تبلیغات
آموزش - الزامات امنیتی پرونده‌ الكترونیك سلامت
با توجه به سیاست‌های ابلاغی وزارت بهداشت، درمان و آموزش پزشكی كشورمان مبنی بر الزام بیمارستان‌ها و مراكز درمانی به تشكیل پرونده‌های الكترونیك سلامت (EHR) و همچنین یكپارچه‌سازی این پرونده‌ها در یك پایگاه داده واحد كشوری، لزوم ایجاد یك محیط امن به اشتراك‌گذاری EHR كه مورد تائید كارشناسان بهداشت و درمان و همچنین متخصصان امنیت فناوری اطلاعات باشد، بیش از پیش نمایان است.

در این مقاله سعی می‌شود با تعریف مفاهیم مهم و اساسی پرونده الكترونیك سلامت، مسائل مرتبط با امنیت سیستم‌ها و تجهیزات پزشكی، حفظ حریم خصوصی بیماران و دست‌اندركاران حوزه پزشكی، دسترسی و مدیریت امن EHRها، بر اساس استانداردهای 27011 & 27001 ISO‌/‌IEC نیز بررسی شود.

تعاریف EHR، EMR، CDO، PHR و بررسی رابطه میان آنها

توجه به پرونده الكترونیك سلامت (EHR) و مدارك الكترونیك پزشكی (EMR) در چشم‌انداز فراگیر دیجیتال مراقبت‌های بهداشتی برای بهبود ایمنی، كیفیت مراقبت از بیمار و كاهش هزینه مراقبت‌های بهداشتی و درمانی، ضروری است. EHR‌ها متشكل از EMRهاست در حالی كه EMR‌ها توسط ارائه‌كنندگان مراقبت‌های بهداشت فردی ارائه می‌شوند. تعامل مناسب میان EHRها باعث می‌شود EMR به قابلیت‌های لازم برای تحول در ارائه مراقبت‌های بهداشتی با كیفیت بالا و هزینه‌های مقرون به صرفه، دست یابد.

پرونده الكترونیك سلامت، در واقع شرح قانونمند مواردی است كه برای بیمار در یك سازمان تحویل مراقبت (CDO) چه به صورت بستری یا سرپایی، اتفاق افتاده است. EMR توسط دست‌اندركاران بهداشت و درمان، به عنوان یك سند، برای نظارت و مدیریت ارائه مراقبت‌های بهداشتی در درون یك CDO، ایجاد، حفظ و نگهداری می‌شود.

معمولا یك سیستم EMR از چند سیستم زیرمجموعه مختلف، شامل مخزن اطلاعات بالینی (CDR)، سیستم پشتیبان تصمیم‌گیری بالینی (CDSS)، واژگان كنترل شده پزشكی (CMV6)‌، ارائه‌كنندگان برای ورودی كامپیوتری (CPOE) ، سیستم مدیریت داروخانه (PMS) ، پرونده مدیریت پزشكی الكترونیك (Emar) و بعضی از سیستم‌های مستندات بالینی تشكیل شده است.

EHR كه توسط بیمار ایجاد می‌شود، متعلق به او بوده و زیرمجموعه‌ای از EMR است كه توسط CDOها نگهداری می‌شود. PHR0 نیز خلاصه كامل و دقیقی از تاریخچه بهداشتی ـ درمانی یك فرد است كه با جمع‌آوری اطلاعات از منابع مختلف، شامل EMR و EHR به دست می‌آید. بنابراین، با توجه به تعاریف استاندارد 18308 ISO‌/‌TS و تحلیل‌های انجمن سیستم‌های مدیریت و اطلاعات مراقبت سلامت (HIMSS)، می‌توانیم نتیجه بگیریم كه پرونده پزشكی بیمار، ممكن است به PHR، EMR و EHR اشاره داشته باشد.

مسائل امنیتی و حریم خصوصی در بهداشت و درمان

در چند سال گذشته، تحقیقات فراوانی درباره مسائل امنیتی و حفظ حریم خصوصی در سیستم‌های اطلاعات بهداشتی و درمانی انجام شده است. استاندارد 18308 ISO‌/‌TS، تعریف‌هایی را از امنیت و مسائل مربوط به حفظ حریم خصوصی در EHR ارائه می‌كند.

انجمن بین‌المللی IMIA نیز برای بررسی مسائل مرتبط با حفاظت از داده‌ها و امنیت در محیط‌های بهداشت و درمان تشكیل شده كه به طور عمده، روی امنیت در سیستم‌های EHR و ارائه راه‌حل‌های امنیتی مشترك برای برقراری ارتباط داده‌های بیمار متمركز شده است. در اروپا هم، یك پروژه به نام AIM‌/‌SEISMED (انفورماتیك پیشرفته در پزشكی‌/‌محیط امن برای سیستم‌های اطلاعات در پزشكی) برای بررسی طیف گسترده‌ای از مسائل امنیتی در مراقبت‌های بهداشتی، آغاز شده كه دستورالعمل‌هایی عملی نیز برای ایجاد مراقبت‌های بهداشتی امن منتشر كرده است.

بتازگی خدمات بهداشتی و انسانی آمریكا (HHS) گزارشی با هدف توسعه پرونده سلامت شخصی (PHR) منتشر كرده است كه در آن، PHR بیماران، بدون توجه به جایی كه بیمار، خواستار مراقبت‌های پزشكی است، می‌تواند به صورت امن از طریق اینترنت در دسترس پزشكان و دیگر ارائه‌دهندگان خدمات مراقبت‌های بهداشتی و درمانی قرار گیرد.

امنیت بهداشت و درمان و الزامات حفظ حریم خصوصی

گرچه بعضی از نیازهای امنیتی و حفظ حریم خصوصی در برنامه‌های بهداشت و درمان در ایران به دلیل نداشتن استاندارد واحد كشوری در این زمینه تا حدود زیادی وابسته به تدابیر لحاظ شده از سوی مراكز درمانی است، ولی در این قسمت، سعی می‌شود به طور خلاصه، مهم‌ترین این موارد بررسی شود:

ممكن است یك بیمار، پرونده‌های الكترونیك سلامت متعددی در EMRهای CDOهای مختلف داشته باشد كه اطلاعات آنها، برای بیمار حساس بوده و جزو حریم خصوصی وی قلمداد می‌شود و او با توجه به نگرانی‌هایی كه دارد، نخواهد اطلاعات این پرونده‌ها فاش شده یا در دسترس افراد غیرمجاز قرار بگیرد. بنابراین، دسترسی به اطلاعات EHR باید از طریق یك روال كنترل شده و براساس مجوزهای لازم صورت گیرد.

ممكن است یك پزشك، بیمارانی در سیستم‌های EMR مختلف داشته باشد كه لازم است از طریق سازوكارهای احراز هویت، دسترسی وی به مدارك بیماران امكان‌پذیر شود. صحت اطلاعات نیز، پس از پایان بررسی پرونده بیمار، باید به تائید وی برسد.

ذخیره‌سازی امن اطلاعات و تضمین یكپارچگی داده‌ها توسط CDOها.

در مواردی كه اطلاعات EHR در CDOهای مختلف به اشتراك گذاشته می‌شود، باید مالكیت EHR به صورت دقیق و شفاف مشخص بوده و مالك آن، تمام الزامات امنیتی را درخصوص EHR به عمل آورد. مالك EHR موظف است تمهیدات لازم را برای محافظت از اطلاعات در برابر دسترسی‌های غیرمجاز یا سوءاستفاده از اطلاعات پزشكی بیمار از طریق روش‌های فیزیكی مانند توكن‌های احراز هویت كاربران سیستم EMR و همچنین رمزنگاری اطلاعات به عمل آورد.

برای ورود كاربران به سیستم EHR، باید از روش‌های صحت و تصدیق هویت كاربران استفاده شود.

استفاده از گواهینامه‌های SSL و پروتكل‌های رمزنگاری اطلاعات برای تامین امنیت داده‌های در حال انتقال در طول شبكه‌های عمومی نظیر اینترنت توسط CDO.

با استفاده از روش‌هایی همچون امضای دیجیتال، نهان‌نگاری و رمزگذاری اطلاعات، باید از عدم انكار اطلاعات توسط افراد دخیل در امر مراقبت‌های بهداشتی جلوگیری كرد و تمام افراد، ملزم به انجام تعهدات خویش شوند.

در سیستم مراقبت‌های بهداشتی و درمانی، اطلاعات باید از یكپارچگی و جامعیت به معنای حفظ دقت، صحت و قوام داده‌ها برخوردار بوده و از دستكاری غیرمجاز، مصون بمانند. همچنین محرمانه بودن این اطلاعات نیز طبق استاندارد 17799 ISO به معنای این‌كه اطمینان حاصل شود كه اطلاعات تنها در دسترس كسانی است كه مجاز به دسترسی به آنها هستند تضمین شود، كه این امر نیز به كمك روش‌های رمزنگاری امكان‌پذیر است.

اطلاعات EHR بر اساس اصل دسترس‌پذیری امنیت، باید در زمانی كه به آنها نیاز است، در دسترس افراد مجاز قرار گیرد.

سیستم‌های رایانه‌ای كه EHR در آنها ذخیره و پردازش می‌شود، باید از كنترل‌های امنیتی لازم برخوردار باشد و در برابر كمترین مخاطرات، همچون نوسانات و قطع برق، خللی در ارائه خدمات پزشكی برای بیماران ایجاد نشود.

ارتقای سیستم‌ها و تجهیزات و همچنین خرابی‌های ناشی از فرسودگی سخت‌افزار، نتواند اختلالاتی را در ارائه خدمات به بیماران ایجاد كند.

سیستم‌های مراقبت‌های بهداشتی و درمانی، در فاصله‌های زمانی معین برای اطمینان از صحت عملكرد و رعایت نكات امنیتی لحاظ شده، توسط كارشناسان مربوط، مورد ممیزی قرار گیرند.

تهیه نسخه‌های پشتیبان از اطلاعات، براساس قواعد مشخص، توسط CDOها صورت پذیرد.

تمام تعریف‌های جدید در سیستم EMR از قبیل اضافه كردن پزشكان، بیماران یا كاربران سیستم، باید براساس یك روش اصولی و قاعده‌مند و طبق ضوابط مشخصی كه از قبل توسط CDO وضع شده است، صورت پذیرد.

هر بیمار در سیستم EMR باید دارای ID منحصر به فرد بوده كه ردیابی فعالیت‌ها و اقدامات انجام شده توسط ارائه‌كنندگان مراقبت‌های بهداشتی و درمانی، از طریق آن شناسه صورت پذیرد. برای تعریف این PID بهتر است از كدهای یكتا همچون كد ملی به جای كدهای انتخابی كه ممكن است با دیگر CDOها همخوانی ‌یا ناهمخوانی داشته باشد یا به كار بردن نام و نام خانوادگی كه در آن، افراد مشابهت‌های زیادی با یكدیگر دارند، استفاده شود.

در مواردی كه كاربران سیستم EMR و دست‌اندركاران امر مراقبت‌های بهداشتی و درمانی، دچار اشتباه یا خطایی در روند ورود اطلاعات در سیستم EMR یا حذف ناخواسته اطلاعات از پرونده الكترونیك سلامت بیمار می‌شوند، باید CDO با دید باز با این موارد برخورد كرده و ضمن دادن شهامت لازم، آنان را برای اعلام موارد اشتباه تشویق كند؛ زیرا پرونده بیمار باید در تمام شرایط، حاوی اطلاعات صحیح و درستی از اطلاعات حساس بیمار باشد و با آموزش اصولی كاربران، باید از تكرار موارد اینچنینی جلوگیری كرد.

طرح‌های رمزنگاری مورد استفاده توسط سیستم، در حین كارآمدی، باید آسان بوده و براحتی نیز در تمام فرآیندهای سیستمی جدید، قابل توسعه و گسترش باشد. بهتر است از طرح‌هایی كه بشدت وابسته به كلید خصوصی افراد هستند، جلوگیری و از الگوریتم‌های رمزنگاری مناسب استفاده شود.

كنترل‌های امنیتی لازم برای هنگامی كه یكی از كاربران سیستم EMR تغییر شغل یافته یا از سازمان اخراج می‌شود، اعمال گردد تا از افشا یا تغییرات ناخواسته و نامجاز در سیستم جلوگیری شود.

امضای دیجیتال یك ابزار بسیار مفید برای ارائه صحت، صداقت و عدم انكار است. باید از هویت امضاءكننده جهت استراق سمع و موارد دیگر، حفاظت‌های لازم توسط CDOها به عمل آید.




طبقه بندی: مطالب آموزشی، امنیت دیجیتالی،

تاریخ : جمعه 27 اردیبهشت 1392 | 02:24 ب.ظ | نویسنده : علیرضا میرزاخواه | نظرات
.: Weblog Themes By VatanSkin :.