در این مقاله سعی میشود با تعریف مفاهیم مهم و اساسی پرونده الکترونیک سلامت، مسائل مرتبط با امنیت سیستمها و تجهیزات پزشکی، حفظ حریم خصوصی بیماران و دستاندرکاران حوزه پزشکی، دسترسی و مدیریت امن EHRها، بر اساس استانداردهای 27011 & 27001 ISO/IEC نیز بررسی شود.
تعاریف EHR، EMR، CDO، PHR و بررسی رابطه میان آنها
توجه به پرونده الکترونیک سلامت (EHR) و مدارک الکترونیک پزشکی (EMR) در چشمانداز فراگیر دیجیتال مراقبتهای بهداشتی برای بهبود ایمنی، کیفیت مراقبت از بیمار و کاهش هزینه مراقبتهای بهداشتی و درمانی، ضروری است. EHRها متشکل از EMRهاست در حالی که EMRها توسط ارائهکنندگان مراقبتهای بهداشت فردی ارائه میشوند. تعامل مناسب میان EHRها باعث میشود EMR به قابلیتهای لازم برای تحول در ارائه مراقبتهای بهداشتی با کیفیت بالا و هزینههای مقرون به صرفه، دست یابد.
پرونده الکترونیک سلامت، در واقع شرح قانونمند مواردی است که برای بیمار در یک سازمان تحویل مراقبت (CDO) چه به صورت بستری یا سرپایی، اتفاق افتاده است. EMR توسط دستاندرکاران بهداشت و درمان، به عنوان یک سند، برای نظارت و مدیریت ارائه مراقبتهای بهداشتی در درون یک CDO، ایجاد، حفظ و نگهداری میشود.
معمولا یک سیستم EMR از چند سیستم زیرمجموعه مختلف، شامل مخزن اطلاعات بالینی (CDR)، سیستم پشتیبان تصمیمگیری بالینی (CDSS)، واژگان کنترل شده پزشکی (CMV6)، ارائهکنندگان برای ورودی کامپیوتری (CPOE) ، سیستم مدیریت داروخانه (PMS) ، پرونده مدیریت پزشکی الکترونیک (Emar) و بعضی از سیستمهای مستندات بالینی تشکیل شده است.
EHR که توسط بیمار ایجاد میشود، متعلق به او بوده و زیرمجموعهای از EMR است که توسط CDOها نگهداری میشود. PHR0 نیز خلاصه کامل و دقیقی از تاریخچه بهداشتی ـ درمانی یک فرد است که با جمعآوری اطلاعات از منابع مختلف، شامل EMR و EHR به دست میآید. بنابراین، با توجه به تعاریف استاندارد 18308 ISO/TS و تحلیلهای انجمن سیستمهای مدیریت و اطلاعات مراقبت سلامت (HIMSS)، میتوانیم نتیجه بگیریم که پرونده پزشکی بیمار، ممکن است به PHR، EMR و EHR اشاره داشته باشد.
مسائل امنیتی و حریم خصوصی در بهداشت و درمان
در چند سال گذشته، تحقیقات فراوانی درباره مسائل امنیتی و حفظ حریم خصوصی در سیستمهای اطلاعات بهداشتی و درمانی انجام شده است. استاندارد 18308 ISO/TS، تعریفهایی را از امنیت و مسائل مربوط به حفظ حریم خصوصی در EHR ارائه میکند.
انجمن بینالمللی IMIA نیز برای بررسی مسائل مرتبط با حفاظت از دادهها و امنیت در محیطهای بهداشت و درمان تشکیل شده که به طور عمده، روی امنیت در سیستمهای EHR و ارائه راهحلهای امنیتی مشترک برای برقراری ارتباط دادههای بیمار متمرکز شده است. در اروپا هم، یک پروژه به نام AIM/SEISMED (انفورماتیک پیشرفته در پزشکی/محیط امن برای سیستمهای اطلاعات در پزشکی) برای بررسی طیف گستردهای از مسائل امنیتی در مراقبتهای بهداشتی، آغاز شده که دستورالعملهایی عملی نیز برای ایجاد مراقبتهای بهداشتی امن منتشر کرده است.
بتازگی خدمات بهداشتی و انسانی آمریکا (HHS) گزارشی با هدف توسعه پرونده سلامت شخصی (PHR) منتشر کرده است که در آن، PHR بیماران، بدون توجه به جایی که بیمار، خواستار مراقبتهای پزشکی است، میتواند به صورت امن از طریق اینترنت در دسترس پزشکان و دیگر ارائهدهندگان خدمات مراقبتهای بهداشتی و درمانی قرار گیرد.
امنیت بهداشت و درمان و الزامات حفظ حریم خصوصی
گرچه بعضی از نیازهای امنیتی و حفظ حریم خصوصی در برنامههای بهداشت و درمان در ایران به دلیل نداشتن استاندارد واحد کشوری در این زمینه تا حدود زیادی وابسته به تدابیر لحاظ شده از سوی مراکز درمانی است، ولی در این قسمت، سعی میشود به طور خلاصه، مهمترین این موارد بررسی شود:
ممکن است یک بیمار، پروندههای الکترونیک سلامت متعددی در EMRهای CDOهای مختلف داشته باشد که اطلاعات آنها، برای بیمار حساس بوده و جزو حریم خصوصی وی قلمداد میشود و او با توجه به نگرانیهایی که دارد، نخواهد اطلاعات این پروندهها فاش شده یا در دسترس افراد غیرمجاز قرار بگیرد. بنابراین، دسترسی به اطلاعات EHR باید از طریق یک روال کنترل شده و براساس مجوزهای لازم صورت گیرد.
ممکن است یک پزشک، بیمارانی در سیستمهای EMR مختلف داشته باشد که لازم است از طریق سازوکارهای احراز هویت، دسترسی وی به مدارک بیماران امکانپذیر شود. صحت اطلاعات نیز، پس از پایان بررسی پرونده بیمار، باید به تائید وی برسد.
ذخیرهسازی امن اطلاعات و تضمین یکپارچگی دادهها توسط CDOها.
در مواردی که اطلاعات EHR در CDOهای مختلف به اشتراک گذاشته میشود، باید مالکیت EHR به صورت دقیق و شفاف مشخص بوده و مالک آن، تمام الزامات امنیتی را درخصوص EHR به عمل آورد. مالک EHR موظف است تمهیدات لازم را برای محافظت از اطلاعات در برابر دسترسیهای غیرمجاز یا سوءاستفاده از اطلاعات پزشکی بیمار از طریق روشهای فیزیکی مانند توکنهای احراز هویت کاربران سیستم EMR و همچنین رمزنگاری اطلاعات به عمل آورد.
برای ورود کاربران به سیستم EHR، باید از روشهای صحت و تصدیق هویت کاربران استفاده شود.
استفاده از گواهینامههای SSL و پروتکلهای رمزنگاری اطلاعات برای تامین امنیت دادههای در حال انتقال در طول شبکههای عمومی نظیر اینترنت توسط CDO.
با استفاده از روشهایی همچون امضای دیجیتال، نهاننگاری و رمزگذاری اطلاعات، باید از عدم انکار اطلاعات توسط افراد دخیل در امر مراقبتهای بهداشتی جلوگیری کرد و تمام افراد، ملزم به انجام تعهدات خویش شوند.
در سیستم مراقبتهای بهداشتی و درمانی، اطلاعات باید از یکپارچگی و جامعیت به معنای حفظ دقت، صحت و قوام دادهها برخوردار بوده و از دستکاری غیرمجاز، مصون بمانند. همچنین محرمانه بودن این اطلاعات نیز طبق استاندارد 17799 ISO به معنای اینکه اطمینان حاصل شود که اطلاعات تنها در دسترس کسانی است که مجاز به دسترسی به آنها هستند تضمین شود، که این امر نیز به کمک روشهای رمزنگاری امکانپذیر است.
اطلاعات EHR بر اساس اصل دسترسپذیری امنیت، باید در زمانی که به آنها نیاز است، در دسترس افراد مجاز قرار گیرد.
سیستمهای رایانهای که EHR در آنها ذخیره و پردازش میشود، باید از کنترلهای امنیتی لازم برخوردار باشد و در برابر کمترین مخاطرات، همچون نوسانات و قطع برق، خللی در ارائه خدمات پزشکی برای بیماران ایجاد نشود.
ارتقای سیستمها و تجهیزات و همچنین خرابیهای ناشی از فرسودگی سختافزار، نتواند اختلالاتی را در ارائه خدمات به بیماران ایجاد کند.
سیستمهای مراقبتهای بهداشتی و درمانی، در فاصلههای زمانی معین برای اطمینان از صحت عملکرد و رعایت نکات امنیتی لحاظ شده، توسط کارشناسان مربوط، مورد ممیزی قرار گیرند.
تهیه نسخههای پشتیبان از اطلاعات، براساس قواعد مشخص، توسط CDOها صورت پذیرد.
تمام تعریفهای جدید در سیستم EMR از قبیل اضافه کردن پزشکان، بیماران یا کاربران سیستم، باید براساس یک روش اصولی و قاعدهمند و طبق ضوابط مشخصی که از قبل توسط CDO وضع شده است، صورت پذیرد.
هر بیمار در سیستم EMR باید دارای ID منحصر به فرد بوده که ردیابی فعالیتها و اقدامات انجام شده توسط ارائهکنندگان مراقبتهای بهداشتی و درمانی، از طریق آن شناسه صورت پذیرد. برای تعریف این PID بهتر است از کدهای یکتا همچون کد ملی به جای کدهای انتخابی که ممکن است با دیگر CDOها همخوانی یا ناهمخوانی داشته باشد یا به کار بردن نام و نام خانوادگی که در آن، افراد مشابهتهای زیادی با یکدیگر دارند،
استفاده شود.
در مواردی که کاربران سیستم EMR و دستاندرکاران امر مراقبتهای بهداشتی و درمانی، دچار اشتباه یا خطایی در روند ورود اطلاعات در سیستم EMR یا حذف ناخواسته اطلاعات از پرونده الکترونیک سلامت بیمار میشوند، باید CDO با دید باز با این موارد برخورد کرده و ضمن دادن شهامت لازم، آنان را برای اعلام موارد اشتباه تشویق کند؛ زیرا پرونده بیمار باید در تمام شرایط، حاوی اطلاعات صحیح و درستی از اطلاعات حساس بیمار باشد و با آموزش اصولی کاربران، باید از تکرار موارد اینچنینی جلوگیری کرد.
طرحهای رمزنگاری مورد استفاده توسط سیستم، در حین کارآمدی، باید آسان بوده و براحتی نیز در تمام فرآیندهای سیستمی جدید، قابل توسعه و گسترش باشد. بهتر است از طرحهایی که بشدت وابسته به کلید خصوصی افراد هستند، جلوگیری و از الگوریتمهای رمزنگاری مناسب استفاده شود.
کنترلهای امنیتی لازم برای هنگامی که یکی از کاربران سیستم EMR تغییر شغل یافته یا از سازمان اخراج میشود، اعمال گردد تا از افشا یا تغییرات ناخواسته و نامجاز در سیستم جلوگیری شود.
امضای دیجیتال یک ابزار بسیار مفید برای ارائه صحت، صداقت و عدم انکار است. باید از هویت امضاءکننده جهت استراق سمع و موارد دیگر، حفاظتهای لازم توسط CDOها به عمل آید.
محمدمهدی واعظینژاد
سید رضا صدرالحسینی در یادداشتی اختصاصی برای جام جم آنلاین مطرح کرد
دانشیار حقوق بینالملل دانشگاه تهران در یادداشتی اختصاصی برای جام جم آنلاین مطرح کرد
یک پژوهشگر روابط بینالملل در گفتگو با جام جم آنلاین مطرح کرد
در یادداشتی اختصاصی برای جام جم آنلاین مطرح شد
در گفتوگو با امین شفیعی، دبیر جشنواره «امضای کری تضمین است» بررسی شد