Linee di indirizzo alle Aziende Sanitarie per l'implementazione del sistema Informativo Sanitario Regionale

Capitolo 6. Le linee di indirizzo regionali

Puoi partecipare alla Consultazione commentando il testo riportato in questa pagina. Per inviare il tuo contributo clicca sull'icona a destra del paragrafo che intendi commentare e inserisci il testo del tuo commento.

Sulla base del modello strategico appena descritto, si elencano di seguito le linee di indirizzo, di carattere vincolante e prescrittivo, per la progettazione, sviluppo, implementazione, gestione e conduzione dei Sistemi Informativi Sanitari delle Aziende Sanitarie Locali e delle Aziende Ospedaliere appartenenti al Sistema Sanitario della Regione della Campania.permalink frase

+

Le principali linee di intervento che dovranno necessariamente essere condotte e sviluppate sono così sintetizzate:permalink frase

+

1. La razionalizzazione dell'infrastruttura dei data center delle Aziende Sanitarie e la migrazione verso il Cloud: tale attività si rende necessaria al fine di garantire idonei livelli di "data protection" e di disponibilità dei servizi che, a seguito della continua digitalizzazione dei processi clinico-assistenziali, si stanno progressivamente innalzando sia per gli effetti delle normative nazionali che per effetto della progettazione Regionale.permalink frase

+

Un piano di razionalizzazione delle infrastrutture IT della Pubblica Amministrazione (PA) implica una visione di lungo periodo, importanti investimenti e un coordinamento che tenga conto delle varie realtà presenti sul territorio; sebbene si tratti di un percorso articolato e non del tutto agevole, i benefici che ne derivano garantiscono un ritorno non solo economico.permalink frase

+

Semplificare e razionalizzare l’architettura delle infrastrutture IT permette, infatti, di: 1. creare ambienti più sicuri e affidabili;permalink frase

+

2. tenere sotto controllo con maggiore facilità i costi dell’IT (minori asset da gestire);permalink frase

+

3. contenere i costi di manutenzione e gestione, inclusi quelli relativi alla componente energetica;permalink frase

+

4. agevolare l’adozione di soluzioni SOA (Service Oriented Architecture);permalink frase

+

5. dimensionare in modo più rapido e flessibile le risorse software e hardware per far fronte ad esigenze non prevedibili o non continuative;permalink frase

+

6. prendere decisioni più consapevoli e pro futuro nella scelta di apparati IT e di software;permalink frase

+

7. standardizzare l’hardware, le applicazioni software e le modalità stesse di gestione dell’ICT;permalink frase

+

8. facilitare la cooperazione applicativa tra Amministrazioni.permalink frase

+

Le Infrastrutture fisiche oggetto della razionalizzazione sono, principalmente, gli asset hardware necessari per la realizzazione del servizio: le reti di comunicazione, i data center, il cloud della PA, i sistemi di disaster recovery e di business continuity, gli apparati per il monitoraggio e la sicurezza. Il piano di razionalizzazione deve svilupparsi lungo tre principali direttrici:permalink frase

+

• la riorganizzazione del parco dei data center delle Aziende Sanitarie Locali e Aziende Ospedaliere, attraverso un’opera di razionalizzazione utile, sia a ridurre i costi di gestione, sia a uniformare e aumentare la qualità dei servizi offerti, anche in termini di business continuity, disaster recovery ed efficienza energetica;permalink frase

+

• la realizzazione del cloud della Sanità campana, grazie al quale sarà possibile virtualizzare il parco macchine di tutte le Aziende, con importanti benefici in termini di costi e di gestione della manutenzione. I servizi cloud oggi offerti sono disponibili in modalità IaaS (Infrastructure as a Service), PaaS (Platform as a Service) e SaaS (Software as a Service);permalink frase

+

• la razionalizzazione delle spese per la connettività delle Aziende.permalink frase

+

Ciò comporta un diretto innalzamento dei livelli di sicurezza e di resilienza dei sistemi, sono azioni da considerare a priorità elevata, anche per ridurre significativamente gli investimenti delle singole aziende soprattutto in termini di presidii di supporto sistemistico.permalink frase

+

La necessità di razionalizzare i CED della Aziende Sanitarie non deve quindi essere messa in discussione, ma deve essere considerata come un’opportunità da cogliere e da cui non essere esclusi. Le Amministrazioni che potranno contare su CED più innovativi potranno offrire una qualità del servizio decisamente superiore. Un livello di qualità che tutta la PA deve pretendere per la conservazione e gestione dei propri dati, soprattutto in considerazione della straordinaria portata innovativa del cloud computing che ha completamente scardinato le modalità di approccio alle architetture IT.permalink frase

+

2. Connettività: le Aziende sanitarie devono avviare processi di adeguamento della propria connettività al fine di poter erogare tutti i servizi relativi sia ai processi amministrativi interni sia ai servizi pubblici rivolti ai cittadini. Devono quindi dotarsi di un’infrastruttura di collegamento di rete in grado di rispondere almeno ai seguenti principi generali:permalink frase

+

• capacità di banda sufficiente a soddisfare i requisiti dei servizi IT interni ed erogati verso l’esterno;permalink frase

+

• livelli di servizio adeguati a garantire il funzionamento delle applicazioni utilizzate;permalink frase

+

• scalabilità della capacità di banda anche per erogazione di banda wi-fi per uso pubblico;permalink frase

+

• livelli di sicurezza conformi agli standard internazionali;permalink frase

+

• configurazioni di rete in alta affidabilità in caso di Infrastrutture critiche.permalink frase

+

• le amministrazioni definiscono i parametri puntuali e il livello di affidabilità della rete in base allo specifico contesto applicativo, all’uso delle relative applicazioni e ai livelli di servizio offerti. Inoltre predispongono i propri servizi per supportare il protocollo IPv6.permalink frase

+

La connettività Internet deve essere finalizzata a:permalink frase

+

• garantire accesso alla rete Internet a tutti i dipendenti, indipendentemente dal ruolo o dai compiti assegnati e senza limiti di tempo o orari. Internet oggi deve essere considerato a tutti gli effetti uno strumento di lavoro indispensabile ed efficace per svolgere ogni tipo di attività: dal trovare numeri di telefono, all’identificare persone e relazioni tra queste persone, riferimenti di un concorso o normativi, documentazione tecnica, strumenti di produttività (traduzioni, orari nel mondo, ecc.), servizi di emergenza o notizie di ogni tipo.permalink frase

+

• garantire accesso non solo agli strumenti ed alle applicazioni utilizzati dalla PA, ma - previa analisi delle necessità organizzative in relazione agli obiettivi da raggiungere - a tutti i contenuti e gli strumenti che Internet mette a disposizione, inclusi strumenti per la condivisione di file e contenuti, social network, nonché siti come forum, chat o altri strumenti di comunicazione.permalink frase

+

Pertanto, il potenziamento dell'infrastruttura di rete tra le strutture sanitarie si ritiene fondamentale e propedeutica al potenziamento e alla razionalizzazione dei data center di cui al punto precedente. Vista la natura altamente critica dei servizi erogati dalle strutture sanitarie e, rilevato che la mole di dati prodotti nei processi clinico-assistenziali è in continuo aumento (si pensi alle bio-immagini, alle ricette dematerializzate ed ai documenti clinici digitalizzati), si rende necessario uno strutturale potenziamento dell'attuale rete di connessione tra le strutture sanitarie (anche con investimenti regionali) sia dal punto di vista della banda (maggiore velocità) che tal punto di vista della robustezza (continuità di servizio).permalink frase

+

Le Aziende sanitarie hanno chiare e documentate esigenze di sicurezza superiori alla norma (materiale riservato, servizi critici, dati sensibili e ultrasensibili), pertanto è raccomandato l’utilizzo di filtri stringenti che blocchino l’uso di strumenti comuni solo ed esclusivamente a quei dipendenti e quei sistemi che hanno accesso a questo tipo di informazioni, sviluppando e diffondendo forti politiche di sicurezza che istruiscano i dipendenti su come individuare e trattare informazioni riservate, sui pericoli del phishing, l’utilizzo di chiavette USB, ecc. nonché la configurazione di strumenti di logging e auditing per mantenere la rete sicura. Le iniziative condotte a livello regionale per determinare la conformità con il nuovo regolamento GDPR vanno proprio interpretate come modalità di applicazione delle azioni appena descritte.permalink frase

+

Alla luce delle priorità indicate in premessa, le Aziende sanitarie e ospedaliere, nell’ambito della gestione e sviluppo dei sistemi informativi aziendali, devono applicare i principi contenuti nel presente documento e devono adoperarsi affinché tutte le attività connesse allo sviluppo, manutenzione, evoluzione, conduzione di sistemi informativi siano espletate in completa coerenza con gli stessi. Esse dovranno, pertanto:permalink frase

+

1. Predisporre le gare di acquisizione di nuovi sistemi informativi o parti di essi avendo come obbligo la disponibilità e la proprietà del codice sorgente, che diventa asset strategico aziendale e regionale;permalink frase

+

2. Promuovere il riuso di soluzioni esistenti, con la diffusione soprattutto delle best practices a livello regionale;permalink frase

+

3. Determinare un’effettiva indipendenza dai fornitori di tecnologie, prediligendo soluzioni “open”, sviluppate con tecnologie non proprietarie e basate su protocolli ormai diventati standard di fatto nel mondo e-health;permalink frase

+

4. Favorire l’interoperabilità e l’integrazione tra sistemi;permalink frase

+

5. Prevedere l’obbligo di integrazione con i sistemi regionali e nazionali, sia in fase di primo rilascio che nel corso delle manutenzioni, assimilando tali integrazioni all’obbligo di adeguamenti normativi;permalink frase

+

6. Prevedere la possibilità di dismettere, in corso d’opera, le componenti del sistema informativo eventualmente sostituite da sistemi centralizzati regionali.permalink frase

+

In aggiunta a quanto previsto dalla vigente normativa regionale in tema di autorizzazioni ad esperire procedure autonome di gara in ambito ICT è fatto obbligo, in fase di predisposizione della richiesta alla Soresa SpA, di allegare il Capitolato Tecnico di gara, oltre alla scheda ICT debitamente compilata, al fine di verificarne la conformità al contenuto del presente documento.permalink frase

+

L’esito della richiesta di autorizzazione, per tali tipologie di richieste di autorizzazione, verrà reso da Soresa entro 20 giorni.permalink frase

+