del loro sistema di relazioni, va ricordato che la conservazione a lungo termine degli oggetti digitali dipende fortemente dal contesto entro cui gli oggetti sono immersi. Pertanto la piena comprensibilità degli oggetti digitali nel futuro dipende da molteplici fattori (tecnici, logici e organizzativi, in primis) che devono quindi essere descritti e documentati, pena la perdita di significato (parziale o totale) degli oggetti. La corretta conservazione a lungo termine implica cioè la descrizione sistematica e puntuale di formati, linguaggi, protocolli e, più in generale, di qualunque componente tecnologica funzionale alla comprensione degli oggetti digitali.
È quindi raccomandabile, in generale, ove possibile, conservare oggetti digitali in chiaro, non cifrati e non compressi, poiché tale strategia diminuisce il numero dei vincoli cui gli oggetti digitali sono soggetti e, conseguentemente, delle ulteriori componenti che occorre sottoporre a lunga conservazione. Viceversa, la conservazione a lungo termine di oggetti cifrati o compressi richiede la descrizione e/o documentazione delle tecniche di cifratura o di compressione adottate, onde garantire nel futuro la piena comprensibilità degli oggetti digitali.
Per analoghi motivi è altresì raccomandabile l’adozione di norme tecniche nazionali e internazionali, tanto nei processi di formazione e gestione degli oggetti digitali quanto nelle attività mirate alle loro conservazione, non solo per ovvi motivi d’interoperabilità, ma anche perché, in ragione della persistenza e diffusione di tali norme, i processi possono essere più facilmente documentati e descritti.
Ciò premesso è opportuno, quindi, che il sistema informatico di conservazione generi e gestisca Volumi di Conservazione in formato UNI SINCRO. Il Volume di conservazione (VdC) definito da UNI SINCRO è un’unità logica elementare, risultato finale di un processo di conservazione sostitutiva. Il VdC è composto logicamente da:
uno o più file ai quali si applica unitariamente il processo di conservazione sostitutiva;
l’indice di conservazione (IdC);
gli indici di conservazione antecedenti, se l’indice di conservazione attuale è stato originato da questi.
In aggiunta ai precedenti elementi, il VdC può contenere ulteriori componenti, per lo più con finalità di carattere gestionale. Per maggiori dettagli soprattutto sul formato del file IdC si rimanda allo standard medesimo.
Nella figura seguente è riportato uno schema descrittivo :
Relativamente alla tempistica di conferimento al sistema di “archiviazione legale”, occorre distinguere i singoli documenti prodotti e/o firmati digitalmente, che andranno conservati nel più breve tempo possibile, e la cartella clinica nel suo complesso, che andrà conservata successivamente alla sua chiusura (a seguito della formazione della SDO). A prescindere dalla conservazione o meno dei singoli elementi prima della chiusura della cartella clinica completa, dovrà essere comunque garantita la reperibilità e la leggibilità di ogni singolo documento contenuto nella cartella stessa, attraverso un processo di indicizzazione e catalogazione delle informazioni affluite nel sistema di conservazione.
A cura di Nicola Savino – http://www.nicolasavino.com