Interoperabilità tecnica

Architettura della CIP

L’architettura tecnica della cartella informatizzata del paziente (CIP) consiste di componenti tecnici centrali della Confederazione e di diverse comunità e comunità di riferimento collegate tra loro.

Nell’ambito della CIP una comunità è un’unità organizzativa di professionisti della salute e delle rispettive strutture, che si riuniscono e offrono congiuntamente la CIP. Le comunità di riferimento sono comunità in cui i pazienti possono aprire e gestire la loro CIP.

Tutte le organizzazioni riunite costituiscono una cosiddetta «area riservata» con elevati requisiti in materia di protezione e sicurezza dei dati, la cui osservanza è regolarmente verificata mediante una certificazione ai sensi della legge sulla cartella informatizzata del paziente (LCIP). Anche le interfacce tra i sistemi IT e la CIP sono regolamentate e si basano sugli standard stabiliti a livello nazionale e internazionale nel contesto medico.

Pure gli emittenti di strumenti d’identificazione elettronica (eID) per effettuare l’accesso alla CIP devono comprovare il rispetto di elevati livelli di protezione nell’ambito della certificazione.

Link interno: Maggiori informazioni sulle comunità (di riferimento)

Link interno: Maggiori informazioni sugli emittenti certificati di strumenti d’identificazione elettronica

Per costituire la CIP la Svizzera si rifà a standard affermati a livello nazionale e internazionale, tra l’altro basandosi sull’iniziativa di standardizzazione «Integrating the Healthcare Enterprise» (IHE). L’iniziativa si prefigge di migliorare lo scambio di dati e l’interoperabilità dei sistemi IT nel settore sanitario su scala mondiale. Le prescrizioni stabilite si applicano anche alla CIP e, se necessario, verranno ulteriormente precisate nell’ordinanza. Il seguente grafico raffigura i profili d’integrazione che definiscono i componenti rilevanti del software e le relative interfacce.

Link esterno: Tabella dei profili d’integrazione IHE per la CIP (in inglese) (609 KB, 04/10/23)

Link esterno: Livello di maturità profili d’integrazione IHE per la CIP (in inglese) (428 KB, 20/11/23)

Componenti CIP nazionali

La Confederazione gestisce servizi di ricerca centralizzati per i dati necessari alla comunicazione tecnica tra le comunità. Questi servizi, per esempio, forniscono informazioni su quali professionisti della salute, gruppi di professionisti della salute e relative organizzazioni sono registrati e partecipano alla CIP.
In questo modo i pazienti sanno a chi possono attribuire i diritti d'accesso.

I professionisti della salute, i gruppi di professionisti della salute e le relative organizzazioni che aderiscono alla CIP sono elencati nel registro HPD. Al riguardo ogni struttura sanitaria deve designare almeno un professionista della salute come utente CIP. I pazienti hanno la possibilità di attribuire diritti d'accesso ai professionisti della salute e a gruppi di professionisti della salute registrati nell’HPD oppure escludere determinate persone dall’accesso alla loro CIP.

Questo elenco dell’UFSP contiene le informazioni tecniche su tutti i punti d'accesso (endpoint) delle comunità (di riferimento) certificate che sono collegate all’area riservata CIP. In tal modo i sistemi della piattaforma CIP possono verificare in qualsiasi momento i sistemi con i quali si collegano e possono scambiare dati protetti.

Nell’MDI sono predisposti i metadati rilevanti per la CIP in un formato elaborabile che renda leggibili le informazioni per un sistema IT.


L’Ufficio centrale di compensazione della Confederazione emette i numeri AVS e li gestisce nella sua banca dati, che è stata ampliata per rilasciare anche i numeri di identificazione personale a livello di settore, uno dei quali è la CIP. Il numero d’identificazione nazionale del paziente, il cosiddetto «Electronic Patient Record – Sectorial Person Identification Number» (EPR-SPID), è attribuito su richiesta quando viene aperta una nuova CIP. È utilizzato per identificare i titolari di CIP all’interno delle comunità e per l’applicazione tecnica dei diritti d'accesso. Nell’ambito della CIP il numero AVS può essere utilizzato soltanto per richiedere l’EPR-SPID che, da solo, non consente di risalire al numero AVS13.

Gli identificatori di oggetti (OID, Object Identifier) sono stringhe di numeri per identificare in modo univoco a livello mondiale oggetti di ogni tipo, per esempio strutture, sistemi informatici, documenti, messaggi, certificati o classificazioni.

Nell’attuazione dell'architettura eHealth gli OID svolgono un importante ruolo per l’interoperabilità tecnica e semantica. L’UFSP ha deciso che tutti gli OID delle comunità e delle strutture sanitarie ad esse affiliate utilizzati nell’ambito della CIP devono essere inseriti in un registro OID nazionale. Il registro OID viene gestito dalla fondazione RefData. Ad aprile 2010 eHealth Suisse ha approvato un piano OID che disciplina l’utilizzo di OID nel sistema sanitario svizzero.

Gli OID sono necessari anche quando si lavora con la CIP: sono utilizzati per l’identificazione univoca degli endpoint tecnici per lo scambio di dati tra le comunità. In questo modo le strutture sanitarie o anche i gruppi di professionisti della salute all’interno delle organizzazioni sono identificati in modo univoco. L’OID di un gruppo di professionisti della salute è necessario per la concessione dei diritti d'accesso da parte del paziente e per la successiva determinazione dei diritti d'accesso dei singoli membri a una CIP.

Link esterno: Piano: OID (in tedesco) (719 KB, 03/10/23)

Link esterno: Scheda informativa: Identificatori di oggetto OID (in tedesco) (153 KB, 19/09/23)

Link esterno: Registro OID

Link esterno: Fondazione RefData

Componenti CIP delle comunità (di riferimento)

L’infrastruttura tecnica delle comunità e quella delle comunità di riferimento si differenziano solo di poco a livello di struttura. Le comunità di riferimento devono offrire anche un portale per i pazienti e una banca dati per archiviare e gestire le configurazioni di autorizzazione per accedere alle CIP dei pazienti.

Una banca dati nella quale i sistemi tecnici dei fornitori di prestazioni aderenti e i componenti centrali delle piattaforme CIP possono gestire e consultare i numeri d’identificazione dei pazienti.

Nella predisposizione dei dati medici nella CIP i metadati dei documenti, tra cui il titolo dei documenti, la persona che li predispone, la specializzazione e altre informazioni nonché il riferimento al documento stesso sono memorizzati nell’archivio del registro dei documenti, dove sono gestite anche le diverse versioni dei documenti. L’utente che consulta una CIP ottiene un elenco dei risultati trovati con i metadati attinti dal registro dei documenti, dopo di che il documento che interessa può essere richiamato dall’archivio dei documenti.

In questo archivio sono memorizzati i documenti presenti nelle CIP dei pazienti.

Ogni comunità (di riferimento) deve gestire tutti i professionisti della salute registrati per la CIP e garantire che essi accedano al sistema CIP solo attraverso un’autenticazione a due fattori. Le comunità di riferimento devono altresì amministrare tutte le identità dei loro pazienti, assicurandone l’autenticazione a due fattori. Sia i pazienti che i professionisti della salute necessitano a tal fine di un’identità elettronica (eID).

Ogni comunità (di riferimento) deve predisporre un portale d'accesso per i suoi professionisti della salute registrati, a meno che questi non possano accedere direttamente alla CIP attraverso il loro sistema primario. Il portale d'accesso consente ai professionisti della salute di visionare i documenti CIP dei propri pazienti.

Ogni comunità di riferimento deve offrire ai propri pazienti un portale attraverso il quale essi possono visionare i propri documenti e disporre dei protocolli d'accesso alla CIP nonché gestire le autorizzazioni d'accesso. Attraverso il portale i pazienti devono inoltre poter archiviare i propri documenti nella loro CIP.

Questo componente software all’interno della comunità (di riferimento) deve garantire che tutte le impostazioni di autorizzazione degli utenti CIP siano applicate correttamente. In particolare la visione dei dati medici deve essere interdetta alle persone non autorizzate.

Questo componente software all’interno della comunità (di riferimento) deve garantire che tutte le attività siano correttamente verbalizzate e, all’occorrenza, presentate al paziente nel portale per pazienti in un formato di facile lettura. Ciò riguarda in particolare tutti i tentativi di accesso e gli accessi riusciti ai documenti CIP del paziente. Il verbale degli accessi è conservato per dieci anni.

Identità elettronica (eID) per l’accesso alla CIP

La legge federale sulla cartella informatizzata del paziente prescrive una rigida verifica delle identità personali, definita anche «autenticazione forte». Essa si applica nei confronti di tutti gli utenti CIP, siano essi professionisti della salute registrati o pazienti che aprono una CIP. Per l’autenticazione, i pazienti e i professionisti della salute devono seguire un processo a due fasi, per il quale è necessario uno smartphone. Dopo aver immesso il nome utente e la password, l’identità deve essere verificata mediante un codice inviato via SMS oppure una notifica dell’app. Per le strutture sanitarie sono possibili altre procedure di autenticazione a due fasi, per esempio con una Smart Card, se hanno impostato la possibilità di accedere alla CIP nei loro sistemi primari con un solo set di credenziali («Single Sign On»).

Da un lato, il processo a due fasi consente di identificare chi, quando e quali azioni ha compiuto, potendo così assicurare una verbalizzazione corretta e la tracciabilità nei confronti dei pazienti. Dall’altro l’identità elettronica migliora la sicurezza dell’intero sistema attraverso un rigido controllo degli accessi. Nella legge e nell’ordinanza la Confederazione stabilisce i requisiti tecnici minimi da soddisfare in termini di sicurezza per l’emissione di identità elettroniche. Gli emittenti di identità elettroniche devono superare una procedura di certificazione.