1 引言
随着“互联网+”行动计划的提出,互联网迅速深入到各个领域中,加上云计算和大数据技术作为支撑,医院内部的电子化临床数据不断扩大其向个体以及监管部门的开放范围,应用场景也不断增多。随着数据的开放,从个人角度保证信息安全和从医院角度管控临床数据安全的话题也越来越多。近年来,美国、欧盟、日本、德国以及中国香港和台湾地区相继推出了相关法律或条例,主要是从个人数据隐私立法的角度进行保护,国内也出台了数据和信息安全的相关标准,但医疗卫生领域法律法规仍需完善,结合我国国情,构建一个完整、全面、统一、协调的医疗信息安全的法律体系是我国目前在医疗数据及信息安全方面亟需要做的工作。本文在此背景下,面向患者、医院管理者、信息化工作人员、医护人员及与医院关系密切的商保和社保相关机构发起调查问卷,力求得到不同人群对临床数据安全工作的认知程度,为临床数据安全的相关标准和规范制定打下基础。
2 调查问卷设计、发放与回收
2.1 调查问卷设计 本调查问卷主要以参与医疗活动中的角色进行区分,共分为六个部分,包括患者部分、基本医疗保险相关机构部分、商业保险相关机构部分、医院管理相关人员部分、临床工作人员(医生、护士、医技人员)和医院信息化相关人员部分。不同部分的调查问卷内容除2道公共部分问题外,其他调查内容也不完全相同,其目的在于了解医疗活动中不同角色人群参与临床数据开放的渠道、对临床数据的安全意识以及对临床数据监管的认知程度。本文仅对医务工作者(医院管理相关人员部分、临床工作人员和医院信息化相关人员)进行分析。
在设计调查问卷的过程中,我们设计的题量在10至20题之间,尽量避免被调查者产生疲倦心理。题目长度控制在30个汉字以内,尽量通俗易懂,避免出现专业术语。题目中涉及隐私的问题均设计成选择题,尽量避免被调查者对调查问卷心存芥蒂。
2.2 调查问卷发放与回收 本调查问卷利用腾讯问卷(wj.qq.com)系统进行制作,将六部分内容进行统一整理,且合并相同或相似的问题,并针对参与医疗活动中的不同角色进行了逻辑设置。问卷通过互联网方式进行发放,主要推广形式是QQ群、QQ空间、微信群、微信朋友圈及新浪微博。问卷设置了答题需要登陆验证和每个用户只能答一次的限制,以确保问卷结果的真实性。问卷发放后48小时自动终止,共收回问卷680份,其中医院工作人员参与调查的问卷共449份,占66.03%。
3 调查问卷结果
3.1 调查对象分析 在回收的449份医务工作者参与调查的问卷中,参与调查者所在地区覆盖了全国绝大部分的省份,其中以辽宁省、北京市、重庆市、山东省、河南省为主。回收的问卷中三级医院共360份、占80.18%,二级医院共79份、占17.59%,其他级别医院共10份、占2.23%;以医院信息化相关人员角色参与调查的共298份、占66.37%,以临床工作人员角色参与调查的共83份、占18.49%,以医院管理相关人员角色参与调查的共68份、占15.14%。
3.2 医院临床数据开放程度分析 对于医院临床数据的开放方式和开放程度是本次调研的首要问题。随着开放方式和开放程度的增多,临床信息保护规范和信息防护措施也要更加完善。从医院的角度看,临床数据的开放方式主要可以分为主动开放和被动开放。主动开放,即为改善患者就医体验,利用互联网、移动互联网、自助设备等完成非诊疗环节的临床数据推送。被动开放,即为满足上级主管部门的监管要求,完成临床数据实时上传和定时上报工作。
在回收的449份医务工作者参与调查的问卷中,主动开放数据的渠道一般有五种,其中实现院内检查、检验结果自助打印功能的占75.15%,实现网上预约挂号(手机、微信、支付宝、网站等)功能的占65.74%,实现网上检查、检验结果查询(手机、微信、支付宝、网站等)功能的占41.88%,实现网上门诊或住院病历查询(手机、微信、支付宝、网站等)功能的占15.83%,实现院内门诊或住院病历自助打印功能的占25.65%,详见表1。
表1 医务工作者主动开放数据次数调查表
在被动开放数据的方式相关调查中,仅针对医务工作者中的医院管理者和信息化人员进行了调查,共回收366份问卷。其中,99.45%的参与调查者允许政府部门(卫计委、医保、公安)收集患者就诊信息,11.75%的参与调查者允许商业保险公司收集患者就诊信息,1.64%的参与调查者允许药品或保健品生产商或供应商收集患者就诊信息,1.09%的参与调查者允许医疗设备生产厂商收集患者就诊信息,0.82%的参与调查者允许可穿戴设备相关厂商收集患者就诊信息。但不同角色对开放渠道的认知却不尽相同,这可以反映出在数据开放的过程中管理和监管环节依旧不完善,多数科室以科研项目为由与信息主管部门一起对数据进行了开放,详见表2。
表2 医务工作者被动开放数据次数调查表
在被动开放数据的程度相关调查中,仍然仅针对医务工作者中的医院管理者和信息化人员进行了调查,共回收366份问卷。其中,已开放或者允许开放的内容几乎涵盖了临床数据全部,从患者挂号、缴费、住院登记及出院结算信息到各种检查、检验结果、病案首页信息、医嘱及处方信息、手术记录信息等。虽然临床数据开放的程度有些许不同,但这些临床数据源确实正在不断地上传到卫计委及医保等上级主管和监管部门中,详见图1。
图1 医院数据开放程度分布图
在数据开放的监管相关调查中,依旧仅针对医务工作者中的医院管理者和信息化人员进行了调查,共回收366份问卷。对于是否有专门人员负责对数据上传或采集过程进行监管的问题上,172份问卷内容为认同由信息部门监管,119份问卷内容为认同由业务部门监管,75份问卷内容为认为其所在单位无监管部门,详见图2。
图2 医院数据开放监管认知分布图
对于医院是否存在临床数据泄露或有商业用途的事件发生的问题上,在回收的449份医院工作人员参与调查的问卷中,31份问卷内容为发现过有此类情况的发生,207份问卷内容为未发现过此类情况,211份问卷内容为不知道是否发生过此类情况,详见图3。
图3 医院数据泄露或商业用途认知分布图
4 结论
从调查结果来看,临床数据逐步开放的趋势已经形成,随着移动互联网的发展以及国家在推动DRGs,医院的临床数据已经从财务为主线的数据开放向以电子病历为核心的数据开放进行转变。但医院医务工作者对临床数据开放方式和程度的认知依旧十分的含糊,不知道这些数据该不该给?该给谁?如何给?给多少?多数医院并未建立完整的临床数据开放的监管体系,也未有相应的监管手段。
5 建议
5.1 政策制定方面 应结合ISO 27000系列标准,根据GB/Z 28828-2012 信息安全技术公共及商用服务信息系统个人信息保护指南及相关法律法规,制定基于医疗机构的临床数据安全管控办法及个人信息保护标准。让医院、医院工作人员、第三方工作人员及患者了解并掌握知情同意权及隐私权的相关内容及其数据的保护方式。
5.2 管理体系完善方面 为了确保对临床数据的适当授权和使用,预防数据泄露和滥用,医院的管理层需要通过建立明确的管理分工、工作目标、信息安全责任分配等监管体系,支持信息安全的实现。医院应利用“计划-执行-检查-行动”(PDCA)管理模式构建临床数据安全管理体系,并确保实施过程中的持续管控,以实现和规范临床数据安全保护能力和方法,建立一套可信赖的临床数据保护环境。
5.3 信息系统建设方面 医院应意识到信息系统的安全性是临床数据安全的核心内容,对于信息系统建设的安全性应做到但不限于:制定数据安全管理规划,对现有信息系统的风险评估,对网络、操作系统、应用程序、移动设备及远程办公模式的访问控制,对用户权限的授予及撤销流程,临床数据在存储、交换过程中的管控机制,特别是在信息系统采购、开发和维护环节的数据安全策略等。并将物理安全技术、系统安全技术、网络安全技术、应用安全技术、数据加密技术、认证授权技术、访问控制技术、审计跟踪技术、防病毒技术、灾难恢复和备份技术等广泛地应用到信息系统建设之中。
5.4 信息系统人才建设方面 信息化建设有着建、管、维的发展过程,需要有大量而专业的信息化专业人才,医疗机构信息化人才的管理是保障信息安全的基础,是保证信息系统正常运行和发展的基础。
(来源:《中国数字医学》杂志2017年第6期,作者及单位:孙辉 赵颖波 张蕾 尹畅 国家卫生计生委医院管理研究所;李晶晶 北京卫生信息技术协会;高轶 沈阳军区总医院信息科)
《中国数字医学》微店,点击以下阅读原文进入