电子病历的安全管理策略分析

2013-03-24 06:57王琳
当代医学 2013年7期

王琳

随着卫生体制改革的不断深入,卫生部提出了“以电子病历为核心的医院信息化建设”的要求,电子病历已成为医疗卫生信息化重点建设的项目。电子病历系统是实现病历信息的长期管理及病历信息共享利用的一个平台,它不仅能提高医疗工作效率和质量、满足临床科研和教学需要,而且还能提升医院的管理水平和服务水平。显然电子病历系统是非常重要的,那么它的安全管理问题就必须予以重视。本研究以我院为例,探讨电子病历的安全现状以及相应的安全管理措施。

1 我院电子病历应用情况

我院是一家三级甲等医院,自 2006年开始使用电子病历。当时医务人员是通过WORD文字处理软件来实现病历文档的编辑和打印,最多只能称为电子化的病历文书,仅仅起到了适当减轻临床工作量的作用,离真正意义的电子病历相差甚远。2010年我院引进了电子病历系统,该系统实现了医护人员日常书写、查阅病历的需求,它将患者在院期间的所有医疗信息通过计算机管理。目前,我院已具备了临床信息系统(CIS),并且建立了基于电子病历(EMR)的医院信息平台,同时还实现了基于第三方认证的门诊住院、检查检验、手麻、血库的数字签名认证,实现了门诊和住院的无纸化运作,实施了移动查房和移动护理,建成了较完善的数字化体系。2011年我院作为电子病历试点医院参加了电子病历的评级工作,达到了电子病历分级评价标准的四级标准。

2 存在的安全隐患

通过电子病历在我院从实施上线、到个性化修改、再到运转稳定的整过过程,总结出电子病历系统常常被忽视的安全隐患。

2.1 密码安全意识淡薄 医生对密码安全不够重视。虽然医务人员要通过工号和密码来登录系统,但实际上,医生密码设置过于简单,容易被人盗取;还有的为了书写方便,多个医生设置一个相同密码。

2.2 病例内容交叉复制 电子病历反映的是患者在医院就诊时的整个诊疗过程记录,这就要求病历信息如实反映患者的真实情况。虽然复制、粘贴极大地提高了病历书写的效率,但其导致病历内容千篇一律或张冠李戴,致使很多病历内容错误百出[1],造成信息真实性无法保证。例如:女性患者体格检查中记录了对男性生殖器官检查的描述;男性患者有“月经史”等。

2.3 病历质控不到位 医院的三级质控体制不够健全,责任未得到很好落实。个别科室质控员未能按要求履行职责,未对病历自查自纠,致使病历书写不符合规范要求。常出现病例内容前后矛盾的错误。例:某患者病案首页上出院时间是 3月20日,但在大病历里出院时间却是 3月18日;甲大夫的查房记录最后签名的地方却是乙大夫的名字等。

2.4 忽视数据传输过程的安全 电子病历系统多数运行在是在医院局域网上,信息内容一般在局域网的终端与服务器之间传输。如果传输过程中的安全不能很好保证,病历信息就有可能被窃取并篡改,这就无法保障医务人员在终端上前期录入的信息和后期浏览的信息的一致性、真实性[2]。

2.5 忽视数据存储的安全 电子病历信息多数是以明文的方式保存在后台数据库服务器上,而后台数据库服务器对于某些人是透明的。医生在终端录入的病历信息提交后,至于数据库上的数据是否有人更改过,整个过程无人监督。目前医院的电子病历没有相应的安全机制来验证,所以也无法保障医务人员在终端上前期录入的信息和后期浏览的病历信息的一致性、真实性。

3 安全管理措施

针对目前电子病历存在的安全隐患,我院采取以下安全管理措施。

3.1 加强培训和责任心教育 (1)加强培训,特别是新进临床的本院职工、进修、实习人员,要加强电子病历基本技能的培训与考核,同时还要加强与电子病历相关联的各子系统的培训与考核。例如:如何在医院信息系统(HIS)中开立医嘱与查阅患者的基本信息,如何在图像处理系统(PACS)中查阅患者的影像信息,如何在实验室系统(LIS)中查阅患者的检查数据。目前,我们信息中心已培训全院职工、进修、实习人员共计四十万人次。(2)加强职业道德和责任心教育,使其养成严谨的工作作风,对登陆密码安全保密,病历书写认真细致。

3.2 权限等级划分明确 首先给每个正式人员分配一个工号和初始密码(对于进修、实习人员,由科主任和导师签字担保后,可分配一个附属账号,病历书写保存后,签名保留学生/导师两个人名),然后对使用人员进行分级授权,依据医师职称和职务进行授权,上级医师修改下级医师病历,科主任享有对本科室病历的最终审核权限[3]。任何非授权用户均不能跨科室跨病区越权查看和修改电子病历数据,对于病历修改不仅有痕迹保留,而且会记录下修改人、修改时间等详细信息,而且对病历做的任何操作如登录、访问、修改等,后台数据库都会做相应的日志记录。

3.3 落实奖惩、严把复制关 在我们医院各质控点每月会将质控情况上报医务处,医务处依据质控信息进行总结并在院周会、院刊上进行全院通报,并将每次通报结果记录在案,对于通报批评与表扬的人员在晋升职称的时候作为减、加分项目。对病历内容随意复制、粘贴未修改而导致的低级错误,按不合格病历(丙级病历)论处。对有丙级病历记录的医务人员当年禁止晋升。同时我们在软件上也加强了对复制粘贴的控制、不同患者之间根本无法复制,同一患者之间也只是部分内容可复制。

3.4 数字签名与时间戳技术的应用 我们医院于 2011年对全院医务人员实现了基于第三方认证的数字签名与时间戳技术。PKI数字签名技术和归档后的病历要由卫生部认可的国家授时中心加盖有法律意义的时间戳等措施,使电子病历的法律地位得到认可。我院是在医生每一次开医嘱、记病程,以及护士每一次审核、记录护理操作时都要进行数字签名确认。通过这样一种形式实现对整个医疗过程和医疗质量的监控。

3.5 加强三级质控体制 我院电子病历系统有专门模块对医生书写的病历进行质控,包括科室质控、环节质控和终末质控 3 个环节。另外还有病历时限自动控制、超时提示、生命体征合理值录入控制、性别特征控制、病历自我评价评分等控制措施。(1)科室质控。科室质控是由主管医生对出院病历进行“质量自评”,自查的评分标准是按照《病历书写基本规范》为基准,参照《河南省病历书写基本规范实施细则(试行)》进行。如某一个病历内容不达标都可退回修改。(2)环节质控。我院电子病历设定环节质控点,对运行病历进行实时监控,发现问题,以发送消息形式责令相关科室整改,检查结果作为该科病历质量评分内容一部分。通过三级检诊、自动质控、在线病历手动质控的应用,把病案质量控制的环节质控融入到日常临床管理中,预防病案缺陷的发生,减少医疗纠纷,将电子病历质量控制重点从终末质控转化到环节质控,提高了质控的操作性和效率性,体现了时效性。(3)终末质控。院级病案专家每月对各科出院病历按 5%比例进行抽查,参照病案评分标准对已出院病历进行终末评分。

3.6 XML文件加密传输 电子病历的安全主要是保证病历文档(即病历信息)的安全。我院电子病历系统采用的是纯XML为核心的电子病历编辑器(EMRPadV3.0 版)。经过压缩加密的电子病历XML文件必须要使用专用的电子病历编辑器才能打开,因此极大地保证了病历的安全性。非授权用户是看不到病历的,即使通过非法渠道获取病历,也是打不开的。同时病历在网络传输过程中也是以加密形式进行,因此保证了病历的完整性和安全性。

3.7 安全管理数据库 我院电子病历系统使用的数据库是ORACLE 10 g。数据库中的数据的安全性主要涉及到以下几个方面:(1)身份验证:保证只有合法的用户才能登录并使用数据库。(2)访问控制:即使是合法用户,也要控制用户对数据库对象的访问,拒绝非授权访问,防止信息泄密。(3)可审计性:哪怕是非法用户的入侵行为和破坏行为也能跟踪,恢复数据。(4)语意保密性:数据库中的数据以某种加密的形式存储,这样非法用户即使得到数据文件也无法利用。而且我院电子病历系统使用了比较成熟的数据备份和恢复技术,确保电子病历数据的安全、可靠。

4 小结

电子病历是时代发展的必然趋势[4],已成为医疗卫生信息化重点建设的项目。由于它对医院与患者的价值越来越重要,因此对于它的安全保障就显得尤为重要。实践证明,加强电子病历的安全管理不仅提高了临床医疗工作质量和效率,保证了病案管理的严肃性,而且维护了患者的合法权益,促进医院健康发展。

[1]张艳欣,卞昭玲,孙少雅.电子病历安全管理探究[J].北京档案,2012(2):26-28.

[2]胡建理,李小华,周斌.电子病历的安全管理策略探析[J].医疗卫生装备,2010,31(2):50-60.

[3]汤宜坚.电子病历存在的问题与对策[J].中国中医药现代远程教育,2012,10(3):68-69.

[4]邹湘蓉.电子病历在临床应用中的探讨[J].当代医学,2012,18(12):36-37.