Indice. 1 Introduzione

Transcript

1 LEZIONE L INFORMATICA IN MEDICINA: AMMINISTRATORE DI SISTEMA PROF. VITO TOMMASINI

2 Indice 1 Introduzione Caratteristiche delle reti I vantaggi che offrono le reti Server e Client Architettura del sistema Sicurezza del sistema Interfaccia utente Configurabilità del sistema Gestione dati Programmi di utilità Gestione magazzino Attività di reparto Chi sono gli amministratori di sistema I nuovi obblighi per chi vi è soggetto Chi è l amministratore di sistema? Gli adempimenti e la valutazione delle caratteristiche soggettive Le designazioni individuali L elenco degli amministratori di sistema I servizi di amministrazione affidati in outsourcing La verifica delle attività degli amministratori di sistema La registrazione degli accessi logici Sistemi informatici di gestione Conclusioni Bibliografia di 26

3 1 Introduzione Negli ultimi anni, lo sviluppo della tecnologia dei computer e della tecnologia delle telecomunicazioni hanno consentito la nascita delle reti informatiche. Le reti informatiche network è un termine generico con il quale si intendono le reti di computer. Una rete di computer è un insieme di computer, più o meno distanti, collegati tra loro al fine di scambiare delle informazioni. All'interno del mercato IT, nel settore della Sanità si avverte la tendenza ad un crescente utilizzo dell'ict (Information and communication technology) a supporto delle attività, in particolare, della ricerca medica, delle pratiche cliniche, della trasmissione dei dati e delle immagini, dell'assistenza ai cittadini-utenti, della teleassistenza e, più in generale, a supporto di tutti i processi manageriali e amministrativi, analizzando successivamente, il ruolo dell Amministratore di sistema in questo contesto. Il sistema informativo è costituito dall'insieme delle informazioni utilizzate, prodotte e trasformate da un'azienda durante l'esecuzione dei processi aziendali, dalle modalità in cui esse sono gestite e dalle risorse, sia umane, sia tecnologiche, coinvolte. Non va confuso con il sistema informatico, che indica la porzione di sistema informativo che fa uso di tecnologie informatiche e automazione. Anche se un sistema informativo può essere realizzato senza l uso del computer, l impiego di strumenti informatici ne ottimizza la gestione. L adozione di un sistema informatico comporta una ristrutturazione dell organizzazione del sistema informativo dovuta alla necessità di stabilire procedure, codifiche, schemi e programmi operativi ben definiti e standardizzati e l adozione di strumenti come il R.I.S., L.I.S., P.A.C.S., H.I.S. C.R. dove inserire, dati, nomi di farmaci, gestione cartelle cliniche, diciture, elaborazioni di immagini diagnostiche, referti, archivi, ecc. 3 di 26

4 2 Caratteristiche delle reti Una rete per funzionare in modo efficiente deve essere costituita da computer che utilizzano tutti le stesse modalità di trasmissioni dati. In particolare tutti i computer devono utilizzare lo stesso Protocollo. Il protocollo è un insieme di regole standard utilizzate per il trasferimento dati tra calcolatori. Per la trasmissione dati i computer eseguono una serie di operazioni prestabilite e sempre uguali, l insieme di queste operazioni è chiamato protocollo. Esistono vari tipi di protocollo: IP, TCP, UDP, FTP, HTTP, SMTP. Oltre a stabilire un preciso protocollo, è necessario che ogni computer sia provvisto di una scheda di rete (particolare unità periferica che abilita la comunicazione tra computer). A questo punto occorre scegliere come collegare i vari computer. Esistono, infatti, vari tipi di collegamento. Le più utilizzate sono le connessioni a stella, ad anello o a bus. La configurazione a stella è caratterizzata dal fatto che i calcolatori che compongono la rete fanno tutti riferimento ad una unità centrale (hub): tutti i dati trasmessi transitano attraverso l unità centrale. Nella configurazione ad anello, invece, non è necessaria un un unità centrale, in quanto ogni calcolatore è connesso ad un altro calcolatore, dando alla rete un forma circolare (ad anello). La IBM sviluppò una rete con questo tipo di configurazione che venne chiamata Token Ring. L ultima configurazione, quella a bus, è la più diffusa. In questo tipo di configurazione tutti i calcolatori sono connessi ad un unica linea principale (detta Bus). Facciamo un breve esempio affinchè tutta sia più chiaro: ipotizziamo che un calcolatore A voglia trasferire dei dati ad un calcolatore B. Prima di tutto il calcolatore A deve fare in modo che solo il calcolatore B riceva i dati, invierà perciò sul Bus un codice numerico. Tutti i computer connessi riceveranno questo codice ed eseguiranno le operazioni che con quel codice il computer A intendeva ordinare: tutti i computer devono disabilitarsi tranne il computer B. A questo punto inizieranno le operazioni di trasferimento dati direttamente sul BUS (tanto gli altri computer sono disabilitati!). Al termine delle operazioni di trasferimento verrà inviato dal computer A un altro particolare codice che determinerà la riattivazione di tutti i computer. Questo è il principio di funzionamento anche della comunicazione tra CPU e periferiche. Fino ad ora abbiamo considerato reti composte da soli computer, tuttavia in una rete, oltre ai computer, ci possono anche essere connessi altri dispositivi (es. Stampanti). 4 di 26

5 2.1 I vantaggi che offrono le reti Diversi sono i vantaggi che una rete di computer può offrire. Essendo in grado di collegare computer anche a grande distanza, sono di grande utilità a tutte quelle aziende o organizzazioni che hanno diverse sedi distribuite su un territorio molto vasto. E solo grazie alla rete informatica che sono in grado di scambiare dati in tempo reale. Questi collegamenti, inoltre, evitano che improvvisi guasti ostacolino il corso dei lavori. Se un dato 5 di 26

6 computer non funziona, io posso comunque accedere alle sue risorse attraverso un altro PC. Le reti di computer sono, inoltre, una comodità per coloro che viaggiano molto. Infatti attraverso un portatile ogni operatore si può collegare alla rete e svolgere le proprie mansioni come se fosse in sede. Tuttavia le reti non hanno portato solo benefici alle aziende. Anche i singoli individui, attraverso la rete, possono avere accesso ad informazioni remote (es. accesso a servizi bancari online, acquisti on-line con carta di credito). Inoltre ognuno di noi ora può comunicare a distanza con molta più facilità (posta elettronica, chat, videoconferenza). Per il divertimento è inoltre possibile giocare in rete (si organizzano ad ogni ora tornei tra persone di diversi paesi). Un punto debole delle reti, però, è la sicurezza. Riuscire a proteggere i dati condivisi è molto difficile. Inoltre nelle reti è molto più rapida la diffusione dei virus informatici (particolari programmi che puntano alla distruzione di dati). Le innovazioni diagnostiche e terapeutiche, combinate con il costante sviluppo della tecnologia dei microprocessori, hanno portato ad un notevole incremento delle informazioni raccolte nella medicina intensivistica dell anno duemila. L uso di apparecchiature complesse derivate dalla trasformazione di un computer è ormai diventato un fatto quotidiano per l intensivista-rianimatore. Sulla base di questi due inoppugnabili dati di fatto si capisce come ormai non abbia più senso discutere se utilizzare o meno l informatica in medicina; la discussione deve ora prendere in considerazione la gestione informatizzata di un Reparto o di un servizio sanitario come se fosse uno schema terapeutico o un procedimento diagnostico, e valutarne i pro e i contro per migliorarne l efficacia. Scopo della gestione informatizzata è innanzitutto quello di abolire tutte le informazioni cartacee, sostituendole con dati immessi, trattati ed elaborati in modo esclusivamente elettronico, per ottenere una cartella clinica ed altri programmi scientifici ed amministrativi completamente computerizzati. 2.2 Server e Client Ogni computer della rete mette in condivisione (a disposizione degli altri computer) delle risorse. Qualsiasi computer che voglia accedere alle informazioni condivise dovrà connettersi al 6 di 26

7 computer desiderato. Il computer che mette a disposizione di altri computer delle risorse è detto Server. Il computer invece, che accede alle risorse messe a disposizione di altri è detto Client. 7 di 26

8 3 Architettura del sistema La gestione informatizzata di un reparto o di un servizio richiede un sistema con diverse stazioni di lavoro che garantisca un elevato livello di ergonomicità, permettendo a vari operatori di accedere contemporaneamente e da più punti alle medesime informazioni. E quindi da prevedere l installazione di una rete locale con postazioni di lavoro ai letti dei malati distribuite secondo le caratteristiche architettoniche del reparto, ma comunque con un rapporto ottimale computer:letti 1:2, oltre a postazioni ausiliarie dislocate nei locali destinati ai medici e agli infermieri (centrale di monitoraggio, sala medici, studio primario, studio caposala, locale farmacia, diagnostiche). La rete locale deve essere corredata di periferiche quali stampanti, scanner, fax ed altri accessori utili alla importazione e alla esportazione dei dati. La stessa deve inoltre prevedere la possibilità di collegamenti con altre reti locali o con la rete ospedaliera, per lo scambio delle informazioni cliniche e amministrative. E utile che almeno una stazione di servizio della rete locale sia collegata ad Internet. Qualora, per questioni economiche o per particolari situazioni locali, ci si orienti per una stazione unica di lavoro, non si dimentichi la possibilità di espansione del sistema in un secondo tempo scegliendo prodotti che permettano comunque aperture verso periferiche esterne. 3.1 Sicurezza del sistema Sono ben note a tutti la delicatezza della gestione dei dati clinici e le implicazioni medico legali ad essa connesse per cui sono indispensabili dei sistemi di sicurezza per il trattamento dei dati clinici. La sicurezza elettrica della rete locale deve essere garantita da sistemi di stabilizzazione della alimentazione e da gruppi di continuità. La memoria dei dati deve essere assicurata da sistemi di back-up automatizzati che non interferiscano con la routine di lavoro, ma che siano comunque attivabili manualmente in caso di necessità. Un buon sistema informatico per la gestione di un reparto o servizio deve essere supportato da un contratto di manutenzione che assicuri un intervento celere e puntuale da parte del personale di assistenza tecnica. Per quanto riguarda la sicurezza dei dati un consiglio molto pratico, ma importantissimo è quello di chiudere il sistema ad altre applicazioni di uso comune (word processor, programmi di svago, ecc.); si eviterà così il possibile inquinamento da virus informatici o le manomissioni più o meno volontarie da parte del personale; inoltre l hardware che gestisce la cartella clinica computerizzata dovrebbe essere un hardware dedicato. La sicurezza medico-legale della cartella clinica può essere garantita con sistemi più o meno complessi, quali quelli già in uso presso altri settori lavorativi ad elevata informatizzazione, e 8 di 26

9 che siano stati già validati e codificati dalla legislazione vigente. Qualunque sia il sistema utilizzato, password, tessere magnetiche, firma digitale, riconoscimento delle impronte digitali, bisogna tener conto di alcuni aspetti peculiari del lavoro in terapia intensiva. Il sistema di sicurezza può essere attivato in due momenti precisi: all inizio di ogni sessione di lavoro, oppure ad ogni salvataggio dei dati immessi o delle procedure effettuate. Nel primo caso occorre che il sistema stesso sia disattivato al termine della sessione per non permettere l ingresso di un utente al posto del titolare dell accesso: la disattivazione può essere manuale, ma richiede quindi un ulteriore comando, o temporizzata, ma richiede la definizione a priori dei tempi di collegamento. Nel secondo caso, il salvataggio personalizzato al termine di ogni azione richiede un tempo che può essere particolarmente lungo in alcune sessioni (prescrizione della terapia, immissione dei dati numerici) e comunque non consente la differenziazione degli accessi alle informazioni. Il ricorso a mezzi di protezione personale (guanti, camici monouso, ) e le caratteristiche epidemiologiche tipiche di una terapia intensiva (pazienti infettivi, manovre invasive ) possono limitare l impiego di alcuni dei sistemi di sicurezza, sino a renderli non applicabili in questo campo. D altro canto, oltre ad avere una valenza medico-legale, i sistemi di sicurezza garantiscono la possibilità di selezionare gli utenti e il loro ambito d azione all interno della cartella clinica a seconda delle competenze: medici e infermieri del reparto, medici consulenti, personale amministrativo, studenti e specializzandi, ricercatori. L organizzazione di un reparto, in cui sia presente un sistema informatizzato per la raccolta dei dati clinici, deve prevedere una serie di procedure d emergenza in caso di malfunzionamento o interruzione vera e propria del sistema medesimo. Va stabilita una priorità di chiamate e di interventi per ovviare agli inconvenienti: avvisare il responsabile di reparto, l amministratore di sistema, l ufficio tecnico e la Direzione sanitaria che attiveranno l assistenza tecnica. Per il periodo in cui non si potrà accedere al programma si dovrà continuare a lavorare su supporti cartacei, identici alle pagine elettroniche, che saranno stati preparati in precedenza proprio per questo tipo di evenienze. 3.2 Interfaccia utente L interfaccia utente riveste un ruolo fondamentale per quanto riguarda l ergonomicità e di conseguenza l accettazione di un software da parte dell utilizzatore. L interfaccia della cartella clinica informatizzata deve essere semplice ed uniforme nelle varie schermate per poter accelerare i tempi di apprendimento e di utilizzo da parte degli utenti. Non bisogna dimenticare che gli utenti provengono da culture differenti, sono di età diverse, con differenti esperienze ed interessi, ed infine 9 di 26

10 i reparti dei degenti sono con maggiore turn-over di personale. Un interfaccia Windows -like con uniformità tra le schermate del programma permette un più facile approccio alle varie operazioni e una diminuzione dei tempi di apprendimento. Lo sfruttamento delle barre di menu con messaggi di aiuto e la presenza di tasti di passaggio rapido ne è un tipico esempio. D altro canto bisogna diminuire la possibilità di errori limitando alcune funzionalità degli standard dei sistemi operativi oggi in vigore, vale a dire impedire ad es. l iconizzazione delle finestre che spesso nel personale meno esperto genera confusione e smarrimento. L omogeneizzazione delle schermate permette un automatizzazione delle operazioni e sicuramente mette a proprio agio anche gli utenti meno esperti di informatica e più riluttanti all uso dei sistemi computerizzati. 3.3 Configurabilità del sistema Allo stato attuale sono solo alcuni reparti in Italia che utilizzano quotidianamente una cartella clinica totalmente informatizzata. Nella maggior parte dei casi si tratti di centri che hanno sviluppato tale programma in casa o in collaborazione con le aziende produttrici di software o di apparecchiature elettromedicali, e di conseguenza all interno del reparto esistono uno o più medici con un grado di competenza informatica ben superiore alla media dei loro colleghi. Nei reparti dove i programmi informatizzati sono stati acquisiti dalle industrie senza alcuna forma di collaborazione nello sviluppo occorre quindi che il programma stesso sia modificato di volta in volta secondo le esigenze locali. Solitamente tale configurazione viene allestita al momento dell acquisizione o della implementazione, ma spesso occorre apportare delle modifiche in tempi successivi ed in momenti particolari; allo stesso modo occorre che il programma clinico sia accessibile ai medici per poter risolvere piccoli inconvenienti temporanei. E quindi indispensabile che la configurabilità sia garantita in ogni momento e ciò si attua creando tra i medici del reparto un amministratore del sistema o super-utente; il produttore del software delega al super-utente la possibilità di accedere a settori del programma quali la gestione degli utenti e dei loro codici, la gestione del database dei farmaci, dei presidi e di tutte le voci codificate seconde le scelte e le esigenze del reparto, la gestione delle ricerche e delle statistiche e qualsiasi altra azione di tipo clinico o gestionale. Appare perciò intuitivo che il superutente deve essere un medico con un livello di conoscenza informatica particolare e con una presenza costante e cospicua nell organizzazione dei turni di lavoro. In ultima analisi il sistema deve risultare efficiente nell accesso ai dati da parte degli utilizzatori esperti e di facile apprendimento per i neofiti. 10 di 26

11 4 Gestione dati I dati che vanno a far parte di una cartella di TI sono tipicamente divisi in dati clinici e dati amministrativi. I dati clinici sono quelli che più specificatamente vengono utilizzati per la diagnosi e il trattamento del paziente (dati misurati, dati calcolati, informazioni cliniche e terapeutiche). Per dati amministrativi si intendono quelli relativi alla gestione del reparto. La gestione di entrambi i tipi di dati prevede una serie di problematiche che non vanno assolutamente sottovalutate. Nell ottica di una sostituzione completa della cartella cartacea con lo strumento informatico appare improponibile definire un set minimo di dati da inserire nel programma; il sistema deve essere in grado di gestire tutta la messe di dati che possono interessare un paziente accolto in un reparto o un servizio. Ogni valore deve essere corredato di controlli per ciò che riguarda i limiti di realtà e di allarme in modo da limitare gravi errori di immissione dei dati. I parametri devono inoltre prevedere, dove possibile, l acquisizione in linea dal monitoraggio del paziente o da altri reparti come il laboratorio collegandosi alla rete ospedaliera. Tutti i valori di parametri derivati devono essere calcolati in modo automatico senza appesantire il lavoro del medico o dell infermiere. Deve essere sempre possibile anche il controllo del valore tramite la manipolazione e l immissione manuale per correggere eventuali artefatti, errori delle rilevazioni automatiche o delle archiviazioni precedenti, il tutto tenendo memoria delle correzioni. Tutti i dati numerici devono poter essere rappresentati in forma grafica, da soli o in relazione con altri trend, per studi più sofisticati sull andamento nel tempo delle modificazioni quantitative dei parametri medesimi. I grafici devono essere gestibili per ciò che riguarda le scale di riferimento e gli intervalli di tempo. L organizzazione in tabelle dei vari dati dovrebbe essere modificabile a piacere da parte dell utente: ordinare i parametri secondo l ordine degli output di laboratorio facilita l eventuale immissione manuale, l ordinamento per funzione d organo permette una visione più logica dei vari parametri. La gestione dei dati deve garantire una facile e veloce creazione di report e poter generare files per l elaborazione di funzioni statistiche. Un ultima osservazione sull acquisizione dei dati di monitoraggio e di laboratorio è quella che se da una parte l immissione automatica sembra essere sicuramente la procedura da privilegiare per semplicità e velocità, dall altra l immissione manuale è quel metodo che più dell altro facilita la memorizzazione delle informazioni da parte dell utente e questo non è un fatto da sottovalutare. L automatizzazione dell immagazzinamento dei dati inoltre non può prescindere da un controllo a posteriori della bontà delle operazioni. Esiste poi la problematica legata ai dati di tipo testuale, non numerico, quelli per intendersi relativi all ananmesi, 11 di 26

12 all esame obiettivo, alle visite specialistiche, ai referti e alle note e diari clinici. L archiviazione di questo tipo di notizie è quella che sicuramente impegna maggiormente l utente in termini di tempo: bisogna che il programma sia in grado di snellire il più possibile questo tipo di lavoro e che in un secondo tempo sia in grado di recuperare le medesime informazioni. E necessaria quindi una meticolosa preanalisi di tutti le possibili voci in modo da proporre una serie di scelte multiple già preconfezionate nei relativi campi di immissione. Soltanto in questo modo sono possibili una più rapida compilazione e recupero dei dati. Per quanto riguarda l archiviazione dei referti, dei diari o delle note cliniche allo stato attuale non si vedono alternative valide alla semplice digitazione da tastiera. I sistemi di riconoscimento vocale non sono ancora così affidabili da costituire un mezzo di ausilio in questo senso, inoltre, considerato il gran numero di avvicendamenti di personale durante la giornata, il loro utilizzo attualmente non sembra proponibile. La gestione della terapia è forse il capitolo più complesso tra quelli inerenti la cartella clinica computerizzata. Riportare il modo di agire quotidiano del medico o dell infermiere a livello informatico implica soluzioni di programmazione molto complesse e la maggior parte dei prodotti in commercio non riesce tuttora a soddisfare a pieno le esigenze degli utenti. Gestire bene la terapia vuole dire poter eseguire ripetizioni delle terapie dei giorni precedenti, sospendere e aggiornare in qualsiasi momento ordini già dati, poter visionare la terapia in base ad ordinamenti differenti (per orario, tipo di farmaco, nome commerciale), poter gestire il bilancio idrico in automatico controllando lo stato delle infusioni programmate. Va previsto un collegamento al repertorio farmaceutico con la possibilità di avere in linea dei suggerimenti terapeutici per quanto riguarda indicazioni e modalità di impiego oppure supporti per disposizioni standardizzate e/o piani di terapia personalizzabili. La terapia gestita in questo modo e la presenza di calcolatori di infusioni permettono al medico un lavoro più preciso e quindi una qualità di assistenza migliore. La base di dati dovrebbe risiedere su archivi in un formato esportabile per garantire il colloquio con applicazioni esterne, ma gestibile con sistemi di protezione. La rielaborazione dei dati comprende la possibilità che il programma esegua delle ricerche su tutti i parametri desiderati. Il poter eseguire delle ricerche sui dati immagazzinati nell archivio rappresenta il vero plus dei programmi informatici. Per questo motivo l implementazione del programma deve prevedere una serie di ricerche preconfezionate concordate tra la software house e i dirigenti del reparto. I risultati delle ricerche devono poter essere salvabili ed esportabili in ambienti statistici. 12 di 26

13 5 Programmi di utilità Uno degli innegabili vantaggi insiti nella cartella clinica informatizzata è quello di avere a disposizione in ogni postazione un insieme di informazioni altrimenti difficili da raggiungere. La rete locale di reparto dovrebbe infatti avere al suo interno alcuni programmi di utilità: è infatti possibile accedere a testi scientifici, a fonti bibliografiche, a programmi di statistica, a programmi per la scrittura di testi o a fogli elettronici direttamente dal letto del paziente. Inoltre è possibile redigere protocolli terapeutici e linee guida interni consultabili da ogni postazione di lavoro. Programmi di utilità indispensabili per una moderna gestione di una terapia intensiva sono sicuramente quelli che consentono la ricerca dei codici nosologici, delle procedure diagnostiche e degli interventi chirurgici (ICD9 CM). Logicamente questi programmi, che possono essere inseriti ed aggiornati nel programma di reparto solo dall amministratore del sistema, devono essere mantenuti ben distinti dal programma della cartella clinica, per evitare che errori nel funzionamento dei programmi di utilità interferiscano con il funzionamento della cartella clinica stessa. Per questo motivo, e per questioni di sicurezza informatica e medico-legale, si ritiene opportuno evitare di inserire nella rete di reparto l accesso indiscriminato ad Internet, riservando questa opzione solo ad alcune postazioni filtrate e attivabili solo da parte di utenti autorizzati. 5.1 Gestione magazzino Il lavoro in un reparto prevede l impiego di un gran numero di farmaci, presidi monouso e apparecchiature elettromedicali, che vengono forniti dai vari settori di approvvigionamento ospedaliero e che vanno conservati e mantenuti in modo adeguato. Avendo informatizzato la cartella clinica diventa perciò interessante disporre di un sistema informatizzato, in collegamento con la cartella clinica stessa, che sia in grado di gestire il magazzino e la strumentazione del reparto e di analizzare i costi. Purtroppo un tale programma per essere realmente utile richiede una unità del personale interamente dedicata al trattamento dei dati: carico e scarico, controllo delle scorte e delle scadenze, verifica delle manutenzioni e delle revisioni, aggiornamento dei prezzi, calcolo dei costi, il tutto con una perfetta sincronizzazione tra il programma della terapia intensiva e quelli degli altri centri di elaborazione dati, ospedalieri ed esterni. 13 di 26

14 5.2 Attività di reparto Nell ottica di eliminare le informazioni cartacee dal lavoro quotidiano del personale di un reparto occorre tener presente che spesso il lavoro quotidiano non viene svolto solo entro le mura o sui pazienti del reparto stesso: le consulenze, le urgenze-emergenze, le procedure invasive e i trasporti interospedalieri richiedono la partecipazione di medici ed infermieri del servizio e come tali vanno registrate nell ambito delle attività non programmate, sia per scopi clinici ed epidemiologici, che per scopi amministrativi ed economici. Sarebbe dunque opportuno che la rete locale fosse dotata anche di un programma di gestione di tali attività, fermo restando che tale programma non dovrebbe in alcun modo essere in comunicazione con la cartella clinica di reparto. 14 di 26

15 6 Chi sono gli amministratori di sistema Nell immaginario collettivo, l amministratore di sistema è la persona incaricata dal Titolare di gestire e occuparsi della manutenzione dei sistemi informativi aziendali, sia a livello hardware che software. La definizione data dal Garante però, pur comprendendo anche questa tipologia di servizio, incorpora anche altre mansioni aziendali quali, nello specifico, le persone che gestiscono i database aziendali o i sistemi ERP. Con questo tipo di definizione, perciò, sono ricompresi anche semplici dipendenti, quali i responsabili dell ufficio del personale ad esempio, che normalmente hanno poco a che fare con il mondo informatico. Va però osservato che non tutti i titolari o tutte le aziende dispongono di un amministratore di sistema. Nelle aziende con un solo dipendente o in tutte le realtà piccolo-medio aziendali in cui è il Titolare stesso ad occuparsi della gestione dei propri sistemi operativi (eventualmente limitandosi, di volta in volta, a chiamare occasionalmente dei tecnici per l assistenza o la riparazione) i nuovi adempimenti sono esclusi. È importante osservare che il nuovo provvedimento non impone di nominare un amministratore di sistema: se c è va gestito con le nuove regole del Garante, ma se non c è non è necessario nominarlo (e, in questo caso, non si è soggetti ai nuovi adempimenti). È inoltre prevista la possibilità, oggi assai diffusa, che l amministratore di sistema di un azienda esista ma non sia un dipendente dell azienda stessa. In questo caso, gli obblighi sono fortemente semplificati e si riducono alla semplice compilazione e conservazione di una lista di nominativi. 15 di 26

16 7 I nuovi obblighi per chi vi è soggetto Per chi ha uno o più amministratori di sistema esterni, cioè dipendenti di altre aziende che forniscono servizi all azienda, l obbligo si riduce alla compilazione e conservazione della lista di tutti i nominativi preposti al ruolo di amministratore di sistema per conto dell azienda. Null altro. Per chi, invece, ha degli amministratori di sistema propri dipendenti, invece, le cose si complicano sensibilmente. I nuovi obblighi, in sintesi, sono quattro: Elenco amministratori di sistema: devono essere censiti tutti i sistemi aziendali (le reti locali, gli apparati di sicurezza, i sistemi operativi, i database e gli ERP) con cui vengono gestiti, nell azienda, i dati personali di dipendenti, clienti e fornitori. Devono poi essere gestiti tutti gli amministratori incaricati di gestire e occuparsi della manutenzione degli strumenti informatici visti sopra. Il tutto dev essere inserito in un documento cartaceo che dev esser continuamente aggiornato. Seppur la normativa non lo preveda esplicitamente, appare raccomandabile di attribuire data certa, mediante auto prestazione, a tale documento. Nomina degli amministratori di sistema: tutti gli amministratori censiti ed inseriti nel documento al punto 1 devono ricevere un idonea lettera di nomina (contenente, nello specifico, l elenco dei sistemi e delle attività di competenza) che dovrà essere sottoscritta dal dipendente e conservata dal Titolare. Verifica annuale: i Titolari, a partire dal 15 dicembre, sono obbligati ad effettuare un attività di sorveglianza e verifica sull operato dei propri amministratori di sistema. Questo, nello specifico, si traduce nella necessità di redigere, almeno una volta all anno, un documento di report in cui viene data evidenza di tale attività, firmata dal Titolare sotto la propria responsabilità. In assenza di ulteriori proroghe, questo documento dovrà essere redatto entro il 15 dicembre Registrazione degli accessi: mentre gli adempimenti visti ai punti precedenti si traducono essenzialmente nella redazione, per quanto tediosa, di nuovi documenti da scrivere e conservare, il vero nocciolo della questione riguarda gli aspetti di natura prettamente tecnica, questi sono riconducibili a due requisiti: Registrazione dei login degli Amministratori di Sistema: tutti gli accessi ai sistemi censiti al punto 1 da parte dei soggetti nominati amministratori come previsto al punto 2 devono essere registrati in maniera automatica dal sistema. Dev essere rilevata l identità dell amministratore che ha effettuato l accesso, i riferimenti temporali (data e ora) e la descrizione dell evento che le ha 16 di 26

17 generate (login, logout, errore di sistema, ecc ) e quale linea di comunicazione o terminale sia stato utilizzato dall amministratore per effettuare l accesso. Per alcuni sistemi operativi (Windows Server, ad esempio) o alcuni database (SQL Server, ad esempio) questa funzione è già disponibile, ma nella stragrande maggioranza dei casi è necessario acquistare ed istallare nuovi software dedicati in grado di fare ciò che viene richiesto dal Garante. Il problema, però, è che ad oggi non esiste un software universale in grado di rispondere esaustivamente a tutti i requisiti del Garante, perché la struttura di un sistema informativo e delle basi di dati di un azienda possono variare in grande misura da un Titolare all altro. Esistono molte soluzioni, offerte da varie società informatiche, ma tutte vanno inevitabilmente confrontate con la propria realtà aziendale. Conservazione ed inalterabilità dei file di log: i file che contengono i dati richiesti al punto precedente devono essere immodificabili e conservati per un periodo non inferiore ai sei mesi. Non si tratta però di un requisito particolarmente preoccupante, perché il Garante ha precisato che, come misura minima ma sufficiente per adempiere al provvedimento è richiesta solo l esportazione periodica dei file di log su supporti non riscrivibili. È sufficiente, insomma, fare una copia periodica, almeno mensile, dei file di log visti sopra su CD, che dovrà essere conservato in condizioni di ragionevole sicurezza per almeno sei mesi. 17 di 26

18 8 Chi è l amministratore di sistema? Il Codice non ha incluso l amministratore di sistema tra le proprie definizioni normative (sebbene detta figura fosse già disciplinata dal D.P.R. 318/99, successivamente abrogato). In assenza, dunque, di una nozione giuridica di amministratore di sistema, cosa deve intendersi con tale locuzione? Il Garante sul punto è inequivoco, e propone una definizione che si discosta da quella tecnica. Ed invero, mentre in ambito informatico l amministratore di sistema è quel soggetto incaricato della gestione e della manutenzione di un impianto di elaborazione (o di sue componenti), ai fini legali sono considerati tali anche altri soggetti, equiparabili al primo dal punto di vista della sicurezza dei dati personali. Ci si riferisce, in particolare, agli amministratori di basi di dati, agli amministratori di reti e di apparati di sicurezza, nonché degli amministratori di applicativi complessi9, che, in quanto tali, presentano profili di criticità rispetto alla protezione dei dati personali. Non rientrano, invece, nella nozione di amministratore di sistema coloro che intervengono sugli elaboratori solo occasionalmente (per esempio, a scopo di manutenzione). L indicazione (fornitaci dall Authority) viene spesso ripresa dagli outsourcers, che, in forza della sporadicità dei loro interventi (specie nelle aziende di piccola e media dimensione), affermano di non poter essere identificabili come amministratori di sistema. Non ci sentiamo, in verità, di condividere detta chiave di lettura. Se agli outsourcers l impresa ha affidato la gestione del proprio sistema (o di parte di esso), l identificazione dei loro tecnici come amministratori di sistema non può essere fondatamente negata. 18 di 26

19 9 Gli adempimenti e la valutazione delle caratteristiche soggettive In ragione della criticità del ruolo di amministratore di sistema, la relativa designazione deve avvenire previa valutazione dell esperienza, dalla capacità e dell affidabilità dell incaricato. La regola, che impone all azienda di attenersi a criteri di selezione equipollenti a quelli richiesti per la nomina dei responsabili del trattamento, non ammette deroghe: il titolare dovrà, quindi, vagliare attentamente le qualità (tecniche, professionali o di condotta) del soggetto individuato, anche in considerazione delle responsabilità, specie di ordine civile e penale10, che possono conseguire ad una designazione inidonea o incauta. La natura fiduciaria delle mansioni affidate non viene meno allorchè le funzioni proprie dell amministratore di sistema (o parte di esse) vengano esternalizzate, secondo una prassi assai diffusa in ambito aziendale. Non è, dunque, inopportuno sottolineare che la selezione dell outsourcer deve essere compiuta con particolare rigore e che la scelta dovrà necessariamente ricadere su soggetti alle cui dipendenze operino, quali amministratori di sistema, persone aventi le caratteristiche richieste Le designazioni individuali E obbligo designare individualmente i singoli amministratori di sistema, a mezzo di un atto che deve elencare partitamente gli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato. Ciò che il Garante intende evitare è, dunque, l attribuzione di ambiti non sufficientemente definiti, analogamente a quanto richiesto dal comma 4 dell art. 29 del Codice in relazione ai responsabili del trattamento. 9.2 L elenco degli amministratori di sistema I titolari sono tenuti a riportare in un documento interno gli estremi identificativi delle persone fisiche amministratori di sistema, con l elenco delle funzioni ad esse attribuite. Qualora gli amministratori, nell espletamento delle proprie mansioni, trattino (o, semplicemente, possano trattare, anche in via fortuita) dati personali dei lavoratori, questi ultimi hanno diritto di conoscere l identità dei predetti. 19 di 26

20 In tal caso, è fatto onere all azienda di rendere noto12 ai lavoratori dipendenti detto loro diritto. Sono possibili diverse modalità: a mezzo dell informativa resa agli interessati ai sensi dell art. 13 del Codice o tramite il disciplinare interno relativo all utilizzo del sistema informatico o mediante altri strumenti di comunicazione interna (per esempio, l intranet aziendale) o, ancora, avvalendosi di procedure formalizzate, attuabili ad istanza del lavoratore. 9.3 I servizi di amministrazione affidati in outsourcing Il Provvedimento richiede che, nel caso in cui i servizi di amministrazione di sistema siano esternalizzati, l elenco di cui al punto che precede sia conservato, indifferentemente, dal titolare o dal responsabile esterno del trattamento (id est, dall outsourcer). L opzione (invero non prevista dal Garante prima della modifica del Provvedimento del 25 giugno 2008) risponde a criteri di buon senso, atteso che per l azienda può essere molto disagevole recuperare il predetto elenco. Giova, comunque, rilevare una distonia tra la prescrizione in esame (lett. d) del Provvedimento) e l indicazione di cui si è detto al paragrafo 2.3 (lett. c) del Provvedimento). Ed invero, mentre la lettera c) prescrive che l elenco degli amministratori di sistema sia conservato presso il titolare (siano essi amministratori interni o meno, poiché nulla è previsto in relazione ai servizi in outsourcing), la lettera d) consente che l elenco sia tenuto anche dal solo responsabile esterno, come già osservato. Riteniamo che l antinomia tra i due precetti sia frutto di una mera svista del Garante, che, dopo aver modificato la lettera d), non si è curato di intervenire parimenti sulla lettera c), introducendo un opportuna clausola di riserva La verifica delle attività degli amministratori di sistema Allo scopo di contrastare la diffusa sottovalutazione, da parte dell azienda, dei rischi derivanti da eventuali azioni incontrollate degli amministratori di sistema, il Provvedimento introduce verifiche ispettive a carico del titolare o del responsabile esterno. L operato degli amministratori di sistema, infatti, deve essere oggetto di verifica, con cadenza almeno annuale, per acclarare che le attività svolte dall amministratore siano in effetti conformi alle mansioni attribuite. 20 di 26

21 9.5 La registrazione degli accessi logici Accanto agli oneri di cui ai paragrafi che precedono (di ordine prettamente organizzativo ), all azienda è richiesta anche l adozione di un importante misura di carattere tecnico: la registrazione degli accessi logici degli amministratori di sistema. Il Provvedimento, in particolare, prescrive l impiego di sistemi idonei alla registrazione degli accessi logici da parte degli amministratori ai sistemi di elaborazione e agli archivi elettronici. Ciascun amministratore, quindi, deve poter essere identificato. Va da sé che la cattiva prassi di utilizzare un unico user-name (di norma admin, o simili) condiviso tra tutti gli amministratori non è in linea con le disposizioni del Provvedimento. In verità, l anzidetto comportamento costituisce violazione, ad un tempo, del Provvedimento e delle regole dell Allegato B al Codice (il quale richiede che ciascun incaricato sia dotato di credenziali di autenticazioni univoche). Le registrazioni si precisa devono comprendere i riferimenti temporali e la descrizione dell evento che le ha generate. L indicazione appare tutt altro che esaustiva e, al cospetto di detta previsione, molte imprese sono disorientate. Che fare, dunque, in concreto? Chiariamo, da subito, che, nel contesto che ci occupa, per access log si intende la registrazione degli eventi generati dal sistema di autenticazione informatica a sistemi di elaborazione o di reti o a sistemi gestionali di basi di dati (c.d. DBMS ) o ad archivi elettronici. Trattasi di evidenze informatiche generate all atto dell accesso (o del tentativo di accesso) ad un sistema o all atto della disconnessione da esso. Per espressa indicazione del Garante, dette devono contenere, oltre che i riferimenti allo username impiegato, anche informazioni relative alla data e all ora dell evento (time stamp), unitamente ad una sintetica15 descrizione dell evento medesimo (sistema di elaborazione o software utilizzato, qualificazione dell evento come log-in, log-out o condizione di errore ). Ferme le criticità che precedono, il periodo del Provvedimento che dà luogo alle maggiori perplessità operative è, tuttavia, il seguente: Le registrazioni devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. 21 di 26

22 Quale completezza e, soprattutto, quale inalterabilità e quale integrità il log deve, quindi, possedere? Il quesito è di centrale rilevanza: se, per esempio, a garanzia dell inalterabilità e dell integrità si individuassero dei livelli di robustezza rigorosi, le aziende sarebbero sicuramente onerate di aggravi economici significativi (conseguenti all impiego della firma digitale e della marca temporale in fase di conservazione dei log). Il Garante è opportunamente intervenuto sul punto, precisando che non vi è alcuna pretesa di instaurare in modo generalizzato un rigoroso regime di registrazione degli usage data dei sistemi informativi. E stato, anzi, specificato che il requisito dell inalterabilità dei log può essere ragionevolmente soddisfatto con la strumentazione software già in dotazione alle aziende, e con l eventuale esportazione periodica dei dati dei log su supporti di memorizzazione non riscrivibili. Solo in casi più complessi (da valutare in rapporto alle condizioni, organizzative e operative, della struttura) i titolari potranno ritenere di adottare sistemi più sofisticati, quali i log server centralizzati e certificati. Ci sentiamo di condividere tale impostazione, che, peraltro, riteniamo aderente al dato letterale del Provvedimento. Detto, infatti, non richiede che il log sia inalterabile di per sé, ma, piuttosto, esso deve possedere caratteristiche di inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Scopo che, nel caso di specie, è (unicamente) quello, minimale, di verificare anomalie nella frequenza degli accessi e nelle loro modalità (orari, durata, ecc.) (così, testualmente, il Garante). Giova sottolinearlo: il Provvedimento non prescrive misure di polizia nei confronti dell attività compiuta dagli amministratori di sistema. L operato di questi ultimi, infatti, deve essere oggetto di analisi nel rispetto del principio di proporzionalità (art. 11 del Codice), oltre che, in relazione agli amministratori di sistema interni all azienda, anche della regola di condotta di cui all art.4 L.300/70. Nessun margine di errore, peraltro, è ammesso in relazione alla tempistica di conservazione dei log, imposta per un congruo periodo, comunque non inferiore a sei mesi. 22 di 26

23 10 Sistemi informatici di gestione HIS (Hospital Information System): gestisce le informazioni comuni per tutte le attività dell ospedale (accettazione, dimissione pazienti, giorni di ricovero, archivi per le codifiche comuni, gestione della cartella clinica, gestione della scheda di dimissione ospedaliera, statistiche di attività, gestione magazzini ecc). RIS/LIS (Radiology/Laboratory Information System): ha la funzione di provvedere alla raccolta, alla gestione e alla distribuzione delle informazione prodotte nel reparto di radiologia o laboratorio analisi (prenotazione / accettazione / esecuzione / refertazione/ archiviazione referti / statistiche sui carichi di lavoro / aspetti logistici/ stato apparecchiature ecc. PACS (Picture Archiving and Communication Systems): è deputato alla distribuzione, visualizzazione, gestione, modifica, archiviazione e riproduzione delle immagini digitali prodotte in radiologia. 23 di 26