L’implementazione di un servizio di prenotazione web: l’esperienza di Cup 2000
Roma 31/01/2003
Lo stato attuale: l’integrazione tra Portale e Call Center
Roma 31/01/2003
“Prime disponibilità”: servizio web informativo anonimo che permette all’utente di informarsi in tempo reale sulle disponibilità delle prestazioni ricercate.
E’ un motore di ricerca che permette la consultazione su tutto il Cup Metropolitano Bolognese:
• 2300 prestazioni
• 3500 agende
• offerta: SSN, LPI, Privato
Roma 31/01/2003
“Prime disponibilità”: Ricerca della prestazione medica
Roma 31/01/2003
“Prime disponibilità”: conferma della prestazione
Roma 31/01/2003
“Prime disponibilità”: precisazioni relative a medico-luogo-contratto
Roma 31/01/2003
“Prime disponibilità”: precisazioni relative a medico-luogo-contratto Tabella dinamica per la scelta dell’area di erogazione
Roma 31/01/2003
“Prime disponibilità”: precisazioni relative a medico-luogo-contratto tabella dinamica per le modalità di erogazione
Roma 31/01/2003
“Prime disponibilità”: risultati della ricerca
Roma 31/01/2003
“Prime disponibilità”: informazioni sulla Unità Erogante Attesa Indirizzo Comune Orario di apertura Sabato lavorativo Età min , Età max Avvertenze
Come prenotare
Rete CUP M Farmacie CALL CENTER “Call me web”
Roma 31/01/2003
“Call me Web” l’interazione simultanea attraverso la voce e il web
tecnologia VoIP per la comunicazione dell’utente con il Call Center
la connessione vocale viene instaurata sulla medesima linea con cui gli utenti si connettono a Internet
è sufficiente microfono e cuffie/casse
è integrato nelle pagine web del Call Center e del servizio “Prime disponibilità”
Roma 31/01/2003
“Call me Web” integrato nel servizio “Prime disponibilità”
Roma 31/01/2003
Gli sviluppi futuri: la prenotazione web
Sistemi di prenotazione differenziati per le diverse categorie di utenza:
Domestica: dedicato ai cittadini per la prenotazione e la disdetta on-line. Include funzionalità limitate, sia in termini di quantità di prestazioni prenotabili (contemporaneamente o in un intervallo definito di tempo), sia nella possibilità di operare solo a nome dell’utente che ha effettuato il log-in.
Professionale: dedicato agli operatori con competenze nel campo sanitario, ma non necessariamente con competenze informatiche. Unisce la semplicità d’utilizzo del Web con le funzionalità avanzate di un sistema di prenotazione tradizionale. Le esigenze di sicurezza sono molto elevate, soprattutto per quanto riguarda l’autenticazione degli utenti.
Roma 31/01/2003
Prenotazione web “domestica”: tabella dei risultati
Roma 31/01/2003
Prenotazione web “domestica”: sintesi dati selezionati
Roma 31/01/2003
Prenotazione web “domestica”: login utente
codice personale
password
Roma 31/01/2003
Prenotazione web “domestica”: inserimento dati impegnativa Data e Codice
Roma 31/01/2003
Prenotazione web “domestica”: elenco date disponibili
selezione data
o visualizzazione delle prossime date
Roma 29/01/2003
Prenotazione web “domestica”: elenco orari disponibili
selezione orario
Roma 31/01/2003
La Sicurezza nella Prenotazione WEB
Roma 31/01/2003
Problematiche Principali
Roma 31/01/2003
1. Dati sensibili1. Dati sensibili
I dati sanitari sono dati sensibili: la legge obbliga ad adottare tutte le possibili
precauzioni per evitare l’intercettazione dei dati e l’accesso non autorizzato ai database.
Roma 31/01/2003
2. Importanza del servizio2. Importanza del servizio
E’ fondamentale un’autenticazione forte di colui che prenota, al fine di evitare “azioni di disturbo” (riempimento indiscriminato delle agende, prenotazioni senza impegnativa, prenotazioni a vuoto non annullate, …).
Roma 31/01/2003
3. 3. Servizio pubblico/di pubblica utilità Servizio pubblico/di pubblica utilità
E’ fondamentale l’affidabilità del sistema, sia in termini di disponibilità (24 ore su 24, 7 giorni su 7), sia in termini di resistenza ad
attacchi informatici (D.o.S., defacement, …).
Roma 31/01/2003
4. 4. Politiche di sicurezzaPolitiche di sicurezza
E’ necessario implementare delle corrette politiche di sicurezza, che devono
comprendere, oltre alle problematiche di natura informatica, anche quelle di natura
organizzativa.
Roma 31/01/2003
Possibili Soluzioni
Roma 31/01/2003
a. Sistema “sicuro”a. Sistema “sicuro”
Implementare una infrastruttura tecnologica “sicura”. In questo, il minimo indispensabile è il rispetto delle normative AIPA in merito di
sicurezza dei sistemi.
Roma 31/01/2003
b. Crittografiab. Crittografia
Utilizzo di sistemi di crittografia per impedire l’intercettazione dei dati.
Roma 31/01/2003
c. Firewallc. Firewall
Utilizzo di politiche di firewalling molto rigide per evitare il traffico non autorizzato.
Roma 31/01/2003
d. Aggiornamentod. Aggiornamento
Aggiornamento costante delle tecnologie, sia hardware che software, e revisione periodica
delle politiche di sicurezza (living documents).
Roma 31/01/2003
e. e. Autenticazione del prenotanteAutenticazione del prenotante
La soluzione ottimale sarebbe l’utilizzare sempre la firma digitale, ma è anche
possibile ipotizzare l’utilizzo di diversi livelli di autenticazione a seconda delle tipologie di
utente e del “grado di libertà”:
Utente “Professionale” (farmacista, medico, infermiere di reparto, etc.)
Utente “Home”
Roma 31/01/2003
Utente “Professionale”
Autenticazione tramite firma digitale, con possibilità di prenotare senza limitazioni
anche per utenti diversi.
Roma 31/01/2003
Utente “Home” (1)Autenticazione tramite username/password, con
forti limitazioni nell’utilizzo del sistema. In ogni caso, si dà la possibilità di prenotare solo per se stessi. Inoltre le limitazioni possono essere, per esempio,
nel numero di prestazioni prenotabili contemporaneamente, in un intervallo di tempo
definito tra due prenotazioni oppure nella tipologia di prestazioni prenotabili. Un’altra possibile limitazione
è data dal controllo formale del codice dell’impegnativa (se previsto dalla normativa
regionale).
Roma 31/01/2003
Utente “Home” (2)È anche importante che l’utilizzatore sia
chiaramente informato delle implicazioni legali che può portare un utilizzo non corretto del sistema.La password deve rispondere a caratteristiche di
complessità minime e non dovrebbe essere quindi liberamente scelta dall’utente.
Roma 31/01/2003
f. Responsabilizzazionef. ResponsabilizzazioneÈ comunque fondamentale responsabilizzare ogni
utente che detiene i codici per l’accesso al sistema. I codici devono poi essere distribuiti secondo
procedure “sicure”, quindi con una identificazione diretta dell’utilizzatore e con mezzi di distribuzione
fidati (non ci si può affidare alla distribuzione diretta via web o e-mail, ed anche la comunicazione
telefonica delle password dovrebbe essere evitata).
Roma 31/01/2003
g. Separazione dei datig. Separazione dei dati
Il software deve essere progettato in modo che durante la transazione non vengano mai inviati contemporaneamente dati sanitari e
dati anagrafici dell’utente.
Roma 31/01/2003
h. Log delle connessionih. Log delle connessioni
Per poter gestire gli eventuali incidenti, è comunque sempre necessario effettuare un logging completo delle operazioni effettuate sul sistema. Il log a sua volta deve essere
accuratamente protetto, in quanto costituisce in sé dato sensibile.
Roma 31/01/2003
Attenzione!Attenzione!La legge prevede che in caso di trattamento di dati
personali non sia sufficiente applicare le misure minime previste, ma sia necessario effettuare tutte
le operazioni possibili e teoriche per rendere sicuro il sistema (inversione del principio di presunzione di
innocenza). Pertanto è necessario prestare particolare attenzione agli aspetti di sicurezza del
sistema, in quanto, in caso incidente, si dovrà dimostrare di avere fatto tutto il possibile per
cautelarsi.
STOP STOP
Roma 31/01/2003
Roma 31/01/2003
SVILUPPI FUTURISVILUPPI FUTURI
Gli sviluppi futuri: le prescrizioni elettroniche MMG e PLS dopo aver compilato elettronicamente la prescrizione con il software in dotazione allo studio, la invieranno telematicamente (attraverso un bridging sw) alla propria azienda.
L’azienda utilizzerà le prescrizioni relative alla specialistica ambulatoriale a livello di CUP per non dover ridigitare i dati (riduzione del 35% circa del tempo di prenotazione). Le prescrizioni farmaceutiche potranno essere utilizzate per la verifica dei consumi effettivi (prescrizioni cartacee inviate dalle farmacie), potranno alimentare anche una base dati regionale in forma anonima ai fini di previsioni tendenziali di spesa.
MMG e dei PLS, avranno a disposizione per via telematica:• elenco degli assistiti che hanno scelto il medico• elenco delle prestazioni ambulatoriali prenotabili a Cup e relativa trascodifica • il prontuario farmaceutico aziendale, con le scelte effettuate dalla commissione terapeutica locale in modo che sia possibile individuare facilmente i farmaci generici e comunque i farmaci che presentano un miglior rapporto costi-benefici.
La possibilità di effettuare prenotazioni per gli esami urgenti con notifica immediata al medico dell'appuntamento e sarebbe a carico del paziente l'eventuale disdetta.
Roma 31/01/2003
Le prescrizioni elettroniche - architettura
Roma 31/01/2003
MMG/PLSMMG/PLS
Bridging
swstudio
MMG MMG AssocAssoc
Bridging
swstudio
Centro Centro RERRER
Bridging
swstudio
CittadinoCittadino
Browser
CUP/AuslCUP/Ausl
Porta Appl.
webserver
Intranet
Internet
Roma 31/01/2003
Adattatore (bridging sw) al sistema locale del medico (i sw utilizzati sono 4-5)
Modulo (uguale per tutti) di confezionamento e invio dei messaggi standard liberamente configurabile per la memorizzazione degli indirizzi (web services) a cui accedere
Le prescrizioni elettroniche – sw MMG/PLS
Creazione di un sito web per la compilazione on-line (compilazione sicura) delle prescrizioni da parte dei medici non informatizzati
Catalogo CUP on-line per prestazioni ambulatoriali
Catalogo farmaceutico on-line
Possibilità di vedere elenco prescrizioni effettuate
Roma 31/01/2003
Le prescrizioni elettroniche per MMG non informatizzati
Roma 31/01/2003
Evoluzione della prenotazione on line “Domestica” tramite la prescrizione elettronica - Vantaggi
Riduzione del tempo di prenotazione (minor numero di passaggi)
Maggior facilità nel compimento della prenotazione
Maggior garanzia e sicurezza per le Aziende e il Cup
Riduzione degli errori in fase di prenotazione sia per i cittadini che per gli operatori
Roma 31/01/2003
Evoluzione della prenotazione on line “Domestica” tramite la prescrizione elettronica - FASI
• Autenticazione: username, password, codice prescrizione (Token)
• Scelta della struttura e unità erogante
• Scelta di una data disponibile
• Scelta dell’orario disponibile in agenda
• Conferma e stampa del foglio di prenotazione
Roma 31/01/2003
L’infrastruttura tecnologica futuraL’infrastruttura tecnologica futura
Roma 31/01/2003
ASL, AO, Cup2000, etc.
DMZ
Web ServerPrima disponibilità
PRA
BRABRA
Web Server Prenotazione Domestica
DataBase Server
FARMACIEFARMACIECUPCUP
App. Layer Firewall
First Layer Firewall
FW HAFW HA
Sanità PrivataSanità Privata
Farmacie
Application Server
Internet
Roma 31/01/2003
Sicurezza infrastrutturaleSicurezza infrastrutturale• Ridondanza delle linee di trasmissione;• Ridondanza degli apparati (firewall ad alta
affidabilità, linee di collegamento tra i server);
• Reti separate per ambiti diversi (farmacie, sanità privata, ASL);
• DMZ con i server web prima disponibilità.
Roma 31/01/2003
Sistemi di sicurezzaSistemi di sicurezza• Il First Layer Firewall separa internet dalla rete interna e permette di accedere esclusivamente alla DMZ;• L’Application Layer Firewall separa la DMZ dalla rete interna e lascia passare solo le richieste dal Web server all’Application server;• I firewall HA gestiscono le politiche di sicurezza tra i diversi ambiti della rete.
Roma 31/01/2003
Politiche di sicurezza non tecnologichePolitiche di sicurezza non tecnologiche
E’ fondamentale l’educazione dell’utente alla sicurezza: gli utenti devono sapere che una parte della sicurezza dipende da loro e che sono perseguibili in caso di abusi volontari mirati al disturbo del servizio.
Roma 31/01/2003
Dott. Ing. Paolo PagnoniDott. Ing. Paolo [email protected]
Cup 2000 S.p.a.Cup 2000 S.p.a.via del Borgo di San Pietro 90/cvia del Borgo di San Pietro 90/c
Tel +39 051 4208411Tel +39 051 4208411www.cup2000.itwww.cup2000.it