IL MECCANISMO HONEST BROKER MANTIENE LA PRIVACY NELLO SCAMBIO DI DATI TRA STRUTTURE SANITARIE E CENTRI DI RICERCA MEDICA Andrew D. Boyd, Charlie Hosner, Dale A. Hunscher, Brian D. Athey, Daniel J. Clauw, Lee A. Green: An Honest Broker mechanism to maintain privacy for patient care and academic medical research. International journal of medical informatics 76 (2007) 407 411
INTRODUZIONE Dal giuramento di Ippocrate alla Dichiarazione dell Associazione Mondiale della Sanità di Ginevra, i medici hanno giurato di proteggere la privacy dei loro pazienti. Nonostante ciò quando un sistema si va ad integrare all interno di un architettura più complessa la protezione dei dati diventa più che una sfida. Questo è ciò che è avvenuto ai Sistemi Sanitari man mano che essi si sono informatizzati e digitalizzati. L aumento della complessità degli ambienti IT, l aggregazione di dati, la necessità che più soggetti accedano a questi dati 24h/giorno*7giorni/settimana*365giorni/anno mettono in serio pericolo la loro sicurezza. Questo è un problema comune a tutti i tipi di dati elettronici, da quelli relativi ai pazienti a quelli provenienti dai centri di ricerca medica.
INTRODUZIONE Con l introduzione dei computer all interno dei Sistemi Sanitari, i dati dei pazienti in formato cartaceo sono stati convertiti in formato elettronico. Fin dai primi tempi in cui i dati venivano memorizzati in formato digitale all interno di mainframe la sicurezza di questi è stato un problema rilevante. Dall utilizzo di mainframe isolati si è poi passati ad architetture client/server collegate in rete, in questo caso la sicurezza dei dati non veniva minata solamente da user non autorizzati presenti fisicamente nelle vicinanze del sistema ma anche da hacker collegati in rete attraverso un terminale qualsiasi. Questo ha introdotto una nuova serie di metodi per trattare gli EHR (electronic health records) in modo da garantirne la sicurezza e l inviolabilità.
BACKGROUND L opportunità di migliorare il servizio sanitario e potenziare la ricerca, utilizzando dati aggregati e condivisi attraverso tecnologie legate al networking è stata da sempre una prospettiva interessante per tutti gli esperti del settore. L aspetto maggiormente stimolante è che lo scambio di queste informazioni può portare un beneficio diretto alla salute dei pazienti mettendo in condivisione le esperienze e le conoscenze tra i vari centri sanitari e di ricerca.
BACKGROUND Sono stati sviluppati diversi progetti a livello nazionale ed internazionale di condivisione dei dati clinici, i principali sono: Healthgrid: Unione Europea National Health Information Network(NHIN): US Department of Health and Human Services (DHHS) National Electronic Clinical Trials and Research (NECTAR): US National Institutes of Health (NIH) Connecting for Health: UK
INTEGRAZIONE DATI SANITARI:CASE STUDY Lo studio ha preso in esame tre sistemi di memorizzazione di dati clinici diversi e un sistema di immagazzinamento di dati relativi al centro di ricerca: Clinfotracker (primary care system), M-STRIDES (dati centro psichiatrico), M-CORRP (dati clinica specializzata nella cura di patologie cardiovascolari) VELOS (dati relativi al centro di ricerca) l unione di questi sistemi ha permesso la creazione a livello territoriale di una rete chiamata Practice- Based Research Network (PBRN)
HONEST BROKER Per facilitare la comunicazione tra i vari componenti del sistema PBRN è stato sviluppato un metodo chiamato Clinical Research Information Fabric (CRIF), dove il componente centrale è l Honest Broker (HB) il quale ha il compito di condividere i dati in maniera sicura e appropriata.
HONEST BROKER L HB media i diversi sistemi, gestisce il trasferimento di dati e la memorizzazione dei personal health identifiers (ephi) per questi. Ogni paziente è rintracciato dal HB assegnando a questo un ID unico che lo lega, inoltre, ad un particolare sistema. Questa matrice permette il flusso da un sistema ad un altro; lo scambio che avviene non fa riferimento diretto al paziente. Si crea così un sistema che disaccoppia il dato clinico dal paziente.
SCHEMA GENERALE
SCAMBIO DI MESSAGGI TRA I SISTEMI Ogni freccia nella figura precedente rappresenta un messaggio tra I diversi sistemi; I dati vengono trasformati in un mesaggio XML, utilizzando lo standard HL7. il messaggio XML viene poi impacchettato in un messaggio SOAP (Simple Object Access Protocol) e trasmesso al secondo sistema, il quale una volta ricevuto estrae i dati con modalità inverse.
CASE STUDY Un esempio concreto dello studio ha riguardato un programma di monitoraggio della depressione. I pazienti rispondevano alle domande di un questionario (IVR) il quale aveva il compito di rilevare eventuali sintomi di malattie depressive, dopo di che questi dati venivano immagazzinati all interno del sistema M-STRIDES. M-STRIDES si connetteva poi con l HB per trasferire i dati al Clinfotracker e al Velos.
MECCANISMI DI SICUREZZA Un attacco portato con successo al sistema Velos può rivelare i dati relativi alle ricerche mediche ma non espone nessun dato identificativo. Inoltre un ulteriore attacco all HB rivelerebbe solamente nomi e ID arbitrari, non associati a dati clinici. Anche se il sistema fosse compromesso, la natura distribuita dei dati gioca un ruolo importante sulla sicurezza dei dati, in quanto lascia il tempo ad un amministratore di intercettare l attacco e neutralizzarlo.
MECCANISMI DI SICUREZZA Prima che la comunicazione avvenga I due sistemi si devono autenticare a vicenda, attraverso il protocollo SSL; l autenticazione viene fatta usando I certificati X.509, I quali vengono preinstallati sui sistemi che comunicano. Sia l HB che il sistema esterno devono identificare, autenticare e autorizzare gli altri sistemi prima che la trasmissione avvenga. Un altro aspetto da tenere in considerazione è la sicurezza fisica dei dati, i server sono alloggiati in stanze dedicate chiuse elettronicamente, in ambienti controllati dove solo il personale autorizzato può accedervi, sottoposti a continui processi di backup.
SVILUPPI FUTURI La natura dell HB è quella di immagazzinare solo le informazioni necessarie per identificare un determinato soggetto attraverso i sistemi, se l architettura complessiva dei sistemi dovesse aumentare di dimensioni e complicarsi potrebbe essere necessario creare una struttura cellulare, dove ogni cella è una sottostruttura a cui fa capo un singolo Honest Broker. La comunicazione tra le diverse sottostrutture potrebbe essere garantita attraverso un organizzazione gerarchica con sistemi di autenticazione a livello locale, regionale, nazionale o internazionale.
RACCOMANDAZIONI La prima raccomandazione riguarda la sicurezza del sistema e dello scambio dati, aspetto da tenere in considerazione fino dalle fasi preliminari di progettazione La seconda raccomandazione è quella di utilizzare tecnologie standard eventualmente software open source di cui si conosce l affidabilità La terza raccomandazione è quella di creare un sistema di sicurezza lineare e comprensivo in cui si potenziano gli elementi critici La quarta raccomandazione è di chiedere consulenza durante la progettazione ad esperti di sicurezza di sistemi informatici. La quinta raccomandazione è quella di creare un sistema flessibile in grado di evolversi a di adattarsi a cambiamenti futuri