Názory k článku eHealth v ČR: nová strategie bezpečné infrastruktury
-
pacoš (neregistrovaný)
Je to tak trochu úděl Česka, že se tu začnou dělat užitečné věci až s křížkem po funuse. A přitom jsme mohli být v tomto směru lídrem Evropy. Projekt eHealth (tenkrát se tomu tak ještě neříkalo), začal v Československu už v roce 1978(9) na SPŠE v Pardubicích. Byl zde vytvořen pokusný systém pro sdílení zdravotní dokumentace, běžící na ADT4500 s připojenými terminály lékařských pracovišť (zkoušelo se i v nemocnici Pardubice). Systém obsahoval i náznaky expertního systému pro podporu rozhodování lékařů. Projekt někdy kolem roku 1984 usnul? nebo byl odsunut na vedlejší kolej. Nejspíš kvůli zastaralosti techniky :-) Ale na jeho základech, zdá se, pak postavila v roce 1990 svůj byznys firma Stapro. A dál už je to popsáno v článku. Jen při rychlosti postupu prací, jaká u nás v Česku je a legislativních klaccích pod nohami, to vypadá, že se nasazení komplexního systému nedožiju ani do důchodu, do kterého mi zbývá ještě 10 let (pokud někde nerozhodnou jinak). A tak držím palce alespoň dalším generacím pacientů a lékařů.
-
Worker (neregistrovaný)
Vsetko co je na internete je verjne pristupne.
Tento system mohol navrhnut len zmrd, ktoremu ide o prospech z pacientov, alebo retard, ktory nevie co robi.
Staci sa pozriet na opice za lamanskym prielivom a dalej na zapad, ako su na tom. Dakujem pekne, takuto retardovanost sa teraz snazia nasadit aj na Slovensku ale tu su natolko sprosti ovcania, ze im to je jedno a este budu aj spokojne becat. -
Ještě horší je, že jsme tady měli už před deseti? lety v plošném produkčním provozu rozumně funkční systém (IZIP), který pokrýval značnou část cílů té "nové strategie". Pokud jsem to správně pochopil, ztroskotal výhradně na lenosti (čti časovém vytížení apod.) lékařstva, pro které byla práce navíc něco psát do karty a vedle toho ještě kamsi na web. Ono by tedy pro začátek bohatě stačilo vzít IZIP a direktivně jej zhora natlačit všem; tím vynutit integraci současných IS nemocnic a běžného SW používaného v ambulancích a bylo by víceméně splněno.
Bohužel to vypadá, že na Ministerstvu zdravotnictví se až do voleb udrží mantra "české zdravotnictví nemá žádné problémy".
-
Jasně že má, což je právě celý smysl sdílení dokumentace. Každý lékař už teď vede kartu pacienta, takže pokud ta nebude jen zavřená v jeho ordinaci a bude možno ji sdílet, nebude muset dalších pět doktorů zapisovat to samé každý do "své" karty, udělá to jen jeden. Proto je třeba elektronickým systémem papírové karty nahradit, ne to postavit paralelně tak, aby se muselo všechno zapisovat dvojmo.
-
j (neregistrovaný)
On ten doktor ale to samy nikam nezapisuje, kdyz si dojdes na rengen, tak ti vrazej do ruky obrazky a ty si tvuj doktor strci do sanonu. A tem co ti ten rengen bude delat rozhodne nepotrebuje vedet, ze si se trebas pred tydnem posral.
A jelikoz mam zcela osobni zkusenosti s naprostou neschopnosti doktoru, tak tohle povede jen k tomu, ze misto aby ti dali octan ... tak te budou kuchat. Z utrzenych vazu se u tretiho doktora "zazrakem" staly vazy natazeny. Ten druhej tvrdil ze sou natrzeny. Kdyby vedeli co diagnostikoval ten prvni, tak by uz nejspis nic nezkoumali.
-
Direktivni zavedeni je prave to co nechcete. Tohle musi byt ciste dobrovolne, aby kazdy mohl posoudit rizika plynouci z toho, ze system pouziva, proti benefitum, ktere pouzivani systemu prinasi. A ta hranice je u kazdeho jina a meni se v prubehu casu. Zamalada vas muze poskodit, ze se "vykeca", ze mate nejake intimni potize, naopak casto lidi se zavaznejsim onemocnenim chteji mit prehled. To ze se o tom bude vedet jim az tak nevadi, protoze to stejne siroke okoli vi. A naopak pokud se o lecbu zajimaji, tak chteji znat presne laboratorni hodnoty a nebyt odkazani na to, ze budou volat kazdy den k doktorovi, jestli uz prisly vysledky a slyset, jo prisly, mate to dobry. Pripadne chteji znat nazory od dalsich lekaru a je pro ne nejsnazsi zpristupnit svuj zaznam nekomu, komu veri, nez delat kopie spousty zprav.
Jedine co by melo byt dane direktivne je API, aby bylo pro kazdeho stejne a mozna nejaka adresarova sluzba, odkazujici kde se data nachazeji. A potom muzete mit 10 IZIPu, ktere si budou konkurovat kdo bude lepe zabezpeceny, uzivatelsky privetivejsi a tak podobne.
-
j (neregistrovaný)
Problem je prave predevsim v ty bezpecnosti - doktor vi, ze by mel ordinaci zamknout, a vi, ze ty karty by asi nemel jen tak nekde nechat lezet.
Doktor je pocitacovy BFU => nema ani poneti o tom, jak to funguje, vubec netusi, jak by to mel zabezpecit, a absolutne vubec ho nenapadne, ze na pocitaci kterej pouziva pro spravu pacientu by si po vecerech nemel jeho synator gamesit.
Fakt by me zajimalo, jak si nekdo predstavuje zabezpeceni desitkek tisic stanic u praktiku. A to nemluvim o tom, ze ani doktor by nemel mit k datum pristup, pokud mu to pacient neschvali.
-
Ano v techto systemech maji zachranari specificky status a mohou videt i cizi pacienty, na druhou stranu emergentni data byvaji tak nejak zvlast, takze take nevidi vsechno. Ono ani neni technicky mozne precist celou dokumentaci nez jdete resuscitovat, takze tam jsou vypichnute ty zasadni body, ktere si precete na jedne strane tabletu v sanitce a nebo je nahlasi operatorka. Napr. v IZIPu nebyly tyhle specificke pristupy mozne pres internet, ale jen ze stredisek zachranne sluzby.
Pokud se bude jednat o situaci ze nekdo upadne na chodniku a kolemjdouci lekar mu pomuze, tak proste zadna data mit nebude, to neni rozdil proti stavajicimu stavu.
-
A jak je to zabezpecene dneska? Uz dneska spousta ordinaci nejak vede dokumentaci na pocitaci, z toho pocitace bezne pristupuji na internet. Tam se nic nezmeni, kdyz pribude dalsi komunikacni kanal. Naopak muze vzniknout nejake bezpecnostni minimum a kdo jej nesplni, tak nebude pripojen.
A souhlas pacienta je take uz davno poreseny, napr. se pouzivaji ctecky cipovych karet se dvema sloty, jeden pro kartu lekare a druhy pro kartu pacienta. Tady se nepohybujeme v oblasti, kde by byl technicky problem, cele to visi na politickych otazkach.
-
Jasně, pokud to bude federace 10 systémů, mezi nimiž budou data volně téct, není problém (ale to už je opravdu v rovině technických detailů). Deset izolovaných světů není k ničemu; pokud bude každý lékař využívat jen náhodně vybrané tři z nich, vyjde to nastejno, jako by měl všechno na papíře.
Stále ale považuji za zásadní nasadit takovýto systém plošně, jinak se do toho nikdo nepustí. IZIP měl na spontánní rozjezd mnoho let a tlačila ho největší pojišťovna, přesto ho podporovalo hádám tak 5% lékařů. Elektronizace dokumentace a hlavně integrace stávajících systémů s centrálním úložištěm prostě naráží na velkou počáteční bariéru, kdy to lékařům samotným nic nepřináší a stojí to jen čas a peníze. Užitečné to začne být až ve chvíli, kdy to mají (skoro) všichni. Izolované karty jsou prostě aktuálním zdravotnickým Facebookem a ten z trůnu nesesadíte tím, že napíšete jen "něco lepšího" a čekáte, že lidi spontánně přejdou (své o tom ví Google).
Jasně, že můj zubař nepotřebuje vidět záznamy sexuologa, ale to už je čistě otázka konfigurace práv v systému, ne fundamentální problém. Každopádně vztah pacient-lékař odjakživa stojí na absolutní důvěře a tohoto předpokladu se nezbavíte ani sebelepším systémem.
-
Ještě k té bezpečnosti - do značné míry je to spíš iracionální strach z "mladíků skrytých za monitory". Možná mám jen smůlu na extra lajdácká pracoviště, ale prošel jsem jich už spousty a dominantním modelem je "sestře se válí na stole pět karet, ostatní jsou hned vedle v kartotéce". "Nabourat" stávající systém, tedy přečíst si cizí dokumentaci, tak zvládne každý jedním neopatrným pohledem. Počkat, až sestra odejde za roh a vlézt do kartotéky, nebo rovnou navštívit ordinaci mimo ordinační dobu oknem a odnést si kartotéku celou také vyžaduje relativně nízkou kvalifikaci - lidí, kteří by to technicky zvládli, máme jistě v republice nejméně jednotky milionů.
Naproti tomu dostat totéž z alespoň základně zabezpečeného elektronického systému je určitě výrazně náročnější, a není velkým problémem zařídit praktickou nedobytnost takového úložiště. Nebo snad někdy v posledním desetiletí došlo ke kompromitaci ISDS nebo systému některé velké banky? Navíc (finanční) hodnota zdravotní dokumentace pro případného útočníka je spíš sporná.
(Krom toho by v principu nic nebránilo mít dokumentaci v takovémto systému striktně anonymní, jen pod nějakým nevýznamovým identifikátorem, třeba číslem průkazu pojištěnce. Odvážnější si pak mohou představit čipový průkaz pojištěnce, který by přímo zajišťoval autentizaci pacienta vůči systému, tzn. nemám v ruce kartičku pacienta - nedostanu se do jeho dokumentů.)
-
Ty anonymni systemy maji problem v tom, ze pokud ztratite klic, ztratite komplet dokumentaci. A pokud se bavime o casovych ramcich v delce lidskeho zivota, tak to udrzeni klice neni zas az tak snadne. Specificky ten kdo cerpa pece nejvice je zpravidla take nejmene schopen si klic uhlidat. JInak receno cim vice karticku pojistence pouzivate, tim casteji ji nekde ztratite ;-)
Na druhe strane deanonimizace neni zas tak tezka, vemte si, ze RTG snimek zubu se bezne pouziva k identifikaci mrtvol. CIli je v zasade unikatni napric populaci. Stejne tak porovnat data zapisu nejakych zaznamu s tim, kdy nekdo byl u lekare vede v zasade k unikatni identifikaci. V ordinaci je v jeden cas jeden pacient a i kdyz to omezite jen na jeden den, tak v kombinaci s pohlavim a vekem mate zpet unikatni zaznam. Takze skutecne anonymni system nemuze ani poznat, ktere zaznamy patri jednomu cloveku. A to uz je skutecne implementacni vyzva.
A to jsem jeste nezminil, ze spusta tech dat obsahuje metadata identifikujici primo pacienta. Treba DICOM (pokud neni obsluha lina), obsahuje v hlavicce vzdy identifikaci pacienta, datum vysetreni, zakladni diagnozu. Takze ukladat takove soubory pod anonymnim identifikatorem je trochu absurdni ;-)
-
K tomu anonymnímu identifikátoru by samozřejmě někde mimo tento systém muselo existovat mapování na identitu osoby, právě kvůli možné obnově (po ověření totožnosti vydáme novou kartičku). To by si ale klidně řešila instituce generující identifikátory/vydávající kartičky a zabezpečení takové databáze by bylo relativně snadné (žádné požadavky na přístup z tisíců míst či z webu).
K tomu RTG snímku ale potřebuji i databázi RTG snímků se jmény, jinak jsou mi (jako útočníkovi snažícímu se zpeněžit celou ukradenou databázi) relativně na houby, ne? Totéž k nějakému tomu jinému fingerprintingu. Samozřejmě cílený útok s větším úsilím (chci dokumentaci Karla Gotta) by to neřešilo, ale ten je i v dnešní době triviální.
Metadata v souborech se dají asi velmi snadno odstranit (proč je cpát do souborů, když potřebný kontext poskytne lékaři systém), pokud jsou v nějakém rozumném formátu a soubor není fotka papíru s napsaným jménem pacienta.
-
Odstraneni metadat prave snadne neni, protoze napr. IZIP ukladal dokumenty opatrene elektronickym podpisem nebo znackou autora, pro zaruceni autenticity a nedotknutelnosti archivu, takze jakekoliv odstraneni metadat z dokumentu by ten podpis zneplatnilo. Ten anonymizovany udaj je rekneme uzitecny pro pacienta, ale pri prenosu dat mezi lekari uz je nejaka mira duveryhodnosti nutna, az ut z pohledu, ze dokument po ceste nebyl modifikovan, ze pochazi od toho od koho ma a v neposledni rade i ze do uloziste nepribyl nejaky dokument navic. Resp. at si klidne pribude, ale vzdy musi byt jasne, kdo danou vec tvdi.
-
pupik (neregistrovaný)
Zaváděli jsme eRecept jako jedni z prvních v ČR, do IZIPu jsme data posílali přímo z NISu a doktoři nemuseli udělat vlastně vůbec nic.
Problém v ČR je, že neexistuje žádný státní vývoj, který by alespoň do nemocnic natlačil jednotný nemocniční informační systém, který by byly vyvíjený jako open-source. Trh se v ČR konsolidoval a firmy neví co by za licence chtěli.
Vidím v tom nebezpečí. Teď se každá firma snaží protlačit svůj standard pro komunikaci s ostatními, svoji vizi. Jednou ale dojde k tomu že se prosadí jedno řešení a ten který to vyhraje se stane žábou na prameni.
Já bych dal jako podmínku aby nemocnice vlastnily licence i právo na zdrojový kód, protože firmy které SW pro nemocnice vyvíjí se nebojí říci narovinu "vy nám zaplatíte kompletní vývoj SW a my vám to pak budeme každý rok prodávat znovu a znovu" -
Za těch uplynulých cca 25 už se proje..lo neskutečně miliard na elektronizaci/prosíťování/... státních orgánů mezi sebou, aby člověk při vyřizování čehokoli nemusel chodit od čerta k ďáblu a neztratil kvůli jednomu papíru celý den a KAM jsme se dostali?
Každý ať si vzpomene a dosadí sám.
(IZIP, Registr, ...) -
Díky autorovi za docela pěkný přehled toho, co se v posledních letech pro elektronizaci zdravotnictví v České republice udělalo. Sám ve zdravotnictví pracuji, o informatiku se také zajímám - ale tohle všechno člověk samozřejmě sledovat nestíhá.
S jedním NIS mám také skoro každodenní zkušenosti (a ne, není to Stapro, ale jiná firma) - a je to dost tristní. Spousta dat vůbec není ukládána nějak strukturovaně, takže s nimi pak nějak dál pracovat je dost problém. Mám takový pocit, že ta firma začala daný systém vyvíjet už někdy v 90. letech a od té doby se na to prostě jen lepí další funkcionalita, ne vždy úplně ideálně implementovaná (ale dovedu si to představit - někdy třeba velmi ve spěchu, kvůli tlaku zákazníka, někdy s ne zcela ideálním zadáním - zákazník ani pořádně neví, co chce). Bylo by skvělé, kdyby ten systém někdo raději celý přepsal - ale asi už je dnes natolik komplexní, že také docela chápu, že se do toho nikomu nechce. :-)
No uvidíme, co přinesou další roky. Snad to budou hlavně nějaká zlepšení - něco co fakt péči o pacienty nějak posune - a ne aby to jen přidělávalo zdravotníkům práci...
-
beny (neregistrovaný)
Článek je velmi dobře a fundovaně z pohledu lékaře napsán, před autorem velká pokora.
Co se eReceptu týče, ten mi ani nepřipomínejte! Současné API vypadá celkem rozumně, ale první verze byla značně tristní a navíc k vývojářům na SÚKLu zpočátku přistupovali velmi arogantně ...No ono se to po výměně za současného dodavatele skoro vrátilo :-(. Člověk jim musí posílat video, aby pochopili, v čem mají problém.
Prvopočáteční Devoteam byl překřtěn na Devil Team a dostávali od vývojářů lékárenských systémů pořádné kapky. Pak se situace zlepšila a eRecept se dal a dá používat, ale stále bych ho viděl jako systém pro nadšence, protože upřímně, PKI není doposud tak rozšířené a mezi lidmi zažité. Nemocnicím to přináší poměrně velké náklady na správu digitálních certifikátů a bezpečnostních předmětů (tokeny, čipovky) a organizačně to také není úplně snadné. Počítače jsou na odděleních občas dost zastaralé, nezřídka se potkáváme ještě s WinXP a integrovat solidní podepisovací aparát do NIS pro Linux? No ... to bych si možná radši nechal vytrhat všechny zuby bez umrtvení. A zapojit do stávající aplikace ... no sakra za to si přece musím nechat zaplatit, protože to pro mě může znamenat překopání celého procesu vystavení receptu nebo jeho výdeje!
Co se týče datových struktur v databázi, to je taky príma věc, odstavit celou nemocnici jen proto, že se mění datová struktura :-) Jak zde psal uživatel MaT o nestrukturovaném ukládání dat, na jednu stranu toho dodavatele NIS chápu. Pokud má databázový engine problém se změnou databázové struktury, jako je např. možnost přidat sloupec, doplnit index a je nutné kvůli tomu provést odstávku databáze. Zkuste vysvětlit v nemocnici, že teď třeba 6 hodin nepojede NIS. Asi vás vynesou v zubech.
O čem doposud nebyla zmínka je uchování lékařské dokumentace, to je teprve (časovaná) bomba! Vezměte si hypoteticky, že nemocnice jede bezpapírově (zatím těžká utopie). Doktor vygeneruje papír a ten podepíše. Pak je potřeba udělat nějaký dodatek a ten opět podepsat. A to workflow pokračuje a pokračuje. Některé druhy dokumentace se musí udržovat třeba 50 let, některé kolem 100. Pak přichází skartovací proces. Řeknete si, OK, budeme podepisovat generované PDF dokumenty. Jenže vygenerovat PDF s možností revizí ... to jestli se nepletu umí jen Adobe Acrobat, ono totiž do PDF generovat změny (přidání doplňku, smazání určité části apod.) není tak úplně snadné a obzvláště snadné není takové změny elektronicky podepisovat. Fajn, budeme tedy podepisovat každý dokument zvlášť. Pak je tu tedy nutnost mít archivační zařízení a to jsou docela pálky. Ale u archivačního zařízení nezůstane, potřebujeme ještě časová razítka ......
No rozkecal jsem se hezky a to jsem problematiku NIS jen lehce líznul :-)
-
Jojo, je to moc krásný... kolik už všechny tyhle kraviny stály? :) Jinak jsem si vzpomněl na jednu "úžasnou" lehce OT událost asi 3 roky zpátky... ztratil jsem doklady a tak jsem zaběhl na ouřad požádat o novou občanku a řidičák... Občanka - přišel jsem k okýnku, paní si mě přímo tam vyfotila, dostal jsem kus papíru a přijďte si za měsíc se stovkou. Na tom samým úřadě, o 3 okýnka vedle, jsem chtěl řidičák a světe div se, chtěli po mně papírovou fotku... WTF? Teď si mě paní vedle fotila, to se použít nedá? No... nedá :D A takhle nějak to s tím IT v tomto státě vypadá... :D
ČLÁNKY DO MAILU