IRCCS Casa Sollievo della Sofferenza "L'Ospedale al servizio della collettività e dell'avvocato" - Domenico Crupi - Brescia, 15 aprile 2011
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
IRCCS Casa Sollievo della Sofferenza
“L’Ospedale al servizio della collettività e
dell’avvocato”
Domenico Crupi
Brescia, 15 aprile 2011
RICOVERI 2009
Numero di pazienti 133.762 Numero di prestazioni 1.109.059 PRESTAZIONI AMBULATORIALI REGIONE PUGLIA DISTINTE PER ASL
PESO MEDIO DEI RICOVERI ORDINARI 2009
confronto con dato Nazionale e Regionale
1,12
1,1
1,08
1,06
1,04
1,02
1
0,98
0,96
0,94
0,92
1,06 1,11 0,99
Media Nazionale Media CSS Media R. Puglia
Fonte: Ministero della Salute - Analisi Preliminare - Luglio 2010
FONDAZIONE DI RELIGIONE E DI CULTO
Casa Sollievo della Sofferenza
OPERA DI SAN PIO DA PIETRELCINA
SAN GIOVANNI ROTONDO
PIANO STRATEGICO OSPEDALIERO
2011-2013
Il PIANO STRATEGICO OSPEDALIERO (PSO) triennale è concepito secondo la tecnica della “scorrevolezza,” nel senso che, ad ogni aggiornamento annuale, il periodo si sposta avanti di un anno. Il PSO 2010/2013 è realizzato per mezzo di piani di funzione e programmi operativi annuali.
INDICE
Premesse Metodologiche
Executive Summary
Parte I: Valori di riferimento e linee strategiche
Parte II: Le Azioni e risultati del 2010
1. Analisi Economica/Finanziaria
2. Servizi Gestionali
3. Servizio di Supporto
4. Governo Clinico
5. Attività 2010
6. Ricerca
Parte III: Obiettivi generali e piano delle azione – 2011/2013
1. Gli Obiettivi Generali
2. Le Azioni
Parte IV: Strumenti di programmazione e controllo
1. Il Controllo Strategico Ospedaliero - CSO
2. Il budgetingLa rendicontazione sociale rappresenta uno degli strumenti a disposizione dell’azienda per rendersi trasparente e responsabile rispetto alle modalità di perseguimento delle finalità sociali attraverso l’impiego di risorse non proprie (Non profit – Dalla buona volontà alla responsabilità economica, pag. 178).
Casa Sollievo della Sofferenza intende perseguire la propria missione orientata alla trasparenza e alla responsabilità attraverso strategie ed azioni, volte non solo a “rendere conto” ma anche a “tenere conto” dei bisogni e delle istanze di tutti i soggetti coinvolti ed influenzati a vario titolo dall’attività dell’Ente.
Questa esigenza diviene ancora più pressante se si considerano due aspetti: •il finalismo sociale inteso come benessere della collettività, dato dal grande impatto prodotto dall’Ospedale sulla comunità di riferimento sostituendosi e collaborando con istituzioni pubbliche e private nell’erogazione di un servizio ad elevato contenuto etico e sociale; •le forme di finanziamento date spesso da atti di liberalità (donazioni, offerte) ed in generale le motivazioni valoriali e di Fede che spingono le varie forme di collaborazione con il nostro Ospedale.
BILANCIO DI MISSIONE 2009
La relazione scientifica dell’IRCCS: una descrizione delle attività di ricerca di base, preclinica e clinica svolte presso i nostri laboratori di ricerca e reparti nel biennio 2008- 2010. La pubblicazione a stampa, rivolta in primo luogo a un pubblico di professionisti, riassume i principali progetti e le pubblicazioni scientifiche dell’Istituto per Unità di Ricerca. A questa edizione, aggiornata annualmente, verrà affiancata una versione digitale consultabile sul sito web di istituto.
IL CONTROLLO
STRATEGICO OSPEDALIERO
(CSO)La determinazione i costi
(quanto costa un dato prodotto?)
Activity-based Costing
L’analisi dei costi La valutazione dei costi
(perché costa?) (costa tanto/poco?)
Management Accouting Benchmarking
L’elaborazione di scenari strategici
(se cambia … come si modificano i costi?)
Strategic Cost ManagementDa circa tre anni Casa Sollievo si è dotata di un metodo
denominato “Controllo Strategico Ospedaliero” che
consente:
1. La determinazione dei costi - Activity Based Costing: permettendo di
definire il costo standard ed effettivo di ogni singolo caso trattato
utilizzando, per il calcolo del costo pieno, la metodologia Activity Based
Costing (ABC);
2. L’analisi dei costi – Management account: fornendo gli strumenti e le
informazioni per poter effettuare attente analisi dei costi in quanto ha
come base di riferimento il singolo episodio di ricovero e, per ciascuno di
questi, il costo delle singole attività suddiviso per fattore produttivo.
3. La valutazione dei costi – Benchmarking: consentendo di confrontare i
costi rilevati con un benchmark di riferimento (costo standard) . Il
benchmark con cui Casa Sollievo si confronta è quello elaborato dal
NI.San., Network di Ospedali, di cui Casa Sollievo è socio fondatore, che
utilizzano la stessa metodica.
4. L’elaborazione di scenari strategici - Strategic cost management:
offrendo la possibilità di elaborare scenari futuri e strategie alternative,
divenendo così un importante strumento per orientare scelte strategiche e
gestionali. La chiave di volta del CSO, per mettere in relazione
l’attività e i costi, è l’analisi organizzativa che viene
condotta su ogni reparto/servizio.
Essa consente di individuare i centri di attività e
attribuire loro in maniera coerente la spesa per beni di
consumo e per personale.
È condotta sotto forma di intervista alle figure apicali di
ogni U.O. (ed eventuali collaboratori) e ai coordinatori
infermieristici.
Le ore dedicate alle diverse attività rappresentano quelli
che nell’ABC sono definiti “driver di attività”, cioè lo
strumento che consente di misurare come sono distribuite
le risorse e quindi attribuirne coerentemente i costi al
singolo episodio di ricovero/prestazione.CENTRO DI MACRO-CENTRI DI CENTRI DI ATTIVITA’
RESPONSABILITA’ ATTIVITA’
Ricoveri ordinari, 0-1gg., outliers
Degenza
Day hospital, Day surgery, PAC
Terapia intensiva
Sala operatoria
Chirurgia Prest. invasive area cardiologica (PIAC)
Guardia interdivisionale
Attività per degenti in altre u.o.
Attività per esterni
PS / 118
AltroCentri di attività Ore settimanali Ore annuali Degenza (ordinaria, outliers, 0-1 gg.) Day Hospital / PAC Terapia intensiva Guardia interdivisionale Sala operatoria Emodinamica (PIAC) Sala parto Ricoverati in altre u.o. Pronto Soccorso Amb. x esterni Pronto Soccorso Amb. x esterni “Territorio” Ricerca TOTALI
Centri di att. Medici Infermieri OTA Farmaci Presidi Altri costi TOTALI
Degenza 250.000 600.000 100.000 260.000 20.000 200.000 1.430.000
Day Hospital 20.000 60.000 10.000 20.000 5.000 50.000 165.000
Sala operat. 150.000 100.000 40.000 20.000 875.000 50.000 1.235.000
Ricoverati in
30.000 10.000 0 0 0 0 40.000
altre u.o.
PS 45.000 0 0 0 0 0 45.000
Amb. xx esterni
Amb. esterni 55.000 30.000 0 0 0 0 85.000
TOTALI
TOTALI 550.000 800.000 150.000 300.000 900.000 300.000 3.000.000Dall’ Analisi Organizzativa al Report per Episodio di
ricovero:
l’ allocazione dei costi delle attività ai prodotti
Il passo successivo è l’assegnazione dei costi rilevati nei centri di
attività agli “oggetti finali di costo” ossia ai singoli episodi di
ricovero e, di conseguenza, alle loro aggregazioni (es. DRG).
Una volta allocati anche i costi comuni si ottiene, per ogni episodio
di ricovero, una matrice che riporta le varie voci di costo che
compongono il costo pieno.
Il costo viene dettagliato per tipologia di attività di cui il paziente
usufruisce (degenza, sala operatoria, rianimazione, servizi) e per
tipologia di risorsa (farmaci, presidi, personale medico,
infermieristico, altre figure) ed altre voci di carattere generale.
).Esempio di costi per ricovero, per fattore produttivo e per
attività:Scostamento di mercato:
il costo è superiore alla tariffa? Tariffa
Benchmark Costo effettivo Benchmark
storico medio
Scostamento strategico:
Benchmark Il costo è superiore a quello
strategico programmato?
* Il valore di riferimento è dato dal costo medio ponderato per
prodotto unitario (ad esempio: DRG/tipo di ricovero/disciplina) delle
strutture ospedaliere intervenuteMONITORAGGIO del SISTEMA DI
GESTIONE QUALITA’
RIESAME N. 2
Lunedì 4 aprile 2011Documentazione Risultati
SGQ Audit
Monitoraggio Attività
processi formativa
Organizzazione
per la Qualità
Certificazione e Sistemi Qualità• Presa in carico risultanze audit Bureau Veritas del
marzo 2010
Audit
• Programmazione ed esecuzione degli audit interni
2010/2011
Certificazione e Sistemi QualitàPresa in carico risultanze verifica iniziale
Bureau Veritas del marzo 2010 :
Predisposti 19 report : per le Direzioni e per le
UUOO ed i Servizi trasversali campionati con le
rispettive NC ed Osservazioni ;
Eseguiti 10 incontri informativi/formativi: per i 9
Dipartimenti e per la Direzione Sanitaria ;
Definiti con la Direzione miglioramenti da
realizzare Documentazione Sanitaria Tecnologie Sicurezza nei luoghi di lavoro Gestione del Farmaco e Dispositivi Medici Privacy
Sicurezza nei luoghi di
Anatomia Patologica
Documentazione Sanitaria
lavoro
Riorganizzato il Ristrutturazione
Elaborato un Piano SPP degli ambienti di
di Miglioramento
Predisposto ed lavoro con
per l’identificazione
approvato il DVR potenziamento ed
e il governo della
adeguamento degli
documentazione Formazione del impianti tecnologici
sanitaria personaleModulo
Privacy
Mappatura
Tecnologie
“Consenso
frigoriferi
informato al Automazione
Piano miglioramento
Acquisto frigoriferi Nominati 88
trattamento dei della logistica del
Farmaco e Dispositivi
idonei per la referenti per la dati personali e farmaco e
conservazione manutenzione sensibili” che dispositivi medici
farmaci comprende che consente “la
Formazione anche il consenso tracciabilità dei
sull’utilizzo Avviata l’attività alla trasmissione lotti e delle
formativa
Medici
a terzi scadenze dei
farmaci”
Certificazione e Sistemi Qualità• Programmazione ed esecuzione audit interni 2010/2011 Revisione della procedura PGT 04 “audit interni” con relativa modulistica e check list Definiti obiettivo, campo e criteri dell’audit per consentire attraverso la Cartella Clinica di comprendere i vari processi aziendali ( primari e trasversali) Audit Coordinamento con il Gruppo di verifica : 4 incontri formativi Predisposizione del programma di audit Approvazione e diffusione del programma Realizzazione del programma (alla data mancano CUP e CUPR)
Aperte 31
AUDIT Richieste di
Azioni Correttive
Eseguiti 17 10
audit interni sui
19 previsti “aspetti
gestionali ”
Rilevate 196
non conformità 21
“rischio clinico”Gestione Processi 7% Privacy 2%
Sicurezza 4 %
SGQ 4%
Id. Paziente 2% Documentazione
Sanitaria 29%
Impianti 2%
Farmaci 17%
Tecnologie 24%
Sale Operatorie 9%Non conformità
40%
35%
30%
29%
audit BV
25%
24%
20%
17%
15% Audit interni
10%
9%
5%
4%
0%
Docum. Sanitaria Farmaci Tecnologie Sale Operatorie SicurezzaPiani di
Miglioramento
Carta dei Servizi
PDTA
Sicurezza paziente
nelle Sale
Operatorie
Certificazione e Sistemi QualitàPiani di Miglioramento in via di definizione:
Piani di Miglioramento
avviati
• Gestione tenuta Carta dei Servizi dell’IRCCS
archiviazione della
documentazione
sanitaria
• Tecnologie
• Automazione della PDTA
logistica del Farmaco e
Dispositivi Medici
Sicurezza del paziente in Sala
Operatoria
Certificazione e Sistemi QualitàFormazione • Rendiconto anno 2010 • Programmazione 2011 : dettaglio sulla Qualità e Sicurezza
Formazione IRCCS Casa Sollievo è stato accreditato “provider nazionale” in data 18.10.2010 Tipo formazione: FAD FSC RES Per tutte le professioni
Nell’anno 2010 sono state
complessivamente erogate 3105 ore di
formazione
Formazione
Il personale CSS ha acquisito mediamente
il minimo dei crediti stabilito dalla
normativa ECM .• Erogate 140 ore di
SICUREZZA formazione
•1621 partecipanti
• Erogate 98 ore di
formazione
QUALITA’
• 1200 partecipantiFORMAZIONE erogata nel 2010
Informazione e Formazione
Informazione e Formazione finalizzata alla gestione delle
ai sensi degli artt. 36 -37 emergenze ai sensi dell’art. 18
comma 1,b), art. 37 comma 9,
D. Lgs. 81/08
D. Lgs. 81/08
29 edizioni 6 edizioni
1370 unità (personale comparto) 250 unità ( squadra emergenze
personale comparto)Corsi sulla SICUREZZA programmati nel 2011
Formazione Formazione Formazione al
Formazione
Rischio Rappresentanti personale con
per Dirigenti
Chimico e Lavoratori per ruoli
e Preposti
Biologico la Sicurezza amministrativiCorsi sul “Sistema di Gestione Qualità di Casa Sollievo” Coordinatori Personale tecnico Facilitatori Qualità tecnici ed amministrativo infermieristici 12 ore 12 ore 8 ore
Struttura
Rete dei Certificazione e
Facilitatori : 77 Sistemi Qualità
unità
Area
in
• clinica
rappresentanza • tecnica
di tutto l’IRCCS •amministrativaGestione e buon - Bimensile Tracciabilità
governo dei Farmacia Conservazione
- Tutte le UUOO
farmaci
Corretta - Mensile
Individuare aspetti
compilazione della Medicina Legale - Campionamento migliorabili
Cartella Clinica (5%)AUTOMAZIONE DEL CICLO DELLA LOGISTICA DEL FARMACO
Compilazione riscontro del foglio di prelievo per la
richiesta in consegna e terapia
REPARTO base a giornaliera e
riempimento armadio
terapia di reparto scarico
giornaliera informatico
Approvazione
dell’ordine, Preparazione
scarico informatico carrello e
FARMACIA dal magazzino consegna al
centrale e carico reparto
informatico
sull’armadietto di
reparto
La soluzione realizzata in Ospedale consente di razionalizzare la gestione delle scorte dei
farmaci presenti nei reparti, di semplificarne le operazioni di approvvigionamento e, in ultima
analisi, di tenerne sotto controllo i consumi, rappresentando da una parte un presupposto
indispensabile per realizzare il sistema di gestione strategica dei costi e dall’altra uno
strumento in grado di introdurre efficienza e sicurezza (scadenze e fabbisogno) nella
gestione dei farmaci.
La gestione automatizzata dell’armadio di reparto evita le gravose e ripetitive attività di
conteggio delle confezioni presenti ed il controllo della scadenze dei farmaci, con significativi
vantaggi in termini di
risparmio di ore lavorative
accuratezza nella generazione degli ordini di approvvigionamento
drastica riduzione delle scorte conservate nell’armadio di reparto e dei farmaci scartati per
scadenza del periodo di validità
sicurezza ed efficienza generale dell’intero processoCarta dei
Servizi
Manuale
Moduli di
della Qualità
registrazione
Procedura
Procedure
Gestionali
Operative
TrasvCdS La sua revisione è oggetto di un piano di miglioramento
MQ Il Manuale della Qualità rev. 01 del 31.01.2011
PGT 01
Gestione della documentazione e registrazione dei dati
PGT 02
Gestione delle non conformità rev. 01 del 04.11.2010
PGT 03
Azioni correttive e preventive rev. 01 del 04.11.2010
Audit rev.01 del 04.10.10
PGT 04
PGT 05
Gestione dei reclami in corso di verifica ed approvazioneI.R.C.C.S. Casa Sollievo della Sofferenza: 46 Unità Operative 1000 posti letto 2400 dipendenti
Art. 437 C.p. - Rimozione od omissione
Responsabilità: dolosa di cautele contro infortuni sul
lavoro
Penale Art. 451 C.p. - Omissione colposa di
cautele o difese contro disastri o infortuni
Civile sul lavoro
Art. 589 C.p. - Omicidio colposo
Amministrativa Art. 590 C.p. - Lesioni personali colpose
D.Lgs. n° 231/01: responsabilità Art. 2087 Cod. Civile
amministrativa degli Enti, per L’imprenditore è tenuto ad adottare
determinati reati commessi a loro nell’esercizio dell’impresa le misure che,
vantaggio o nel loro interesse dalle secondo la particolarità del lavoro,
persone che rivestono funzioni di l’esperienza e la tecnica, sono necessarie a
rappresentanza, di amministrazione o tutelare l’integrità fisica e la personalità
di direzione dell’ente… morale dei prestatori di lavoro…
La responsabilità dell’Ente si aggiunge a quella penale delle persone fisiche che
commettono il reato.SANZIONI PECUNIARIE:
le pene pecuniarie per omicidio colposo possono ammontare fino a
1.500.000 euro;
le pene pecuniarie per le lesioni colpose possono ammontare fino a
250.000 euro;
MISURE INTERDITTIVE:
In caso di condanna, ulteriore sanzione interdittiva per una durata non
inferiore a tre mesi e non superiore ad un anno, dove per sanzione
interdittiva si intende:
1. l’interdizione dall’esercizio dell’attività;
2. la sospensione o la revoca delle autorizzazioni, licenze o concessioni
funzionali alla commissione dell’illecito;
3. il divieto di contrattare con la pubblica amministrazione, salvo che per
ottenere le prestazioni di un pubblico servizio;
4. l’esclusione da agevolazioni, finanziamenti, contributi o sussidi e
l’eventuale revoca di quelli già concessi;
5. il divieto di pubblicizzare beni o servizi.
Tra i reati per i quali può derivare la responsabilità dell’Ente, sono compresi
quelli che riguardano la sicurezza nei luoghi di lavoro Art. 25 septies (D.Lgs.
231/01)COME DIFENDERSI? Per ogni unità operativa/reparto, individuazione, dei rischi specifici di ciascuna mansione, con indicazione delle relative misure di prevenzione e protezione. Pianificare l’emergenza e l’esodo Definizione di ruoli e compiti (coordinatori delle emergenze, squadre tecniche h 24, addetti all’esodo h 24); Compartimentazione ed esodo orizzontale in sicurezza. Costruire la struttura della prevenzione Incarichi specifici a Dirigenti e Preposti, deleghe; Definizione delle relazioni tra: S.P.P., Strutture Sanitarie, Risorse Umane, Risorse Tecniche e Formative.
L’AZIENDA PUÒ ESCLUDERE LA PROPRIA RESPONSABILITÀ PER I
REATI COMMESSI DAI PROPRI DIPENDENTI SE PROVA CHE (ART.
30 C.1 D.LGS.81/08):
a) ha adottato ed efficacemente attuato modelli di organizzazione,
gestione e controllo idonei a prevenire reati della specie di quello
verificatosi;
b) ha affidato ad un organismo interno, dotato di autonomi poteri di
iniziativa e di controllo, il compito di vigilare sul funzionamento e
l’osservanza dei modelli e di curarne l’aggiornamento;
c) le persone hanno commesso il reato eludendo fraudolentemente il
modello di organizzazione;
d) non vi è stata omessa o insufficiente vigilanza da parte dell’organismo
di cui al punto b).
SISTEMA DI GESTIONE DELLA SICUREZZA SUL LAVORO (SGSL)
Un SGSL è finalizzato a garantire il raggiungimento degli obiettivi di
salute e sicurezza che l’impresa/organizzazione si è data in una
efficace prospettiva costi/benefici. Un SGSL opera sulla base della
sequenza ciclica delle fasi di pianificazione, attuazione, monitoraggio
e riesame del sistema per mezzo di un processo dinamico.STRUTTURA Datore di Lavoro
(Dir. Generale)
S.G.S.L. R.S.P.P.
Medico
Competente
Direzione
(Sanitaria) Esperto
Incaricati (Scientifica) Qualificato
Emergenze (Amministrativa)
Consulenti
Esterni
Dirigenti
Dirigenti
(Area Tecnica)
(Resp. U.O.)
(Area Amministrativa)
Preposto Preposto
Coordinatore Coordinatore
Infermieristico Tecnico/Amministrativo
Lavoratori R.L.S. Lavoratorivalutazione
dello stato AZIONI S.G.S.L.
politica della
sicurezza valutazione dei •adempimenti leggi e regolamenti
•individuazione fonti di pericolo
rischi •valutazione dei rischi
riesame e pianificazione e
miglioramento gestione del •compiti e responsabilità
sistema
•coinvolgimento del personale
•comunicazione, flusso
• informativo, cooperazione
monitoraggio •documentazione
•gestione operativa
programmazione
degli interventi
•modifica organizzazione del
lavoro
•interventi di bonifica e
adeguamento
•informazione, formazione, azione di
addestramento sensibilizzazione
•gestione della documentazione
•procedure ed integrazione integrazione con i
con i processi aziendali processi aziendali
•piani di emergenza (produttività, budget)c.2 … il modello organizzativo e gestionale di cui al comma 1. deve
prevedere idonei sistemi di registrazione dell’avvenuta
effettuazione delle attività di cui al comma 1;
c.3 … articolazione di funzioni che assicuri le competenze tecniche
ed i poteri necessari per la verifica, valutazione, gestione e controllo
del rischio, nonché un sistema disciplinare idoneo a sanzionare il
mancato rispetto delle misure indicate nel modello;
c.4 … un idoneo sistema di controllo sull'attuazione del medesimo
modello e sul mantenimento nel tempo delle condizioni di idoneità
delle misure adottate (riesame).
….nella garanzia:
del rispetto degli standard tecnico-strutturali di legge relativi ad
attrezzature, impianti, luoghi di lavoro, agenti chimici, fisici e biologici;
della sorveglianza sanitaria;
dell’informazione e della formazione dei lavoratori;
della vigilanza con riferimento al rispetto delle procedure e delle
istruzioni peril lavoro in sicurezza;Revisione e adeguamento Documento di Valutazione dei Rischi (DVR); Piano di formazione e informazione dei lavoratori, R.L.S., Dirigenti e Preposti (raggiunti in 12 mesi oltre 2000 dipendenti) Rinnovo del Certificato Prevenzione Incendi (CPI) Adeguamento della compartimentazione strutturale e impiantistica Adeguamento del Piano di Emergenza Aggiornamento della squadra addetta alla gestione delle emergenze Redazione del Documento Unico di Valutazione Rischi Interferenziali (DUVRI) nell’ambito dei contratti di appalto o d’opera Definizione di misure organizzative e procedurali per la gestione di infortuni e malattie professionali Istituzione di un adeguato sistema di deleghe finalizzato alla prevenzione Ristrutturazione del S.P.P.
IL SISTEMA INFORMATIVO AZIENDALE
Indicatori
•2.200 utenti interni autorizzati ad accedere alle varie
applicazioni del SIA
•40 utenti esterni autorizzati ad accedere al SIA da remoto
(teleassistenza)
•1000 caselle e-mail
•1.160 postazioni di lavoro in rete
•70 server
•27 modalità diagnostiche collegate alla rete aziendale (RM,
TC, PET-TC, Mammografi, Mammotome, Angiografi, RX
tradizionale)
64IL SISTEMA INFORMATIVO AZIENDALE Interventi attuati nel triennio 2008-2010 •Nuova infrastruttura tecnologica (rete aziendale, server e sistemi centrali, storage, PC) •Integrazione delle apparecchiature biomediche digitali con il sistema informativo •Avviati i percorsi per la dematerializzazzione delle immagini diagnostiche e dei documenti clinici •Realizzazione Dossier Sanitario Elettronico •Automazione del ciclo della logistica del farmaco •Introduzione nuovi sistemi dipartimentali nei servizi diagnostici (radiologia, laboratorio analisi, trasfusionale, microbiologia, endoscopia digestiva, anatomia patologica, medicina nucleare, emodinamica)
LA CONSAPEVOLEZZA DEI RISCHI
In uno scenario caratterizzato da una forte pervasività del sistema informativo
nell’organizzazione aziendale, all’impiego diffuso delle tecnologie digitali
corrisponde un incremento dei rischi che possono interferire negativamente con
il suo normale funzionamento e degli abusi che possono arrecare danni a CSS, ai
lavoratori ed a terzi.
Interruzione o malfunzionamento dei Conseguenze di natura legale per l’Ente a
servizi informatici causa di
ricadute sulla continuità operativa •responsabilità penali e/o civili direttamente
dell’attività e in alcuni casi dell’immagine imputabili all’Ente
verso l’esterno
•condotte illecite e/o illegittime messe in atto
dai propri dipendenti nell’espletamento delle
mansioni lavorative
Consapevolezza di dover mettere in atto misure di tutela al fine di
proteggere le risorse informatiche e prevenire l’insorgere di evenienze
indesiderate connesse all’impiego di tali risorseRESPONSABILITÀ GIURIDICHE DELL’AZIENDA E DEI DIPENDENTI IN TEMA DI SICUREZZA INFORMATICA La legislazione italiana relativa alla sicurezza informatica poggia su tre leggi fondamentali che definiscono con precisione le responsabilità giuridiche delle aziende e del personale. • D. Lgs. 29 dicembre 1992, n. 518 - Attuazione della direttiva 91/250/CEE relativa alla tutela giuridica dei programmi per l’elaboratore; modifica il regio decreto n° 633 del 1941, relativo al diritto d’autore, integrandolo con norme relative alla tutela giuridica dei programmi per elaboratore • Legge 23 dicembre 1993, n. 547 - Modificazioni ed integrazioni alle norme del codice penale e del codice di procedura penale in tema di criminalità informatica; • D. Lgs. 30 giugno 2003, n. 196 - Codice in materia di protezione dei dati personali Il rispetto di alcune regole e la messa in opera di una serie di contromisure atte a prevenire o minimizzare i rischi di un incidente/crimine informatico non è più lasciata alla discrezione delle singole organizzazioni ma in alcuni casi è un obbligo di legge Esempi -obbligo di adottare idonee misure di sicurezza per assicurare la disponibilità e l'integrità di sistemi informativi e di dati, anche per prevenire utilizzi indebiti che possono essere fonte di responsabilità (artt. 15, 31 ss., 167 e 169 del Codice della Privacy), •Responsabilità in capo all’azienda •Sanzioni
RESPONSABILITÀ GIURIDICHE DELL’AZIENDA PER I
COMPORTAMENTI DEI DIPENDENTI
Art. 40 codice penale - Rapporto di causalità. Nessuno può essere
punito per un fatto preveduto dalla legge come reato, se l’evento
dannoso o pericoloso, da cui dipende l’esistenza del reato, non è
conseguenza della sua azione od omissione. Non impedire un evento,
che si ha l’obbligo giuridico di impedire, equivale a cagionarlo.
Art. 2049 codice civile – Responsabilità dei padroni e dei
committenti: I padroni e i committenti sono responsabili per i danni
arrecati dal fatto illecito dei loro domestici e commessi
nell'esercizio delle incombenze a cui sono adibiti.
L’articolo sancisce una forma di responsabilità oggettiva del datore
di lavoro per i fatti illeciti commessi dai dipendenti nello
svolgimento delle mansioni affidategli.RESPONSABILITÀ GIURIDICHE DELL’AZIENDA PER I
COMPORTAMENTI DEI DIPENDENTI
La giurisprudenza attuale prevede per l’azienda una
corresponsabilità che può essere valutata in sede civile o
penale quando nel corso del rapporto di lavoro i propri
dipendenti mettano in atto, in modo consapevole o meno,
comportamenti illegittimi e illeciti.
In questi casi, l’azienda, pur non essendo stata connivente con
il comportamento illecito commissivo del dipendente, è
ritenuta dalla legge responsabile di comportamento omissivo,
colludente con il comportamento illecito
Nel caso di commissione di un reato da parte del dipendente
tramite l’utilizzo delle risorse informatiche, il legale
rappresentante dell’ente potrebbe essere chiamato a
risponderne a titolo di concorso, ove non abbia posto in essere
tutte le misure necessarie a prevenirlo.Responsabilità giuridiche dell’azienda per i
comportamenti dei dipendenti
Esempio di atti illeciti sanzionabili, in sede civile o penale, che potrebbero
essere commessi da un dipendente attraverso l’utilizzo delle risorse
informatiche, ad esempio Internet e la posta elettronica:
•Download abusivo di opere protette dal diritto d’autore: software, musica e
video
•Accesso a siti dai contenuti illeciti (pedo-pornografia)
•Ingiurie e diffamazioni
•Invio indiscriminato di posta elettronica indesiderata (Spamming)
•Frodi e truffe
•Violazione, divulgazione o abuso di dati sensibili
In questi casi l’unico modo per liberare l’Ente da responsabilità penali
e/o civili è quello di identificare l’autore dell’illecito e dimostrare di
aver adottato tutte le misure preventive necessarie ad impedire il
verificarsi dell’evento
70COME DIFENDERSI?
Piano Aziendale della Sicurezza Informatica
• basato sulla elaborazione ed attuazione di misure tecnologiche,
organizzative e procedurali
• caratterizzato dalla ciclicità necessaria per il controllo ed il mantenimento
dei livelli di sicurezza nel tempo
• finalizzato a garantire un livello di protezione accettabile delle risorse
informatiche dai fattori di rischio che potrebbero
esporre l’Ente a conseguenze di natura legale
pregiudicare l’efficacia ed efficienza di funzionamento dei sistemi
informativi e dei servizi erogati, facendo venir meno i requisiti di
riservatezza e autenticità delle informazioni, integrità e disponibilità dei
dati e dei sistemi
L’articolazione progettuale del Piano Aziendale della Sicurezza Informatica
prevede l’esecuzione delle seguenti attività
Identificazione delle risorse da proteggere e analisi del rischio
Definizione della Politica di Sicurezza Aziendale: regole generali e
obiettivi di sicurezza
Identificazione e attuazione delle contromisure di natura fisica, logica
e organizzativa
Audit
Formazione 71LE AZIONI
Conformità alle normative
Nomina del Referente Aziendale Privacy con l’incarico di condurre gli
interventi tecnici, organizzativi e formativi necessari per l’espletamento
degli adempimenti richiesti dalla normativa di settore
Assegnazione di ruoli, compiti e responsabilità: Responsabili del
trattamento (interni ed esterni), Incaricati del trattamento, Amministratori
di Sistema
Redazione annuale Documento Programmatico sulla Sicurezza (DPS)
Attuazione delle Misure Minime di Sicurezza - Allegato B del Codice
Privacy D. Lgs 196/03
Organizzazione di corsi di formazione per l’aggiornamento continuo del
personale dipendente in materia di Privacy
Redazione e diffusione di un Regolamento Interno che disciplina l’uso delle
risorse informatiche da parte dei dipendenti
strumento di prevenzione in grado di dimostrare l’attenzione e la volontà
dell’Ospedale di evitare eventi estranei all’attività lavorativa;
strumento di indicazione per i dipendenti su come utilizzare le risorse
informatiche ospedaliere senza per questo incorrere, anche in buona fede,
in illeciti;
mezzo per favorire l’acquisizione di maggior consapevolezza sui temi
legati alla sicurezza informatica.LE AZIONI Formazione del personale •Sensibilizzazione sulle problematiche della sicurezza e sulla loro importanza •Conoscenza delle misure di sicurezza da adottare e da gestire ai diversi livelli di responsabilità •Norme comportamentali L’adozione di strumenti e dispositivi a difesa delle risorse informatiche è una misura insufficiente a garantire un livello di protezione accettabile, se poi i dipendenti non sono adeguatamente informati sui rischi possibili e formati sulle contromisure da attuare per evitare danni all’Ente. Da qui l’importanza di creare all’interno dell’Ente una cultura della sicurezza informatica: ognuno per il livello che gli compete deve sentirsi coinvolto e partecipare attivamente al mantenimento della Sicurezza Misure organizzative •definizione di ruoli, compiti e responsabilità per la gestione di tutte le fasi del processo di Sicurezza; •adozione di specifiche procedure che vadano a completare e rafforzare le contromisure tecnologiche adottate
SICUREZZA FISICA Realizzazione (2009) di un nuovo Data Center, locale tecnico che ospita le componenti tecnologiche centrali del sistema informativo aziendale (sistemi, archivi digitali e apparati di rete di centro stella) garantendo loro sicurezza e continuità d’esercizio Il Data Center è dotato di: •dispositivi e tecnologie idonee a prevenire accessi da parte di personale non autorizzato: sistema ad autenticazione tramite badge con log degli accessi; • dispositivi e tecnologie idonee a prevenire intrusioni, atti vandalici, furti; • tecnologie idonee a garantire continuità e stabilità di erogazione dell’energia elettrica; • impianto di climatizzazione in alta affidabilità; • sistemi antincendio; • sistema integrato di allarmi per rilevazione anomalie su impianti anti- incendio, elettrico e di climatizzazione Tutti gli apparati della rete informatica sono installati in armadi metallici dotati di serratura e di sistema di raffreddamento tramite ventole. L’accesso a tali apparti è consentito esclusivamente alle persone autorizzate.
SICUREZZA LOGICA •Sistema per l’autenticazione e il controllo degli accessi ai Personal Computer, alla rete informatica di CSS, alle applicazioni, alle informazioni, alla rete Internet •Sistema di accesso da remoto alla rete informatica di CSS basato su strumenti di autenticazione forte •Sistema per il controllo dell’instradamento del traffico di rete interno •Protezione dei dati: utilizzo di tecnologie RAID5, adozione di procedure per realizzare copie di salvataggio periodiche, per la custodia delle copie di sicurezza, e il ripristino della disponibilità dei dati e dei sistemi •Tecnologie e strumenti idonei a contrastare attività non autorizzate all’interno della rete (download abusivo di software, musica e film, accesso a siti con contenuti illeciti,…) •Sistema anti-virus centralizzato •Sistema centralizzato per l’aggiornamento in tempo reale dei Personal Computer con i rilasci di sicurezza (Vista, XP, Windows 2000); •Sistema per il controllo e tracciamento delle pagine visitate dagli utenti nel corso della navigazione su Internet (in modo conforme alla normativa) •Sistema anti-intrusione per la protezione esterna della rete informatica di CSS • Sistema di Intrusion Detection e Prevention: monitoraggio del traffico di rete in entrata con strumenti di individuazione e blocco delle connessioni critiche
"Accanto al bene individuale, c'è un bene legato al vivere sociale delle persone: il bene comune. E' il bene di quel "noi-tutti", formato da individui, famiglie e gruppi intermedi che si uniscono in una comunità sociale (...) Volere il bene comune ed adoperarsi per esso è esigenza di giustizia e carità. Impegnarsi per il bene comune è prendersi cura, da una parte,e avvalersi, dall'altra, di quel complesso di istituzioni che strutturano giuridicamente, civilmente, politicamente, culturalmente il vivere sociale, che in tal modo prende forma di pòlis, di città. Si ama tanto più efficacemente il prossimo, quanto più ci si adopera per un bene comune rispondente anche ai suoi reali bisogni (...) Quando la carità lo anima, l'impegno per il bene comune ha una valenza superiore a quella dell'impegno soltanto secolare e politico. Come ogni impegno per la giustizia esso s'inscrive in quella testimonianza della carità divina che, operando nel tempo, prepara l'eterno.“ (Benedetto XVI, Caritas in Veritate pag. 8-9)
Puoi anche leggere
