COMPUTERWORLD
Specializovaný týdeník o výpočetní technice

Seriál
o bezpečnosti
a informačním soukromí

Část 6 - CW 15/97

Medicína, počítače a bezpečnost

Václav Matyáš ml


Medicína je velmi specifickým oborem lidské činnosti a rozhodně se jí rozvoj v oboru informačních technologií nedotkl tak, jako třeba žurnalistiky nebo obchodu. (Naštěstí?!) Samozřejmě -- s počítači se i v lékařské praxi setkáváme téměř denně, nelze ovšem čekat, že nahradí člověka do takové míry jako třeba v dopravě. Doktor není jen opravář těl, ale často i duší a lidských vztahů. Návštěva lékaře není pro většinu z nás nikdy obyčejným aktem jako třeba koupě piva nebo příjem výplaty.

Pokud chceme hovořit o bezpečnosti IT v medicíně, tak na prvním místě musíme zmínit bezpečnost ve smyslu anglického "Safety" -- předpoklad, že při specifikovaných podmínkách nedojde ke stavu ohrožení lidského života, zdraví, hodnot a prostředí. Ano, jde právě o ten lidský život. Kolik přístrojů je dnes v nemocnici obsluhovaných počítačem nebo s jeho zásadní podporou? K ohrožení života může dojít přímo, podobné případy jsou však podle odborné literatury velice výjimečné, spíše extrémní. Jsou např. zaznamenány případy, kdy chyba v programu způsobila zvýšení dávek ozáření, kterému pak pacient podlehl. Lapidárně řečeno -- pro počítač je číslo jako číslo. To je také příčinou chyb vedoucích k nepřímému ohrožení, kdy počítač nebo jím řízený přístroj dodají chybné výsledky vyšetření/analýzy, na jejichž základě lékař stanoví chybný léčebný postup.

Důvěryhodnost a důvěrnost

Mnohých případů léčby na základě chybných dat se lze vyvarovat zajištěním důvěryhodnosti (např. autentizací) předávaných informací. U informací na papíře lékař obvykle pozná rukopis specialisty z nemocnice nebo alespoň razítko apod. Jak ale pozná původ digitalizovaných informací? Přece nebude při obdržení výsledků z laboratoře telefonovat, ověřovat a zjišťovat -- kdo, kdy, jak a koho!? Právě bezpečnostní mechanismy, jako třeba digitální podpis, by měly lékaři zodpovědět všechny otázky současně s přijetím laboratorní zprávy. S jakou úrovní spolehlivosti, to už závisí na implementaci a také na přístupu všech pracovníků, kteří budou takovému systému předávat data nebo jej spravovat. Důležitý je také audit práce s daty (kdo viděl, nebo dokonce měnil výsledky testu). Právě důvěrnost zdravotních informací je dnes velice aktuálním a ožehavým tématem.

Pacient má rozhodně právo očekávat, že lékař nikomu nesdělí žádné jeho osobní zdravotní informace, které získal při lékařském výkonu. Morální závazek lékaře je zde jasný, ne vždy však je dobře zakotven i v zákonech. Podle mého osobního názoru by lékař měl mít povinnost střežit takto získané informace stejně, jako kněz střeží informace spadající pod zpovědní tajemství. Bez souhlasu pacienta by pak rozhodně neměl tyto informace žádným způsobem předávat dál, ani pro potřeby soudu nebo policie.

Jak má však lékař dodržet takové závazky, když musí zdravotní pojišťovně sdělit, jaké zákroky provedl? Jaké závazky pak mají pracovníci pojišťovny? Na jaké úrovni pak lze udělat smysluplný kompromis? Podobné otázky je vždy nutno řešit při tvorbě administrativních dat, která v medicíně jsou v 90 % založena na datech klinických. České zdravotnictví se ale v současné době potýká s řadou existenčních problémů, takže lze očekávat, že důsledné řešení obdobných otázek zůstane až na další století.

Bezpečnost v klinických informačních systémech

V medicínské informatice bývá sice požadavek na ochranu dat často explicitně zmiňován, obvykle však bez podrobnější specifikace bezpečnostní politiky. Objevilo se donedávna jen několik návrhů k principům bezpečnostní politiky. Zásadní význam má až publikace "Security in Clinical Information Systems", kterou vydala British Medical Association (BMA) v lednu 1996. Zásadní přínos tohoto výsledku práce specialistů BMA a zvláště Rosse Andersona (Cambridge University) je ve stanovení devíti základních principů bezpečnostní politiky pro klinické informační systémy. Přístup, který vyžaduje BMA i od vedoucích činitelů ministerstva zdravotnictví a Národního zdravotního systému, se často kříží s některými "představami" o jednotném zdravotním záznamu -- který by byl přístupný např. i pracovníkům ministerstva. Jejich zájem je zřejmý, ale nebude asi ani vzdáleně podobný představě pacienta (mé tedy rozhodně ne). Také model práce zdravotnictví v Británii je rozdílný od českého -- přesto -- podívejme se na jednotlivé principy:

1. Každý identifikovatelný klinický záznam musí mít seznam řízení přístupu (pozn. -- access control list) s vyjmenováním lidí nebo skupin lidí, kteří mohou záznam číst a přidávat k němu data. Systém musí zamezit přístupu kohokoliv, kdo není na tomto seznamu.

2. Doktor může otevřít nový záznam, kde je uveden jen on a pacient na seznamu řízení přístupu. Pokud je pacient jen na speciálním vyšetření, pak může doktor na seznam zařadit i jeho ošetřujícího lékaře.

3. Právě jeden z lékařů na seznamu řízení přístupu musí být označen jako zodpovědný a pouze on může seznam měnit a může k němu přidávat jen odborné zdravotnické pracovníky.

4. Odpovědný lékař musí pacientovi sdělit, kdo je na seznamu řízení přístupu při vytvoření nového záznamu, při jakýchkoliv změnách a kdykoliv je odpovědnost za záznam předávána jinému lékaři. Pacientův souhlas musí být výslovný, s výjimkou řešení nouzových stavů a specifikovaných statutárních případů.

5. Nikdo nesmí mít možnost smazat klinické informace, dokud neuplynula předepsaná doba pro jejich úschovu.

6. Všechny přístupy ke klinickým záznamům musí být zaznamenány s udáním informací -- kdo a kdy se záznamem pracoval. Auditní záznam všech mazání musí být neustále udržován.

7. Informace ze záznamu A mohou být připojeny k záznamu B tehdy a jen tehdy, když seznam řízení přístupu záznamu B je obsazen v seznamu pro A.

8. Musí být zavedena účinná opatření proti agregaci osobních zdravotních informací. Pacienti, k jejichž seznamu řízení přístupu má být přidána další osoba, musí být zvlášť upozorněni, pokud již tato osoba má přístup ke zdravotním informacím velkého množství lidí.

9. Počítačové systémy, které pracují s osobními zdravotními daty, musí mít subsystém, který efektivně prosazuje výše uvedené principy. Účinnost tohoto subsystému musí být podrobena hodnocení nezávislými experty.

Požadavky lékařů?

Při využití počítačů jsou lékaři velmi vnímaví uživatelé. Trpí sice obvyklou "nemocí" požadavků na jednoduchost obsluhy atd., ale jsou si jasně vědomi možností, které jim počítače přinášejí. Je to do jisté míry dáno kvantem informací, které během svého vzdělání a každodenní praxe musejí lékaři vyhledávat, zpracovávat a využívat. Vědí, do jaké míry je spolehlivost (důvěryhodnost) informací zásadní pro jejich práci a také vědí, že jejich pacientům záleží na tom, aby ne každý (úředník) věděl o jejich nejniternějších problémech.

Dva zásadní požadavky -- důvěryhodnost a důvěrnost informací -- jsou zásadní charakteristiky lékařské praxe po tisíciletí. Osobně si myslím, že právě tento fakt dodává spolupráci lékařů a odborníků na bezpečnost IT hodně na zajímavosti. Ať už to budou aplikace na ochranu důvěrnosti informací o pacientech, na zajištění důvěryhodnosti laboratorních výsledků a zpráv o nových léčebných postupech a šetřeních nebo anonymizace dat pro výzkum a výuku nových adeptů oboru, popř. i pro plánovače ministerstva zdravotnictví.


| COMPUTERWORLD - seriál o bezpečnosti | COMPUTERWORLD | IDG CZ homepage |