Regolamento recante modifiche ed integrazioni del decreto 27 ottobre 2000, n. 380 e successive modificazioni, concernente la scheda di dimissione [...]
| Settore: | Normativa nazionale |
| Materia: | 86. Sanità |
| Capitolo: | 86.11 sanità pubblica |
| Data: | 07/12/2016 |
| Numero: | 261 |
| Sommario |
| Art. 1. Modifiche al decreto ministeriale 27 ottobre 2000, n. 380 |
| Art. 2. Integrazione e aggiornamento delle informazioni contenute nella scheda di dimissione ospedaliera |
| Art. 3. Responsabilità e modalità di compilazione e conservazione della scheda di dimissione ospedaliera |
| Art. 4. Oneri informativi delle regioni e delle province autonome |
| Art. 5. Utilizzo delle informazioni sui prestatori di assistenza sanitaria |
| Art. 6. Interconnessione e codice cifrato |
| Art. 7. Disciplinare tecnico |
| Art. 8. Documentazione complementare |
| Art. 9. Tempi di applicazione |
§ 86.11.402 - D.M. 7 dicembre 2016, n. 261.
Regolamento recante modifiche ed integrazioni del decreto 27 ottobre 2000, n. 380 e successive modificazioni, concernente la scheda di dimissione ospedaliera.
(G.U. 7 febbraio 2017, n. 31)
IL MINISTRO DELLA SALUTE
Visto il
Visto l'articolo 4, comma 4, del
Vista la
Visto l'articolo 15, comma 25-bis, del
Visto l'articolo 35 del
Visto il
Visto il
Visto il decreto del Ministro della sanità 28 dicembre 1991, pubblicato nella Gazzetta Ufficiale 17 gennaio 1992, n. 13, con il quale è stata istituita la scheda di dimissione ospedaliera, quale strumento ordinario per la raccolta delle informazioni relative ad ogni paziente dimesso dagli istituti di ricovero pubblici e privati esistenti sul territorio nazionale;
Visto il decreto del Ministro della sanità 26 luglio 1993, pubblicato nella Gazzetta Ufficiale 3 agosto 1993, n. 180, concernente la «Disciplina del flusso informativo sui dimessi dagli istituti di ricovero pubblici e privati»;
Vista la circolare del Ministero della sanità n. 900.2/2.7/190 del 14 marzo 1996, in materia di «Registro operatorio» e la successiva nota integrativa del 18 febbraio 1997;
Visto il
Visto l'Accordo quadro sancito, ai sensi dell'articolo 4 del decreto legislativo 28 agosto 1997, n. 281, nella seduta del 22 febbraio 2001 dalla Conferenza permanente per i rapporti tra lo Stato, le regioni e le Provincie autonome di Trento e di Bolzano, tra il Ministro della sanità, le regioni e le Province autonome di Trento e Bolzano, per lo sviluppo del Nuovo sistema informativo sanitario nazionale (rep. atti n. 1158 del 22 febbraio 2001);
Visto il decreto del Ministro della salute 14 giugno 2002, con cui è stata istituita la Cabina di Regia per lo sviluppo del Nuovo Sistema Informativo Sanitario nazionale (NSIS);
Visto l'articolo 3, comma 5, dell'Intesa 23 marzo 2005, sancita, ai sensi dell'articolo 8, comma 6, della
Visto l'Accordo, sancito, ai sensi dell'articolo 4 del decreto legislativo 28 agosto 1997, n. 281, nella seduta del 29 aprile 2010 (rep. atti 64/CSR del 29 aprile 2010) dalla Conferenza permanente per i rapporti tra lo Stato, le regioni e le Province autonome di Trento e di Bolzano, tra il Governo, le regioni e le Province autonome di Trento e Bolzano, concernente l'aggiornamento delle linee guida per la codifica delle informazioni cliniche della scheda di dimissione ospedaliera (SDO), di cui all'Accordo Stato-Regioni del 6 giugno 2002 rep. atti 1457;
Considerata l'esigenza che la raccolta delle informazioni avvenga in modo omogeneo ai fini della validità e comparabilità dei dati e degli indicatori, anche per una corretta applicazione del «Sistema di garanzie per il monitoraggio dell'assistenza sanitaria», di cui al decreto del Ministro della salute, di concerto con il Ministro dell'economia e delle finanze, 12 dicembre 2001, pubblicato nella Gazzetta Ufficiale della Repubblica italiana del 9 febbraio 2002, S.O. n. 34;
Considerato che la scheda di dimissione ospedaliera, integrata ed interconnessa con gli altri sistemi informativi del Servizio sanitario nazionale (SSN) assume funzioni primarie come strumento per il monitoraggio e la valutazione del SSN, anche ai sensi dell'articolo 11, comma 4, del citato
Visti i verbali delle sedute della Cabina di regia per lo sviluppo del Nuovo sistema informativo sanitario del 21 maggio 2013, del 9 luglio 2013 e del 24 marzo 2015, in merito all'approvazione dell'aggiornamento della scheda di dimissione ospedaliera (SDO) con l'integrazione dei campi concernenti l'adeguamento del contenuto informativo della SDO alle esigenze di valutazione e monitoraggio della programmazione sanitaria e con l'individuazione della relativa tempistica;
Ritenuto, quindi, di dover aggiornare il contenuto informativo della scheda di dimissione ospedaliera, il relativo flusso e le relative regole di compilazione e codifica di cui al citato decreto del Ministro della sanità n. 380 del 2000, anche ai sensi dell'articolo 11, comma 4, del citato
Acquisito il parere del Garante per la protezione dei dati personali, reso in data 26 marzo 2015 (registro dei provvedimenti n. 178) ai sensi dell'articolo 154, comma 4, del
Acquisito il parere della Conferenza permanente per i rapporti tra lo Stato, le regioni e le Province autonome di Trento e di Bolzano nella seduta del 20 gennaio 2016, rep. atti n. 9/CSR;
Udito il parere del Consiglio di Stato, espresso dalla Sezione consultiva per gli atti normativi nell'adunanza del 24 marzo 2016;
Visto l'articolo 17, comma 3, della
Acquisito il parere dell'Ufficio legislativo del Ministro per la semplificazione e la pubblica amministrazione in data 3 novembre 2016, prot. 384/16/UL/P;
Vista la comunicazione al Presidente del Consiglio dei ministri, ai sensi dell'articolo 17, comma 3, della
Adotta
il seguente regolamento:
Art. 1. Modifiche al
1. All'articolo 1 del
«Art. 01 (Finalità). - 1. Il presente decreto integra le informazioni relative alla scheda di dimissione ospedaliera (SDO) e disciplina il relativo flusso informativo al fine di adeguare il contenuto informativo della scheda di dimissione ospedaliera (SDO) alle esigenze di monitoraggio, valutazione e pianificazione della programmazione sanitaria, anche in considerazione degli orientamenti definiti dalla normativa dell'Unione europea.
2. Il presente decreto indica le finalità di rilevante interesse pubblico perseguite; in particolare dispone anche che il trattamento dei dati acquisiti sia funzionale a:
a) supportare i processi di «programmazione, gestione, controllo e valutazione dell'assistenza sanitaria», (come individuato all'articolo 85, comma 1, lettera b), del
b) perseguire le finalità relative ai trattamenti effettuati per scopi statistici dai soggetti pubblici che fanno parte del SISTAN e ai trattamenti effettuati per scopi scientifici (articolo 98, comma 1, lettere b) e c) del
c) consentire una rilevazione sistematica a scopi epidemiologici.».
Art. 2. Integrazione e aggiornamento delle informazioni contenute nella scheda di dimissione ospedaliera
1. All'articolo 1 del
«1. La scheda di dimissione ospedaliera si compone delle seguenti sezioni:
A. la sezione prima, che contiene le informazioni anagrafiche di seguito riportate:
1) codice istituto di cura;
2) numero progressivo della scheda SDO;
2-bis) numero progressivo scheda SDO della puerpera;
3) cognome e nome del paziente;
4) sesso;
5) data di nascita;
6) comune di nascita;
6-bis) livello di istruzione;
7) stato civile;
8) comune di residenza;
9) cittadinanza;
10) codice identificativo del paziente;
11) regione di residenza;
12) ASL di residenza;
B. la sezione seconda, che contiene le informazioni del seguente elenco, la cui numerazione riprende e prosegue la numerazione dell'elenco di cui alla precedente lettera A):
1) codice istituto di cura;
2) numero progressivo della scheda SDO;
13) regime di ricovero;
13-bis) data di prenotazione;
13-ter) classe di priorità;
14) data di ricovero;
14-bis) ora di ricovero;
15) unità operativa di ammissione;
16) onere della degenza;
17) provenienza del paziente;
18) tipo di ricovero;
19) traumatismi o intossicazioni;
19-bis) codice causa esterna;
20) trasferimenti interni;
20-bis) trasferimenti esterni;
20-ter) unità operativa trasferimento esterno;
21) unità operativa di dimissione;
22) data di dimissione o morte;
22-bis) ora di dimissione o morte;
23) modalità di dimissione;
24) riscontro autoptico;
25) motivo del ricovero in regime diurno;
26) numero di giornate di presenza in ricovero diurno;
27) peso alla nascita;
28) diagnosi principale di dimissione;
28-bis) diagnosi principale di dimissione presente al ricovero;
29) diagnosi secondarie di dimissione;
29-bis) diagnosi secondarie presenti al ricovero;
30) intervento principale;
30-bis) intervento principale esterno;
30-ter) data intervento principale;
30-quater) ora inizio intervento principale;
30-quinquies) identificativo chirurgo intervento principale;
30-sexies) identificativo anestesista intervento principale;
30-septies) check list sala operatoria intervento principale;
31) interventi secondari;
31-bis) interventi secondari esterni;
32) data intervento secondario;
33) ora inizio intervento secondario;
34) identificativo chirurgo intervento secondario;
35) identificativo anestesista intervento secondario;
36) check list sala operatoria intervento secondario;
37) rilevazione del dolore;
38) stadiazione condensata;
39) pressione arteriosa sistolica;
40) creatinina serica;
41) frazione eiezione.».
Art. 3. Responsabilità e modalità di compilazione e conservazione della scheda di dimissione ospedaliera
1. Il comma 2 dell'articolo 2 del
«2. Fermo restando che, ai sensi dell'articolo 1, comma 2, del decreto del Ministro della sanità 28 dicembre 1991, la scheda di dimissione ospedaliera costituisce parte integrante della cartella clinica, di cui assume le medesime valenze di carattere medico-legale, comprensive dell'obbligo di conservazione della documentazione cartacea o di suo equivalente documento digitale, e che tutte le informazioni contenute nella scheda di dimissione ospedaliera devono trovare valida e completa documentazione analitica nelle corrispondenti cartelle cliniche, la compilazione della scheda di dimissione ospedaliera e la codifica delle informazioni in essa contenute sono effettuate nel rigoroso rispetto delle istruzioni riportate nel disciplinare tecnico allegato, costituente parte integrante del presente decreto.».
Art. 4. Oneri informativi delle regioni e delle province autonome
1. All'articolo 3 del
a) al comma 1 la parola «trimestrale» è sostituita con «mensile»;
b) il comma 3 è sostituito dal seguente:
«3. Le regioni e le province autonome inviano al Ministero della salute, fra quelle riportate all'articolo 1, comma 1, le sottoelencate informazioni, che costituiscono debito informativo nei confronti del livello centrale. La trasmissione dei dati è effettuata esclusivamente in modalità elettronica, nell'ambito del Nuovo sistema informativo sanitario, attenendosi alle indicazioni riportate nel disciplinare tecnico allegato al presente decreto e secondo le specifiche funzionali pubblicate sul sito internet del Ministero della salute (www.nsis.ministerosalute.it):
1) codice istituto di cura;
2) numero progressivo della scheda SDO;
2-bis) numero progressivo scheda SDO della puerpera;
4) sesso;
5) data di nascita;
6) comune di nascita;
6-bis) livello di istruzione;
7) stato civile;
8) comune di residenza;
9) cittadinanza;
10) codice identificativo del paziente;
11) regione di residenza;
12) ASL di residenza;
13) regime di ricovero;
13-bis) data di prenotazione;
13-ter) classe di priorità;
14) data di ricovero;
14-bis) ora di ricovero;
15) unità operativa di ammissione;
16) onere della degenza;
17) provenienza del paziente;
18) tipo di ricovero;
19) traumatismi o intossicazioni;
19-bis) codice causa esterna;
20) trasferimenti interni;
20-bis) trasferimenti esterni;
20-ter) unità operativa trasferimento esterno;
21) unità operativa di dimissione;
22) data di dimissione o morte;
22-bis) ora di dimissione o morte;
23) modalità di dimissione;
24) riscontro autoptico;
25) motivo del ricovero in regime diurno;
26) numero di giornate di presenza in ricovero diurno;
27) peso alla nascita;
28) diagnosi principale di dimissione;
28-bis) diagnosi principale di dimissione presente al ricovero;
29) diagnosi secondarie di dimissione;
29-bis) diagnosi secondarie presenti al ricovero;
30) intervento principale;
30-bis) intervento principale esterno;
30-ter) data intervento principale;
30-quater) ora inizio intervento principale;
30-quinquies) identificativo chirurgo intervento principale;
30-sexies) identificativo anestesista intervento principale;
30-septies) check list sala operatoria intervento principale;
31) interventi secondari;
31-bis) interventi secondari esterni;
32) data intervento secondario;
33) ora inizio intervento secondario;
34) identificativo chirurgo intervento secondario;
35) identificativo anestesista intervento secondario;
36) check list sala operatoria intervento secondario;
37) rilevazione del dolore;
38) stadiazione condensata;
39) pressione arteriosa sistolica;
40) creatinina serica;
41) frazione eiezione.».
c) il comma 4 è sostituito dal seguente:
«4. Le regioni e le Province autonome di Trento e di Bolzano inviano le schede di dimissione ospedaliera contenenti le sole informazioni di cui al comma 3, esclusivamente in modalità elettronica, in due tracciati distinti, di seguito indicati: Tracciato A - che contiene le informazioni di carattere anagrafico; Tracciato B - che contiene le informazioni relative al ricovero. I dati anagrafici e sanitari sono, quindi, archiviati separatamente e i dati sanitari sono trattati con tecniche crittografiche, come specificato nel disciplinare tecnico riportato nell'allegato A, facente parte integrante del presente decreto; l'invio avviene mensilmente, entro i termini riportati nella seguente tabella:
Entro il 31 marzo dell'anno seguente quello della rilevazione le regioni possono trasmettere eventuali integrazioni.»;
d) il comma 4-bis è abrogato.
Art. 5. Utilizzo delle informazioni sui prestatori di assistenza sanitaria
1. Le informazioni di cui all'articolo 3, comma 3, numeri 30-quinquies), 30-sexies), 34) e 35) del
2. Le regioni trasmettono al Ministero della salute le informazioni di cui al comma 1, sostituendo al codice identificato un codice univoco a livello nazionale non reversibile ottenuto applicando la procedura descritta nel disciplinare tecnico allegato al presente decreto.
Art. 6. Interconnessione e codice cifrato
1. In osservanza di quanto previsto dall'articolo 11, comma 4, del
2. Nelle more dell'applicazione delle procedure di cui al comma 1, le regioni trasmettono al Ministero della salute, ai sensi dell'articolo 3 del
Art. 7. Disciplinare tecnico
1. Il disciplinare tecnico allegato al
Art. 8. Documentazione complementare
1. Il Ministero della salute - Direzione generale della programmazione sanitaria, in collaborazione con l'Agenzia nazionale per i servizi sanitari regionali e le regioni, previa approvazione da parte della Cabina di regia per lo sviluppo del Nuovo sistema informativo sanitario, d'intesa con la Conferenza permanente per i rapporti tra lo Stato, le regioni e le Province autonome di Trento e di Bolzano, adotta apposite linee guida recanti istruzioni per la compilazione della scheda di dimissione ospedaliera (SDO).
Art. 9. Tempi di applicazione
1. Le informazioni di cui all'articolo 3, comma 3, numeri 2-bis), 14-bis), 15), 20), 20-bis), 20-ter), 22-bis), 28-bis), 29-bis), 30-bis), 30-quater), 30-quinquies), 30-sexies), 30-septies), 31-bis), 32), 33), 34), 35), 36), 37), 38), 39), 40), 41) del decreto del Ministro della sanità 27 ottobre 2000, n. 380, come modificato dal presente decreto, sono trasmesse dalle regioni al Ministero della salute a decorrere dal 1° gennaio 2017, che provvede alle necessarie verifiche sulla completezza e qualità delle informazioni trasmesse.
2. Dal 1° gennaio 2018 il conferimento dei dati riportati al comma 1 nelle modalità e nei contenuti del presente decreto, è ricompreso fra gli adempimenti cui sono tenute le regioni per l'accesso al finanziamento integrativo a carico dello Stato, ai sensi dell'Intesa sancita dalla Conferenza permanente per i rapporti tra lo Stato, le regioni e le Province autonome di Trento e di Bolzano il 23 marzo 2005.
Registrato alla Corte dei conti il 27 gennaio 2017 Ufficio controllo atti MIUR, MIBAC, Min. salute e Min. lavoro e politiche sociali, reg.ne prev. n. 78
Allegato A
Disciplinare tecnico
La scheda di dimissione ospedaliera (SDO) deve essere compilata per tutti i pazienti dimessi dagli istituti di cura pubblici e privati.
La SDO è parte integrante della cartella clinica di cui costituisce una rappresentazione sintetica e fedele, finalizzata a consentire la raccolta sistematica, economica e di qualità controllabile delle principali informazioni contenute nella cartella stessa.
La cartella clinica ospedaliera costituisce lo strumento informativo individuale finalizzato a rilevare tutte le informazioni anagrafiche e cliniche rilevanti, che riguardano un singolo ricovero ospedaliero di un paziente.
Ciascuna cartella clinica ospedaliera deve rappresentare l'intero ricovero del paziente nell'istituto di cura; essa, conseguentemente, coincide con la storia della degenza del paziente all'interno dell'istituto di cura. La cartella clinica ospedaliera ha, quindi, inizio al momento dell'accettazione del paziente da parte dell'istituto di cura, segue il paziente nel suo percorso all'interno dell'istituto di cura ed ha termine al momento della dimissione del paziente dall'istituto di cura.
L'eventuale trasferimento interno del paziente da una unità operativa all'altra dello stesso istituto di cura non deve comportare la sua dimissione e successiva riammissione. Il numero identificativo, caratteristico di ciascuna cartella clinica e della relativa SDO, deve, pertanto, essere il medesimo per tutta la durata del ricovero, indipendentemente dai trasferimenti interni allo stesso istituto di cura. Fanno eccezione i casi di passaggio dal ricovero ordinario al ricovero diurno, o viceversa, e il passaggio da ricovero acuto a riabilitazione o lungodegenza, o viceversa. In questi ultimi casi si dovrà procedere alla compilazione di una nuova cartella clinica e di una nuova SDO.
In caso di ricovero diurno, la cartella clinica, e la corrispondente SDO, devono raccogliere la storia e la documentazione del paziente relative all'intero ciclo di trattamento; ogni singolo accesso giornaliero del paziente è conteggiato come giornata di degenza e la data di dimissione corrisponde alla data dell'ultimo contatto con l'istituto di cura in cui si è svolto il ciclo assistenziale; la cartella clinica, e la corrispondente SDO, relative ai ricoveri diurni, devono essere chiuse convenzionalmente alla data del 31 dicembre di ciascun anno, salvo dar luogo a una nuova cartella, e a una nuova SDO, per i cicli di trattamento in ricovero diurno che dovessero proseguire l'anno successivo.
Nel caso di trasferimento del paziente dal regime di ricovero diurno ad altro regime di ricovero, o viceversa, il paziente deve essere dimesso e dovrà essere compilata una nuova cartella clinica e una nuova SDO.
1. Introduzione.
Il presente allegato descrive le modalità di trasmissione dei dati al Nuovo Sistema Informativo Sanitario (NSIS) relativi al sistema informativo sui dimessi dagli istituti di cura pubblici e privati, ed il dettaglio dei contenuti informativi da trasmettere.
Ogni variazione significativa alle caratteristiche tecniche descritte nel presente disciplinare e in generale, le novità più rilevanti, sono rese pubbliche sul sito internet del Ministero della salute (www.nsis.salute.gov.it), secondo le modalità previste dall'art. 54 del Codice dell'amministrazione digitale.
Coerentemente con le indicazioni contenute nel modello concettuale del Nuovo sistema informativo sanitario, il flusso di dati sui dimessi dagli istituti di cura pubblici e privati deve intercettare l'informazione relativa al singolo evento sanitario per consentire diverse e articolate forme di aggregazione e di analisi dei dati, non essendo possibile prevedere a priori tutti i possibili criteri di aggregazione degli eventi stessi al fine del calcolo degli indicatori.
2. Definizioni.
Ai fini del presente disciplinare tecnico si intende:
a. per «crittografia», tecnica per rendere inintelligibili informazioni a chi non dispone dell'apposita chiave di decifrazione e dell'algoritmo necessario;
b. per «crittografia simmetrica», un tipo di crittografia in cui la stessa chiave viene utilizzata per crittografare e decrittografare il messaggio, ovvero una chiave nota sia al mittente che al destinatario;
c. per «crittografia asimmetrica», un tipo di crittografia in cui ogni soggetto coinvolto nello scambio di informazioni dispone di una coppia di chiavi, una privata, da mantenere segreta, l'altra da rendere pubblica. L'utilizzo combinato delle chiavi dei due soggetti permette di garantire l'identità del mittente, l'integrità delle informazioni e di renderle inintelligibili a terzi;
d. per «sito Internet del Ministero», il sito istituzionale del Ministero della salute www.salute.gov.it accessibile dagli utenti per le funzioni informative relative alla trasmissione telematica dei dati;
e. per «XML», il linguaggio di markup aperto e basato su testo che fornisce informazioni di tipo strutturale e semantico relative ai dati veri e propri. Acronimo di «eXtensible Markup Language» metalinguaggio creato e gestito dal World Wide Web Consortium (W3C);
f. per «Centro Elaborazione Dati» o «CED», l'infrastruttura dedicata ai servizi di Hosting del complesso delle componenti tecnologiche del NSIS, dove i servizi di sicurezza fisica logica e organizzativa sono oggetto di specifiche procedure e processi;
g. per «DGSISS», la Direzione Generale della Digitalizzazione, del Sistema Informativo Sanitario e della Statistica del Ministero della salute;
h. per «Codice dell'amministrazione digitale» o «CAD», il
3. I soggetti.
Le regioni e le Province autonome di Trento e di Bolzano si attengono alle specifiche di trasmissione attualmente in uso delle informazioni previste dal sistema informativo sui dimessi dagli istituti di cura pubblici e privati.
Le regioni e le province autonome individuano, inoltre, un soggetto responsabile della trasmissione dei dati al sistema informativo sui dimessi dagli istituti di cura pubblici e privati (di seguito Sistema).
4. Descrizione del sistema informativo.
4.1 Caratteristiche infrastrutturali.
Date le caratteristiche organizzative, le necessità di scambio di informazioni tra sistemi eterogenei e le caratteristiche dei dati trattati, il Sistema è basato su un'architettura standard del mondo Internet:
utilizza lo standard XML per definire in modo unificato il formato e l'organizzazione dei dati scambiati nelle interazioni tra le applicazioni;
attua forme di cooperazione applicativa tra sistemi;
prevede una architettura di sicurezza specifica per la gestione dei dati personali trattati.
È costituito, a livello nazionale, da:
un sistema che ospita il front-end web dell'applicazione (avente la funzione di web server);
un sistema che ospita l'applicazione (avente la funzione di application server);
un sistema dedicato alla memorizzazione dei dati (data server);
un sistema dedicato alla autenticazione degli utenti e dei messaggi;
un sistema dedicato a funzioni di Business Intelligence.
Tutti i sistemi sono collegati in rete locale e connessi alle infrastrutture comunicative attraverso firewall opportunamente configurati. Inoltre, la sicurezza degli stessi è incrementata mediante:
strumenti IPS/IDS (Intrusion Prevention System/Intrusion Detection System) collocati nei punti di accesso alla rete al fine di consentire l'identificazione di attività ostili, ostacolando l'accesso da parte di soggetti non identificati e permettendo una reazione automatica alle intrusioni;
aggiornamenti dei software, secondo la tempistica prevista dalle case produttrici ovvero, periodicamente, a seguito di interventi di manutenzione;
configurazioni delle basi di dati per consentire un ripristino completo delle informazioni senza causarne la perdita di integrità e disponibilità;
gruppi di continuità che, in caso di mancanza di alimentazione elettrica di rete, garantiscono la continuità operativa;
un sistema di gestione degli accessi e di profilazione utenti, che prevede anche, ove opportuno, strumenti di autenticazione forte;
un sistema di tracciatura delle operazioni di accesso ai sistemi (sia tramite funzioni applicative o tramite accesso diretto), al fine di permettere l'individuazione di eventuali anomalie.
Le operazioni di accesso al sistema, tramite funzioni applicative o tramite accesso diretto, sono tracciate al fine di poter individuare eventuali anomalie.
4.1.1 Gestione dei supporti di memorizzazione
I supporti di memorizzazione, che includono nastri magnetici, dischi ottici e cartucce, possono essere fissi o rimovibili. Sui supporti di memorizzazione non vengono, comunque, conservate informazioni in chiaro; ciò malgrado, per ridurre al minimo il rischio di manomissione delle informazioni, viene identificato un ruolo di custode dei supporti di memorizzazione, al quale è attribuita la responsabilità della gestione dei supporti di memorizzazione rimovibili.
Per la gestione dei supporti di memorizzazione sono state adottate, in particolare, le seguenti misure:
tutti i supporti sono etichettati a seconda della classificazione dei dati contenuti;
viene tenuto un inventario dei supporti di memorizzazione secondo controlli predefiniti;
sono state definite ed adottate misure di protezione fisica dei supporti di memorizzazione;
i supporti di memorizzazione non più utilizzati saranno distrutti e resi inutilizzabili.
4.1.2 Misure idonee a garantire la continuità del servizio
A garanzia della corretta operatività del servizio sono state attivate procedure idonee a definire tempi e modi per salvaguardare l'integrità e la disponibilità dei dati e consentire il ripristino del sistema in caso di eventi che lo rendano temporaneamente inutilizzabile.
In particolare, per quel che riguarda i dati custoditi presso il Centro Elaborazione Dati (CED), sono previste:
procedure per il salvataggio periodico dei dati (backup sia incrementale che storico);
procedure che regolamentano la sostituzione, il riutilizzo e la rotazione dei supporti ad ogni ciclo di backup;
procedure per il data recovery;
procedure per la verifica dell'efficacia sia del backup che del possibile, successivo, ripristino.
La struttura organizzativa del CED e le procedure adottate consentono, in caso di necessità, di operare ripristino dei dati in un arco di tempo inferiore ai sette giorni.
4.2 Modalità di abilitazione degli utenti
Gli utenti accedono ai servizi del NSIS attraverso gli strumenti definiti dalla vigente normativa (art. 64 del Codice dell'amministrazione digitale) per l'autenticazione telematica ai servizi erogati in rete dalle pubbliche amministrazioni.
In fase di prima attuazione, qualora compatibile con la tipologia dei dati trattati, come meglio specificato nei paragrafi che seguono, gli utenti possono accedere al sistema tramite credenziali di autenticazione generate secondo le modalità riportate sul sito del Ministero, in conformità all'art. 64 del Codice dell'amministrazione digitale.
Il NSIS dispone di un sistema di gestione delle identità digitali, attraverso il quale vengono definiti i profili di autorizzazione previsti per ogni sistema, definiti secondo le logiche del Controllo degli accessi basato sui ruoli, declinati nello specifico in relazione al ruolo istituzionale, alle funzioni svolte e all'ambito territoriale delle azioni di competenza. Gli amministratori dell'applicazione, nominati dal Ministero della salute, gestiscono la designazione degli utenti e l'assegnazione dei privilegi di accesso.
Per l'accesso, l'architettura prevede un'abilitazione in due fasi.
4.2.1 Fase A - Abilitazione alla piattaforma NSIS.
La prima fase consente la registrazione da parte dell'utente mediante l'inserimento delle generalità e del proprio indirizzo di posta elettronica ove ricevere le credenziali di autenticazione nonchè dei dettagli inerenti la struttura organizzativa di appartenenza. Successivamente, il sistema di registrazione invia una e-mail contenente l'identificativo e la password che l'utente è obbligato a cambiare al primo accesso e, periodicamente, con cadenza trimestrale.
La parola chiave dovrà avere le seguenti caratteristiche:
sarà composta da almeno otto caratteri;
non conterrà riferimenti facilmente riconducibili all'incaricato.
Le credenziali di autorizzazione non utilizzate da almeno sei mesi sono disattivate.
4.2.2 Fase B - Abilitazione ai servizi
Nella seconda fase, l'utente (che viene definito utente NSIS) può chiedere l'abilitazione ad un profilo del un sistema informativo censito nel NSIS (in questo caso il «sistema informativo sui dimessi dagli istituti di cura pubblici e privati»). Il sistema permette di formulare richieste solo per le applicazioni associate alla struttura organizzativa di appartenenza dell'utente.
L'amministratore dell'applicazione effettua un riscontro della presenza del nominativo nella lista di coloro che sono stati formalmente designati dal referente competente (ad es. della regione o provincia autonoma di appartenenza). Qualora questa verifica abbia esito negativo, la procedura di registrazione si interrompe; nel caso in cui questa verifica abbia esito positivo, l'utente è abilitato all'utilizzo del sistema.
Per garantire l'effettiva necessità, da parte del singolo utente NSIS, di accedere alle informazioni per le quali ha ottenuto un profilo di accesso, le utenze vengono, periodicamente, sottoposte a revisione e l'amministratore verifica, con i referenti competenti, il permanere degli utenti abilitati nelle liste delle persone autorizzate ad accedere all'NSIS e ai sistemi ad esso riconducibili.
4.2.3 Fase B - Regole speciali per l'abilitazione ai servizi che prevedono l'accesso a dati riferiti ai singoli assistiti
Nel caso in cui, per comprovate e documentate esigenze di validazione dei dati, il servizio per il quale è richiesta l'abilitazione, preveda l'accesso a dati riferiti ai singoli assistiti, il processo di autenticazione degli utenti avviene esclusivamente da postazioni identificate e attraverso strumenti di autenticazione forte, in conformità all'art. 64 del Codice dell'amministrazione digitale e all'art. 34 del
L'amministratore dell'applicazione effettua uno specifico riscontro della presenza del nominativo nella lista di coloro che sono stati designati, la cui gestione è a cura del Ministero della salute. Qualora questa verifica abbia esito negativo la procedura di registrazione si interrompe; nel caso in cui questa verifica abbia esito positivo viene confermata all'utente la possibilità di accedere a tali servizi e gli viene chiesto di indicare la postazione da cui intende accedere al servizio.
Infine, per rendere più sicuro il processo di abilitazione, un altro amministratore dell'applicazione, distinto dall'amministratore che ha generato le credenziali, provvede all'eventuale consegna dello strumento di autenticazione forte (se non già in possesso dell'utente che richiede l'abilitazione) e, in ogni caso, alla sua associazione alle suddette credenziali.
In nessun caso i servizi consentono di effettuare più accessi contemporanei con le medesime credenziali.
Inoltre, ad ulteriore garanzia dell'effettiva titolarità da parte del singolo utente di accedere alla procedura:
le Unità organizzative competenti segnalano tempestivamente il venir meno di tale titolarità per gli utenti;
le utenze vengono, trimestralmente, sottoposte a revisione e l'amministratore verifica con i referenti dell'Unità organizzativa competente, il permanere degli utenti abilitati, nelle liste delle persone autorizzate.
4.2.4 Sistema di registrazione delle operazioni di trattamento
Nel caso lo specifico servizio preveda il trattamento di dati individuali comprensivi di codici assegnati in luogo del codice identificativo dell'assistito, tutte le operazioni di accesso degli utenti sono registrate e i dati vengono conservati in appositi file di log, al fine di evidenziare eventuali anomalie e/o utilizzi impropri, anche tramite specifici alert.
Le informazioni registrate in tali file di log sono le seguenti:
i dati identificativi del soggetto che ha effettuato l'accesso;
la data e l'ora dell'accesso;
l'operazione effettuata.
I predetti file di log sono conservati in modalità sicura e vengono trattati in forma aggregata, salvo la necessità di verificare la correttezza e la liceità delle singole operazioni effettuate. I file di log sono conservati per 12 mesi e cancellati alla scadenza.
4.3 Modalità di trasmissione
La regione o provincia autonoma fornisce al Sistema le informazioni nei formati stabiliti nelle successive sezioni, scegliendo fra tre modalità alternative:
a) utilizzando le regole tecniche di cooperazione applicativa del Sistema Pubblico di Connettività (SPC);
b) utilizzando i servizi applicativi che il Sistema mette a disposizione tramite il protocollo sicuro https e secondo le regole per l'autenticazione di cui a punto 3.2;
c) ricorrendo alla autenticazione bilaterale fra sistemi basata su certificati digitali emessi da un'autorità di certificazione ufficiale.
A supporto degli utenti, il Sistema rende disponibile un servizio di assistenza raggiungibile mediante un unico numero telefonico da tutto il territorio nazionale, ogni ulteriore dettaglio è reperibile sul sito istituzionale del Ministero all'indirizzo www.nsis.salute.gov.it
Le tempistiche di trasmissione ed i servizi di cooperazione applicativa sono pubblicati a cura del Ministero all'indirizzo www.nsis.salute.gov.it
4.3.1 Sistema Pubblico di Connettività
Il Sistema Pubblico di Connettività (SPC) è definito e disciplinato all'art. 73 e seguenti del Codice dell'amministrazione digitale.
Le trasmissioni telematiche devono avvenire nel rispetto delle regole tecniche del SPC, così come definito agli articoli 51 e 71 del Codice dell'amministrazione digitale.
4.3.2 Garanzie per la sicurezza della trasmissione dei flussi informativi
Nel caso in cui la regione o la provincia autonoma disponga di un sistema informativo in grado di interagire secondo le logiche di cooperazione applicativa, l'erogazione e la fruizione del servizio richiedono come condizione preliminare che siano effettuate operazioni di identificazione univoca delle entità (sistemi, componenti software, utenti) che partecipano, in modo diretto e indiretto (attraverso sistemi intermedi) ed impersonando ruoli diversi, allo scambio di messaggi e alla erogazione e fruizione dei servizi.
In particolare occorrerà fare riferimento alle regole tecniche individuate ai sensi dell'art. 71 del Codice dell'amministrazione digitale.
Nel caso in cui il sistema informativo della regione o provincia autonoma non risponda alle specifiche di cui sopra, l'utente che debba procedere all'inserimento delle informazioni potrà accedere al Sistema, nell'ambito del NSIS, e inviare le informazioni attraverso una connessione sicura.
4.3.3 Standard tecnologici per la predisposizione dei dati
L'utente deve provvedere alla creazione e alla predisposizione di documenti conformi alle specifiche dell'Extensible Markup Language (XML) 1.0 (raccomandazione W3C 10 febbraio 1998).
Gli schemi standard dei documenti in formato XML contenenti le definizioni delle strutture dei dati dei messaggi da trasmettere, sono pubblicati, nella loro versione aggiornata, sul sito Internet del Ministero all'indirizzo www.nsis.salute.gov.it.
4.4 Servizi di analisi
Il Sistema è stato strutturato per perseguire, tra gli altri, i seguenti obiettivi:
monitoraggio dell'attività dei servizi sanitari, con analisi del volume di prestazioni e valutazioni epidemiologiche sulle caratteristiche dell'utenza e sui pattern di trattamento;
supporto alle attività gestionali dei Servizi, per valutare il grado di efficienza e di utilizzo delle risorse;
supporto alla costruzione di indicatori di struttura, processo ed esito sia a livello regionale che nazionale;
il Sistema consente di accedere ad un apposita funzionalità di reportistica che prevede due tipologie di utenti:
utenti del Ministero della salute;
utenti delle regioni o province autonome.
5. Ambito della rilevazione.
Il Sistema è alimentato con informazioni sintetiche e fedeli della cartella clinica per tutti i pazienti dimessi dagli istituti di cura pubblici e privati.
6. Le informazioni.
Le regioni e le province autonome inviano i dati di cui all'art. 3, comma 3, del decreto al Ministero della salute, esclusivamente in modalità elettronica in due tracciati distinti, di seguito indicati:
Tracciato A - che contiene le informazioni di carattere anagrafico;
Tracciato B - che contiene le informazioni relative al ricovero.
I dati anagrafici e sanitari sono, quindi, archiviati separatamente e i dati sanitari sono trattati con tecniche crittografiche. Le informazioni di dettaglio contenute nei due tracciati sono indicate nelle tabelle di cui alla successiva sezione 5.1.
Si rimanda al documento di specifiche funzionali per il dettaglio delle regole che disciplinano i tracciati record, indicazioni di dettaglio circa la struttura dei file XML e gli schemi XSD di convalida a cui far riferimento e le procedure di controllo e verifica dei dati trasmessi.
I valori di riferimento da utilizzare nella predisposizione dei file XML sono contenuti nel documento di specifiche funzionali pubblicate sul sito Internet del Ministero all'indirizzo www.nsis.salute.gov.it.
6.1 Contenuti informativi dei tracciati
6.2 Specifiche disposizioni per il trattamento dei dati identificativi del chirurgo e dell'anestesista
Al livello regionale i codici identificativi relativi al chirurgo e all'anestesista (campi 30-quinquies, 30-sexies, 34 e 35 del Tracciato B) sono oggetto del seguente, specifico trattamento, precedente all'invio dei dati al Ministero della salute. Le regioni e province autonome, mediante procedure automatiche procedono:
alla verifica di validità dei predetti codici identificativi, attraverso uno scambio informativo con il servizio fornito dal sistema Tessera sanitaria;
alla sostituzione dei predetti codici identificativi con i corrispettivi codici univoci prodotti da una funzione non invertibile e resistente alle collisioni
(1) . Tale funzione è rappresentata da un algoritmo di hash (2)
che, applicato ad un codice identificativo (dato in input), produce un codice univoco (digest di output) dal quale non è possibile risalire al codice identificativo di origine. L'algoritmo di hash adottato è definito dalla DGSISS del Ministero della salute ed è condiviso tra tutti i soggetti alimentanti, al fine di rendere il codice univoco non invertibile così ottenuto, a fronte del codice identificativo di input unico sul territorio nazionale.
6.3 Procedura di verifica della validità del codice identificativo
La procedura di verifica della validità del codice identificativo, di cui al paragrafo 6.2 prevede uno scambio informativo con il servizio fornito dal sistema Tessera sanitaria.
Il servizio viene invocato, preventivamente alla sostituzione del codice identificativo con il codice univoco non invertibile, dai Soggetti alimentanti il sistema.
Tale servizio, a fronte di un codice identificativo in ingresso, restituisce le informazioni inerenti la sua validità (valido o errato in quanto inesistente nella banca dati del sistema Tessera sanitaria), utilizzando, limitatamente ai soli campi indicati di seguito, il tracciato definito nel disciplinare tecnico, allegato 1 del decreto 22 luglio 2005 del Ministero dell'economia e delle finanze, di concerto con il Ministero della salute, attuativo del comma 9 dell'art. 50 del
|
Progressivo campo |
Descrizione campo |
|
|
|
|
6 |
Codice fiscale attuale |
|
A |
Informazione relativa alla presenza in banca dati del codice di cui si verifica la validità: |
|
|
0 = Codice identificativo valido (presente in banca dati) |
|
|
1 = Codice identificativo errato (non presente in banca dati) |
Tabella 1 - Informazioni restituite nella procedura di verifica del codice fiscale del chirurgo e dell'anestesista
7. Formato elettronico delle trasmissioni.
La trasmissione dei dati è effettuata esclusivamente in modalità elettronica secondo le specifiche funzionali pubblicate sul sito internet del Ministero (www.nsis.salute.gov.it).
Le regioni e le province autonome inviano al livello nazionale del NSIS i dati raccolti e controllati. L'invio delle informazioni da parte della regione/provincia autonoma viene effettuato secondo il tracciato unico nazionale, riportato nel documento di specifiche funzionali.
Si rimanda al suddetto documento di specifiche funzionali e per indicazioni di dettaglio circa la struttura dei file XML nonchè, il relativo documento XSD di convalida a cui far riferimento per le procedure di controllo e verifica dei dati trasmessi e alle modalità di segnalazione ai soggetti interessati riguardo le anomalie riscontrate sui dati trasmessi.
8. Tempi di trasmissione.
Il Sistema è alimentato con le informazioni relative alle dimissioni effettuate dagli istituti di cura nel periodo di riferimento, secondo le tempistiche indicate all'art. 4 comma 1.c del presente decreto.
(1) Per il dominio rappresentato dalla totalità dei codici identificativi teoricamente possibili.
(2) La funzione di Hash dipenderà da una chiave di lunghezza adeguata alla dimensione e al ciclo di vita dei dati. (Si vedano in proposito le raccomandazioni ENISA contenute nel rapporto "Algorithms, Key Sizes and Parameters Report", October 2013 (https://www.enisa.europa.eu/activities/identity-and-trust/library/deliverables/algorithms-key-sizes-and-parameters-report).