╚ßst 6 - CW 15/97

Medicφna, poΦφtaΦe a bezpeΦnost

Medicφna je velmi specifick²m oborem lidskΘ Φinnosti a rozhodn∞ se jφ rozvoj v oboru informaΦnφch technologiφ nedotkl tak, jako t°eba ₧urnalistiky nebo obchodu. (NaÜt∞stφ?!) Samoz°ejm∞ -- s poΦφtaΦi se i v lΘka°skΘ praxi setkßvßme tΘm∞° denn∞, nelze ovÜem Φekat, ₧e nahradφ Φlov∞ka do takovΘ mφry jako t°eba v doprav∞. Doktor nenφ jen opravß° t∞l, ale Φasto i duÜφ a lidsk²ch vztah∙. NßvÜt∞va lΘka°e nenφ pro v∞tÜinu z nßs nikdy obyΦejn²m aktem jako t°eba koup∞ piva nebo p°φjem v²platy.

Pokud chceme hovo°it o bezpeΦnosti IT v medicφn∞, tak na prvnφm mφst∞ musφme zmφnit bezpeΦnost ve smyslu anglickΘho "Safety" -- p°edpoklad, ₧e p°i specifikovan²ch podmφnkßch nedojde ke stavu ohro₧enφ lidskΘho ₧ivota, zdravφ, hodnot a prost°edφ. Ano, jde prßv∞ o ten lidsk² ₧ivot. Kolik p°φstroj∙ je dnes v nemocnici obsluhovan²ch poΦφtaΦem nebo s jeho zßsadnφ podporou? K ohro₧enφ ₧ivota m∙₧e dojφt p°φmo, podobnΘ p°φpady jsou vÜak podle odbornΘ literatury velice v²jimeΦnΘ, spφÜe extrΘmnφ. Jsou nap°. zaznamenßny p°φpady, kdy chyba v programu zp∙sobila zv²Üenφ dßvek ozß°enφ, kterΘmu pak pacient podlehl. Lapidßrn∞ °eΦeno -- pro poΦφtaΦ je Φφslo jako Φφslo. To je takΘ p°φΦinou chyb vedoucφch k nep°φmΘmu ohro₧enφ, kdy poΦφtaΦ nebo jφm °φzen² p°φstroj dodajφ chybnΘ v²sledky vyÜet°enφ/anal²zy, na jejich₧ zßklad∞ lΘka° stanovφ chybn² lΘΦebn² postup.

D∙v∞ryhodnost a d∙v∞rnost

Mnoh²ch p°φpad∙ lΘΦby na zßklad∞ chybn²ch dat se lze vyvarovat zajiÜt∞nφm d∙v∞ryhodnosti (nap°. autentizacφ) p°edßvan²ch informacφ. U informacφ na papφ°e lΘka° obvykle poznß rukopis specialisty z nemocnice nebo alespo≥ razφtko apod. Jak ale poznß p∙vod digitalizovan²ch informacφ? P°ece nebude p°i obdr₧enφ v²sledk∙ z laborato°e telefonovat, ov∞°ovat a zjiÜ¥ovat -- kdo, kdy, jak a koho!? Prßv∞ bezpeΦnostnφ mechanismy, jako t°eba digitßlnφ podpis, by m∞ly lΘka°i zodpov∞d∞t vÜechny otßzky souΦasn∞ s p°ijetφm laboratornφ zprßvy. S jakou ·rovnφ spolehlivosti, to u₧ zßvisφ na implementaci a takΘ na p°φstupu vÜech pracovnφk∙, kte°φ budou takovΘmu systΘmu p°edßvat data nebo jej spravovat. D∙le₧it² je takΘ audit prßce s daty (kdo vid∞l, nebo dokonce m∞nil v²sledky testu). Prßv∞ d∙v∞rnost zdravotnφch informacφ je dnes velice aktußlnφm a o₧ehav²m tΘmatem.

Pacient mß rozhodn∞ prßvo oΦekßvat, ₧e lΘka° nikomu nesd∞lφ ₧ßdnΘ jeho osobnφ zdravotnφ informace, kterΘ zφskal p°i lΘka°skΘm v²konu. Morßlnφ zßvazek lΘka°e je zde jasn², ne v₧dy vÜak je dob°e zakotven i v zßkonech. Podle mΘho osobnφho nßzoru by lΘka° m∞l mφt povinnost st°e₧it takto zφskanΘ informace stejn∞, jako kn∞z st°e₧φ informace spadajφcφ pod zpov∞dnφ tajemstvφ. Bez souhlasu pacienta by pak rozhodn∞ nem∞l tyto informace ₧ßdn²m zp∙sobem p°edßvat dßl, ani pro pot°eby soudu nebo policie.

Jak mß vÜak lΘka° dodr₧et takovΘ zßvazky, kdy₧ musφ zdravotnφ pojiÜ¥ovn∞ sd∞lit, jakΘ zßkroky provedl? JakΘ zßvazky pak majφ pracovnφci pojiÜ¥ovny? Na jakΘ ·rovni pak lze ud∞lat smyslupln² kompromis? PodobnΘ otßzky je v₧dy nutno °eÜit p°i tvorb∞ administrativnφch dat, kterß v medicφn∞ jsou v 90 % zalo₧ena na datech klinick²ch. ╚eskΘ zdravotnictvφ se ale v souΦasnΘ dob∞ pot²kß s °adou existenΦnφch problΘm∙, tak₧e lze oΦekßvat, ₧e d∙slednΘ °eÜenφ obdobn²ch otßzek z∙stane a₧ na dalÜφ stoletφ.

BezpeΦnost v klinick²ch informaΦnφch systΘmech

V medicφnskΘ informatice b²vß sice po₧adavek na ochranu dat Φasto explicitn∞ zmi≥ovßn, obvykle vÜak bez podrobn∞jÜφ specifikace bezpeΦnostnφ politiky. Objevilo se donedßvna jen n∞kolik nßvrh∙ k princip∙m bezpeΦnostnφ politiky. Zßsadnφ v²znam mß a₧ publikace "Security in Clinical Information Systems", kterou vydala British Medical Association (BMA) v lednu 1996. Zßsadnφ p°φnos tohoto v²sledku prßce specialist∙ BMA a zvlßÜt∞ Rosse Andersona (Cambridge University) je ve stanovenφ devφti zßkladnφch princip∙ bezpeΦnostnφ politiky pro klinickΘ informaΦnφ systΘmy. P°φstup, kter² vy₧aduje BMA i od vedoucφch Φinitel∙ ministerstva zdravotnictvφ a Nßrodnφho zdravotnφho systΘmu, se Φasto k°φ₧φ s n∞kter²mi "p°edstavami" o jednotnΘm zdravotnφm zßznamu -- kter² by byl p°φstupn² nap°. i pracovnφk∙m ministerstva. Jejich zßjem je z°ejm², ale nebude asi ani vzdßlen∞ podobn² p°edstav∞ pacienta (mΘ tedy rozhodn∞ ne). TakΘ model prßce zdravotnictvφ v Britßnii je rozdφln² od ΦeskΘho -- p°esto -- podφvejme se na jednotlivΘ principy:

1. Ka₧d² identifikovateln² klinick² zßznam musφ mφt seznam °φzenφ p°φstupu (pozn. -- access control list) s vyjmenovßnφm lidφ nebo skupin lidφ, kte°φ mohou zßznam Φφst a p°idßvat k n∞mu data. SystΘm musφ zamezit p°φstupu kohokoliv, kdo nenφ na tomto seznamu.

2. Doktor m∙₧e otev°φt nov² zßznam, kde je uveden jen on a pacient na seznamu °φzenφ p°φstupu. Pokud je pacient jen na specißlnφm vyÜet°enφ, pak m∙₧e doktor na seznam za°adit i jeho oÜet°ujφcφho lΘka°e.

3. Prßv∞ jeden z lΘka°∙ na seznamu °φzenφ p°φstupu musφ b²t oznaΦen jako zodpov∞dn² a pouze on m∙₧e seznam m∞nit a m∙₧e k n∞mu p°idßvat jen odbornΘ zdravotnickΘ pracovnφky.

4. Odpov∞dn² lΘka° musφ pacientovi sd∞lit, kdo je na seznamu °φzenφ p°φstupu p°i vytvo°enφ novΘho zßznamu, p°i jak²chkoliv zm∞nßch a kdykoliv je odpov∞dnost za zßznam p°edßvßna jinΘmu lΘka°i. Pacient∙v souhlas musφ b²t v²slovn², s v²jimkou °eÜenφ nouzov²ch stav∙ a specifikovan²ch statutßrnφch p°φpad∙.

5. Nikdo nesmφ mφt mo₧nost smazat klinickΘ informace, dokud neuplynula p°edepsanß doba pro jejich ·schovu.

6. VÜechny p°φstupy ke klinick²m zßznam∙m musφ b²t zaznamenßny s udßnφm informacφ -- kdo a kdy se zßznamem pracoval. Auditnφ zßznam vÜech mazßnφ musφ b²t neustßle udr₧ovßn.

7. Informace ze zßznamu A mohou b²t p°ipojeny k zßznamu B tehdy a jen tehdy, kdy₧ seznam °φzenφ p°φstupu zßznamu B je obsazen v seznamu pro A.

8. Musφ b²t zavedena ·Φinnß opat°enφ proti agregaci osobnφch zdravotnφch informacφ. Pacienti, k jejich₧ seznamu °φzenφ p°φstupu mß b²t p°idßna dalÜφ osoba, musφ b²t zvlßÜ¥ upozorn∞ni, pokud ji₧ tato osoba mß p°φstup ke zdravotnφm informacφm velkΘho mno₧stvφ lidφ.

9. PoΦφtaΦovΘ systΘmy, kterΘ pracujφ s osobnφmi zdravotnφmi daty, musφ mφt subsystΘm, kter² efektivn∞ prosazuje v²Üe uvedenΘ principy. ┌Φinnost tohoto subsystΘmu musφ b²t podrobena hodnocenφ nezßvisl²mi experty.

Po₧adavky lΘka°∙?

P°i vyu₧itφ poΦφtaΦ∙ jsou lΘka°i velmi vnφmavφ u₧ivatelΘ. Trpφ sice obvyklou "nemocφ" po₧adavk∙ na jednoduchost obsluhy atd., ale jsou si jasn∞ v∞domi mo₧nostφ, kterΘ jim poΦφtaΦe p°inßÜejφ. Je to do jistΘ mφry dßno kvantem informacφ, kterΘ b∞hem svΘho vzd∞lßnφ a ka₧dodennφ praxe musejφ lΘka°i vyhledßvat, zpracovßvat a vyu₧φvat. V∞dφ, do jakΘ mφry je spolehlivost (d∙v∞ryhodnost) informacφ zßsadnφ pro jejich prßci a takΘ v∞dφ, ₧e jejich pacient∙m zßle₧φ na tom, aby ne ka₧d² (·°ednφk) v∞d∞l o jejich nejnitern∞jÜφch problΘmech.

Dva zßsadnφ po₧adavky -- d∙v∞ryhodnost a d∙v∞rnost informacφ -- jsou zßsadnφ charakteristiky lΘka°skΘ praxe po tisφciletφ. Osobn∞ si myslφm, ₧e prßv∞ tento fakt dodßvß spoluprßci lΘka°∙ a odbornφk∙ na bezpeΦnost IT hodn∞ na zajφmavosti. A¥ u₧ to budou aplikace na ochranu d∙v∞rnosti informacφ o pacientech, na zajiÜt∞nφ d∙v∞ryhodnosti laboratornφch v²sledk∙ a zprßv o nov²ch lΘΦebn²ch postupech a Üet°enφch nebo anonymizace dat pro v²zkum a v²uku nov²ch adept∙ oboru, pop°. i pro plßnovaΦe ministerstva zdravotnictvφ.