ЗАЧЕМ И КАК автоматизировать лечебно-диагностический процесс

Выпуск 175 3 июня 2008 г. Наблюдения. Заметки. Реплики. ПОСЛЕДНИЕ ЗАМЕЧАНИЯ ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ Двух выпусков для ЭЦП не хватило. М.В.Прокошин поделился важными дополнениями. Они не меняют моей позиции, высказанной ранее, но ценны сами по себе и, надеюсь, будут полезны читателям. Текст Михаила Владимировича даётся курсивом и взят в кавычки. Остальное - мои комментарии. "В последнее время вышли следующие документы: Федеральный закон РФ "О персональных данных" от 27 июля 2006 г. № 152-ФЗ, частично вступивший в силу с 1 января 2008 г., Постановление правительства РФ от 17 ноября 2007 г. № 781 (Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных), ФСТЭК, ФСБ, Министерство информационных технологий и связи РФ. Приказ от 13 февраля 2008 года № 55/86/20 (Порядок проведения классификации информационных систем персональных данных)". Что ж, примем к сведению. Аналогичные ссылки уже мелькают в журнальных статьях. Но на какие сферы эти документы посягают? Относятся ли они к медицине? Надо ли особыми мерами защищать, например, электронные реестры для фондов обязательного медицинского страхования? Данные в системах для массовых профилактических осмотров? Электронные списки для выдачи льготных рецептов? Списки сотрудников в системах "Кадры"? Информационных объектов такого рода уже немало. Как именно их защищать и какой в этом смысл, особенно при общеизвестной торговле куда более мощными и содержательными базами данных? "Конкретные требования к техническим мерам по защите электронной персональной информации вроде бы еще не утверждены, но в ближайшем времени это явно случится. И история болезни, похоже, будет относиться к числу самых "закрытых" данных. Так что, боюсь, придется не только использовать ЭЦП и криптозащиту, а даже сертифицировать информационную систему на предмет соблюдения безопасности, что, к сожалению, будет весьма серьезным ударом по таким, как Вы, одиночкам-энтузиастам, Владимир Михайлович". То-то и оно, что конкретные меры не утверждены. Ни вообще, ни для медицины. Похоже, они и не разработаны. Здесь ещё и потрудиться надо, и последствия обдумать. А удары нанесут - кто бы сомневался. И безопасность обеспечить - умелец найдётся. Левша вон аглицкую блоху подковал, да вот прыгать она перестала. Получилась безопасная неработоспособная блоха. "Удостоверяющий центр может быть и в самой больнице (в случае крупного стационара), и у разработчика программы. Вопрос только в требованиях к безопасности системы, которые должны быть определены законодательно. Если особых требований нет, как сейчас, то можно делать удостоверяющий центр, где угодно. Если данные истории болезни закон приравняет к гостайне, то придется пользоваться услугами только официально сертифицированногоо центра. Пока что официальных требований к защите нет." Это ведь всё о том же. Ничего ещё нет. И сомнительно, чтобы врачебную тайну когда-нибудь приравняли к государственной. Пораскинуть умом всегда интересно, да не всякие выкладки актуальны. А в отрыве от конкретной практики они могут быть ошибочными. Но среди критиков и контролёров, не вникающих ни в медицину, ни в автоматизацию, уже находятся охотники пугать, благо это лёгкий способ показать свою значительность. "В отношении хранения ЭЦП на работе давно все придумано. Носители-ключи обычно хранятся в сейфе. Должны быть организованы ячейки, доступ к которым имеет только конкретный сотрудник. В специальном положении об использовании ЭЦП надо определять порядок ее хранения и использования. ЭЦП выдают сотрудникам с обязательным приказом о возложении ответственности. Доступ к компьютерам должен быть тоже ужесточен - абы кто уже не сможет прийти поиграть на компьютере, стоящем в отделении. В общем, если за дело берутся "безопасники", то все делается весьма серьезно". Итак, чтобы взять свою ЭЦП, откройте сейф, а в нём - свою ячейку. А потом закройте. И ключи - на место. Поработали - верните ЭЦП в сейф, в ячейку. И закройте. И ключи на место. Получается новая система безопасности, требующая не только денег, но и специальной организации. А вопросы всё те же: стоит ли овчинка выделки и будет ли подкованная блоха прыгать? Наверное, схема хороша для банка, но больница - не банк, а история болезни - не банковский счёт. Представим себе картину попроще: прячем истории за тремя ("сейф - ячейка - ЭЦП") замками, ключи даём всем сотрудникам и всех под расписку предупреждаем об ответственности за оставление документов "на свободе". Ясно, что работа немедленно осложнится. Она не остановится совсем только потому, что нарушать будут все (лечить-то всё равно надо), а всех не накажешь. Зато контролёрам - раздолье. "Безусловно, никакие исключительно технические меры не могут обеспечить достоверность информации и ее безопасность. Но кое-что предусматривать и ограничивать технически можно. Надо лишь очертить границы вмешательств. Не может, скажем, медсестра ставить диагнозы. И система способна это контролировать (список персонального доступа к функциям). Но и разбирательство должно проводиться не абы как, а с понятием "ответственность", чего в нашей медицине пока что абсолютно не хватает". Медсестре ставить диагноз - не по рангу, но она может внести в историю болезни и его, и многое другое по поручению врача. Хирург может поручить описание операции ассистенту, заведующий отделением - дать срочные указания дежурному врачу по телефону. С чьей ЭЦП всё это будет вноситься в историю болезни? Как истолкуют эту ЭЦП, когда зайдёт речь об ответственности? Примеры можно продолжить. Каждый из вариантов ещё надо продумать. История болезни - не бухгалтерский документ, она развивается, в этом развитии участвуют многие, в разное время, в разном качестве. И больница - не секретное производство, где каждый шаг каждого человека контролируется службой безопасности. Здесь, как в любом нормальном коллективном труде, множество деталей основано на доверии, на взаимозаменяемости и взаимопомощи. Здесь никому в голову не приходит видеть в сотруднике нарушителя профессиональных или общепринятых правил. Достоверность информации обеспечивается именно в процессе взаимодействия, автоматизация этому очень способствует. Нарушители, конечно, бывают - их воспитывают, только и всего. "В старых условиях безответственности и разгильдяйства за врачебные ошибки отвечают только при совершенно вопиющих последствиях. Учитывая же повышение ответственности за хранение персональных данных в электронных системах, стремление улучшать качество бюджетных услуг, случаи возбуждения дел прокуратурой, желание руководства объективно относиться к персональной работе каждого, ЭЦП может стать единственно возможной формой работы". Если сгущать краски, можно ошибиться. Разгильдяйство бывает, но не им характеризуются нынешние условия работы медиков. Ответственность в больнице есть, как на любом производстве. Только применительно к врачам почему-то думают сразу об ответственности уголовной, не меньше. В любом случае, при чём тут ЭЦП? Проблема врачебных ошибок вовсе не в устанавлении причастных лиц. Они и так известны, их почти всегда несколько. Но причастный - не обязательно виновный. Почва для оплошностей во врачебной работе - это недостаточное информационное обеспечение всех участников лечебно-диагностического процесса. Автоматизация помогает и побуждает работать ответственно прежде всего потому, что делает всю информацию доступной, читабельной, упорядоченной для восприятия, демонстрирует её, поясняет, подсказывает. И поддерживается ответственное отношение к делу не угрозами под расписку и не нагоняями задним числом, а всей системой повседневного управления, стилем работы руководителей: внимательным слежением, оперативным анализом ситуации, своевременным вмешательством, оценкой эффективности своих действий. Автоматизация способна содействовать такому стилю, побуждать к нему, создавая тем самым условия для ответственной работы, в том числе для разделения ответственности, то есть для самого важного и сложного, поскольку результаты медицинской помощи - это следствия не только самых последних действий самого последнего врача. Здесь и предшественники, и организация работы. "С централизованной базой данных всё так же, как с Вашей распределённой. Доступ к централизованной базе при надлежащем аудите отслеживается гораздо легче. Может вестись также программный список компьютеров, могут быть ограничения на функции, производимые с любого из компьютеров. Но основа - механизм аутентификации (подписи) пользователя. Подписался врач - может работать с любого компьютера. С теми правами, которые ему выданы, хотя главное не это, главное - ответственность за сделанное. Опять же, стоит в больнице сеть - должны существовать требования к местам расположения компьютеров. И т.д. Все, о чем я говорю, это общая политика безопасности, которая применима к любой системе в определенных рамках. Просто пока что эти вещи больше применяются в банках и еще не задевают медицину. Пока все, о чем Вас просят пользователи, остаётся на уровне общих пожеланий. Но в ближайшее время проблема может стать очень актуальной". Впрочем, подозреваю, что в медицине даже при принятии законов ситуация еще долго останется такой же. Там, где дело не касается непосредственно денег, у нас на многое закрывают глаза. Мы же помним, что "строгость российских законов компенсируется необязательностью их исполнения". Это так. Но и о другом напоминают мудрые: подчас ростки добрых дел погибают оттого, что чиновники бросаются выполнять предустановления начальства со звероподобным рвением. Остаётся надеяться, что к медицинской практике, к её кухне отнесутся осторожно, понимая, что именно здесь совершается помощь больному, здесь получается искомый конечный результат. Эту кухню надо совершенствовать, оснащать, способствовать взаимодействию работающих в ней людей. Ответственность воспитывается и поддерживается именно в этой работе, в этом взаимодействии - на виду у ближайших коллег, а не у следящих камер. * Я искренне признателен М.В.Прокошину за его профессионально изложенные сведения, заинтересованное участие в теме и данный мне повод самому получше вникнуть в детали. Просто провозглашать хоть информационную свободу, хоть информационную безопасность - дело несложное, звонкое и ни к чему не обязывающее. Но ответственным людям надо бы заранее оценивать подробности. Как говаривал Козьма Прутков, "бросая в воду камни, следи круги, ими образуемые, дабы это не стало пустым занятием".