درز اطلاعات شخصی وزیر بهداشت و چند چالش امنیتی نسخه الکترونیک
نسخه الکترونیک؛ موضوع چالشبرانگیز این روزهای نظام سلامت کشور است که البته با انتشار اطلاعات هویتی و بیمهای وزیر بهداشت از سوی یک پزشک، جنجالیتر هم شده و این شبهه را ایجاد کرده که در این سامانه چگونه از اطلاعات شخصی و اسرار پزشکی بیماران حفاظت میشود و آیا امکان سوء استفاده از این اطلاعات وجود دارد؟
به گزارش ایسنا،باید توجه کرد که نسخه الکترونیک یکی از ملزومات دنیای امروز بوده و در بسیاری از کشورهای پیشرفته دنیا در حال اجراست. در ایران نیز در راستای صرفهجویی در هزینهها و همچنین پیگیری دقیق و سیستماتیک ارائه خدمات سلامت، رصد وضعیت تعرفههای بهداشتی و درمانی دریافتی از مردم، پیشگیری از تقاضاهای القایی در حوزه درمان و… . باید به سمت اجرای درست این طرح حرکت میشد و از سالها پیش نیز بسترسازی برای آن آغاز شده است.
اما موضوعی که اخیرا خبرساز شده آن است که عنوان میشود دسترسی به اطلاعات هویتی و اسرار پزشکی و بیمهای بیماران، از طریق کد ملی قابل دسترس است؛ موضوعی که اخیرا بیشتر بر سر زبانها افتاده و نگرانی سوءاستفاده از اطلاعات بیمهشدگان را افزایش داده است. بر همین اساس به نظر میرسد که باید قوانین حقوقی و قضایی پیشگیرانه و دقیقی برای پیشگیری از فاش شدن اطلاعات بیمهشدگان در نظر گرفته شود تا شاهد سوءاستفاده و نشر اطلاعات بیمهشدگان از سوی پزشک و حتی غیر پزشک نباشیم. البته در همین زمینه عبدالرحیم ترابی- مدیر کل حقوقی سازمان بیمه سلامت اعلام کرد که انتشار اطلاعات هویتی و محرمانه بیمهشدگان توسط پزشکان یا در اختیار قرار دادن نام کاربری و کلمه عبور سامانه نسخه الکترونیک، جرم محسوب شده و این موضوع پیگرد قانونی دارد.
وی نشر اطلاعات بیمهشدگان را مصداق بارز نقض حریم خصوصی و افشای اطلاعات و همچنین نشر اکاذیب و تشویش اذهان عمومی دانست که پیگیرد حقوقی دارد و تاکید میکند که «دسترسی به سوابق بیمهشدگان از قبیل سابقه دارو و خدمات پاراکلینیک تجویزی برای بیماران فقط با اجازه بیمه شده و به وسیله رمز دو مرحلهای فراهم است و این اطلاعات در حال حاضر فقط به پزشکان نمایش داده میشود.»
در هر حال اجرای نسخه الکترونیک از ابتدای دی ماه ۱۴۰۰ به صورت کشوری الزامی شده و پیش از این الزام قانونی، هشدارهایی در رابطه با چالشهای حقوقی و امنیتی آن داده شده بود؛ به طوری که پیش از این سازمان نظام پزشکی به عنوان سازمان صنفی پزشکان نقایص جدی را متوجه این طرح دانسته و اعلام کرده بود که ایجاد قوانین جدید در حوزه دوراپزشکی و نسخهنویسی الکترونیک از راه دور، ایجاد زیرساختهای لازم مانند پرونده الکترونیک سلامت و امضای الکترونیک امن و استقرار لجستیک نظارتی با حمایت سایر دستگاهها در سازمان نظام پزشکی، از جمله راهکارهای حل این نقایص است تا بتوان نسخه الکترونیک را به صورت ایمن اجرایی کرد.
پشتوانههای قانونی نسخه الکترونیک
در عین حال نسخه الکترونیک در کشور پشتوانه قانونی نیز دارد. به طوری که بر اساس اعلام سازمان بیمه سلامت، این سازمان طبق تکالیف قانونی خود و در راستای اهداف برنامه ششم توسعه کشور و بند «ث» ماده ۶۷ و بند «چ» ماده ۷۰ و بند «ج» تبصره ۱۷ قانون بودجه سال ۱۳۹۸ و همچنین سیاستهای ابلاغی در حوزه سلامت موظف شد که برنامه نسخهنویسی الکترونیک و حذف دفترچههای کاغذی را اجرایی کند. بنابراین نسخه نویسی الکترونیک از آبان ۱۳۹۸ با اجرا در ۲۳۵ شهر توسط این سازمان آغاز شد و در حال حاضر هم در کشور الزامی شده است.
همچنین در برنامه پنجم و ششم توسعه نسبت به اجرای نسخهنویسی الکترونیک تاکید شده و در ماده ۷۴ برنامه ششم توسعه درباره نسخهنویسی الکترونیک گفته شده که «وزارت بهداشت، درمان و آموزش پزشکی با هدف ارائه خدمات الکترونیک سلامت مکلف است در مدت دو سال اول اجرای قانون برنامه نسبت به استقرار سامانههای پرونده الکترونیک سلامت ایرانیان و سامانههای اطلاعاتی مراکز سلامت با هماهنگی پایگاه ملی آمار ایران و سازمان ثبت احوال کشور با حفظ حریم خصوصی، منوط به اذن آنها و محرمانه بودن دادهها و با اولویت شروع برنامه پزشک خانواده و نظام ارجاع اقدام کند.»
در ادامه این ماده قانونی ذکر شده است که «وزارت بهداشت، درمان و آموزش پزشکی مکلف است با همکاری سازمانها و مراکز خدمات سلامت و بیمه سلامت، حداکثر ظرف مدت شش ماه پس از استقرار کامل سامانه فوق، خدمات بیمه سلامت را به صورت یکپارچه و مبتنی بر فناوری اطلاعات در تعامل با سامانه «پرونده سلامت الکترونیک ایرانیان» ساماندهی نماید.»
بنابراین در برنامه ششم توسعه، قانونگذار تاکید کرده است که اجرای ارائه خدمات الکترونیک سلامت باید با اولویت “حفظ حریم خصوصی”، “حفظ محرمانگی دادهها”، “اجرای برنامه پزشک خانواده و نظام ارجاع” اجرا شود. بر این اساس باید از متولیان سلامت کشور پرسید که از یکم دی ماه ۱۴۰۰ که اجرای نسخه الکترونیک الزامی شده است، کدام یک از این اولویتها در کشور استقرار یافتهاند، آیا سیستم نسخه الکترونیک در جهت حفظ محرمانگی اطلاعات و حریم خصوصی بیماران واقعا امن بوده و امکان هک یا سوءاستفاده از آن وجود ندارد؟ برنامه پزشک خانواده و نظام ارجاع چه زمانی سراسری میشود؟. بر همین اساس به نظر میرسد که آنچه امروز در حوزه نسخه الکترونیک شاهدش هستیم، اجرای بخشی از قانون است و نه تمام آن؛ به طوری که اولویتهایی مانند پرونده الکترونیک سلامت، اجرای پزشک خانواده و نظام ارجاع و … همراه آن نیست و همین موضوع میتواند به محلی برای چالش تبدیل شود.
چرا حضور پرونده الکترونیک سلامت در کنار نسخهنویسی الکترونیک ضروری است؟
همانطور که پیش از این گفته شد، طبق قوانین بالادستی همچون برنامه ششم توسعه، یکی از اولویتهای اجرای نسخه الکترونیک، وجود و تکمیل پرونده الکترونیک سلامت است. باید توجه کرد که پرونده الکترونیک سلامت حاوی کلیه اطلاعات بهداشتی، پزشکی، تشخیصی و درمانی خانواده است و سابقه افراد برای مراجعه و دریافت خدمات بهداشتی، مراقبتی و پزشکی را در داخل کشور نشان میدهد. این اطلاعات شامل روند دریافت مراقبتهای اولیه و همچنین درمان افراد است و وجود یا عدم وجود بیماری خاص در فرد را نشان میدهد.
طبق ماده ۸۸ قانون برنامه چهارم توسعه، وزارت بهداشت موظف شده بود تا به منظور ارتقاء مستمر کیفیت خدمات سلامت و تعالی عملکرد خدمات بالینی، افزایش بهرهوری و استفاده بهینه از امکانات بهداشتی و درمانی کشور، نسبت به طراحی و استقرار نظام جامع اطلاعات سلامت شهروندان ایرانی اقدام کند؛ تکلیف قانونی که از اواسط دهه ۸۰ بر عهده وزارت بهداشتیها قرار گرفت، اما طی این سالها چالشهای متعددی هم در اجرایش وجود داشت. طی سالهای گذشته، دولتهای مختلف هم وعده و وعیدهای بسیاری درباره تکمیل پرونده الکترونیک سلامت ایرانیان دادهاند؛ وعدههایی که البته تاکنون به طور کامل محقق نشده است.
در عین حال برای ایجاد نظام جامع اطلاعات سلامت شهروندان یا همان سامانه پرونده الکترونیکی سلامت ایرانیان (سپاس) در دولت یازدهم برنامهریزی و برای فراهم آوردن زیرساختهایش اقدام شد و اجرای آن در دولت دوازدهم نیز ادامه یافت و وعده استقرار این سیستم از بهار ۱۳۹۸ از سوی وزیر وقت بهداشت داده شد، اما با وجود اینکه ۴ تیرماه ۹۸ پرونده الکترونیک سلامت با حضور رییس جمهور وقت رونمایی شد و سعید نمکی- وزیر بهداشت وقت اعلام کرد که حداقل ۷۵ میلیون ایرانی با کد ملی قابلیت تشکیل پرونده الکترونیک سلامت دارند، اما به دلیل اتصال نداشتن این سامانه به بیمارستانها و مراکز درمانی و سایر مشکلات، پرونده الکترونیک آنطور که باید و شاید مستقر نشد.
بر همین اساس هم حالا با الزامی شدن نسخه الکترونیک، شورای عالی نظام پزشکی چندی پیش در نامهای خطاب به رئیس جمهور اعلام کرد:« پیش از اجرای نسخه الکترونیک ضروری است که در ابتدا برای هر شهروند ایرانی پرونده الکترونیک سلامت تشکیل واجرائی شود. درحالیکه هنوز این مهم و نیز اجرایی کردن بارگذاری کدینگ خدمات سلامت توسط وزارت بهداشت در سامانههای فعلی بیمهها تاکنون بهصورت دقیق و کامل صورت نگرفته است. بنابراین امکان تبادل اطلاعات پزشک معالج و مراکز درمانی با پرونده الکترونیک سلامت عملا وجود ندارد.»
و اما چالش امنیتی نسخه الکترونیک
از امضای الکترونیک ناامن تا نبود امنیت سایبری
در عین حال یکی دیگر از اولویتهای مهم در حوزه اجرای نسخه الکترونیک، بحث تعریف امضای الکترونیک امن برای پزشکان است. باید توجه کرد که وقتی پزشکی نسخهای را به صورت کاغذی تجویز میکند، اصالت نسخه با دست خط، امضا و مهر پزشک سنجیده میشود، اما در نسخه الکترونیک دست خط و مهری وجود ندارد که اصالت نسخه را ثبت کند. بنابراین امضای الکترونیک میتواند اعتبار و اصالت نسخه را ضمانت کند و بدون امضای الکترونیک، نسخه الکترونیک فاقد ویژگی اصالت خواهد بود. بر همین اساس هم در سال ۱۳۹۸ سازمان نظام پزشکی اعلام کرد که از سالها قبل نسبت به ایجاد امکان امضای الکترونیک و صدور کارت هوشمند نظام پزشکی برای پزشکان اقدام کرده و این موضوع را با همکاری وزارت بهداشت، قوه قضائیه و سازمان توسعه تجارت الکترونیک، پیش برده و پیاده سازی کرده است.
با این حال اما، در حال حاضر طبق اعلام خود سازمان نظام پزشکی کشور، از ۳۳۰ هزار عضو سازمان نظام پزشکی، تاکنون کارتهای هویتی الکترونیکی برای یکسوم آنها، شامل ۱۰۰ هزار نفر صادر شده است.
با همه این اوصاف، سازمان نظام پزشکی هم زمان را برای الزامی شدن نسخه الکترونیک مناسب نمیداند. به طوری که در بخش دیگری از نامه شورایعالی این سازمان به رییس جمهور آمده است که «موضوع مهم «امضای الکترونیک نسخ»، متاسفانه هنوز عملیاتی نشده است و در عمل تبدیل به یوزر و پسورد برای ورود پزشکان به سامانههای بیمه شده است. لازم به ذکراست که طبق قانون بودجه سال جاری، پرداخت نسخه الکترونیک از سوی سازمانهای بیمه گر، منوط به تحقق امضای الکترونیک است که این مورد تاکنون محقق نشده است.»
همچنین چندی پیش دکتر علی سالاری- معاون فنی و نظارت سازمان نظام پزشکی کشور، در این باره به ایسنا، اعلام کرد که «نسخه الکترونیک، تنها نسخهنویسی الکترونیک نیست؛ بلکه مطابق قانون پرونده الکترونیک و امضای الکترونیک هم باید با آن همراه باشند. اهمیت امضای الکترونیک از این بابت است که نسخه تجویز شده انکارناپذیر باشد و مثلا عنوان نشود که نام کاربری و رمز عبور یک پزشک را همکاری دیگر گرفته و بیمارش را ویزیت کرده یا مثلا عنوان نشود که اصلا این ویزیت در فضای حقیقی اتفاق نیفتاده است. باید توجه کرد که امضای الکترونیک که به وسیله کارتهای هوشمند الکترونیک یا نرمافزارهای نصب شده بر روی موبایل ایجاد میشود، قابلیت انکارناپذیری دارد و پزشک نمیتواند منکر اصالت نسخه شود. اکنون در حوزه امضای الکترونیک ممکن است این امضا قابل انکار بوده و اصالت نسخه مشخص نباشد و نتوانیم در آینده حقوق انتظامی بیمار و پزشک را پیگیری کنیم. اگر پزشکی مدعی شود که من این نسخه را تولید نکردم، بنابراین نمیتوان پیگیریهای آینده درباره قصورهای احتمالی را برای بیمار متصور دانست.»
از منشیهای نسخهنویس تا امکان اشتباه در دارونویسی
همچنین به گفته دکتر علی فاطمی-نایب رییس انجمن داروسازان ایران، در حال حاضر پزشکان با نام کاربری و رمز عبور نسخه الکترونیک مینویسند و گاهی دیده شده برخی پزشکان این نام کاربری و رمز عبور را به منشی خود میدهند که نسخه را بنویسد. وی همچنین میگوید که «در مواردی شاهد بودیم منشی مطب دارویی را اشتباه وارد سیستم کرده است. مثلا دندانپزشکی که میخواسته مسکن دهد، اما منشی به اشتباه داروی مربوط به عارضه قلبی را وارد کرده است.» وی تاکید میکند که «باید تعریف شود که پزشکان بر اساس تخصصشان چه داروهایی را میتوانند تجویز کنند. مثلا در موردی پیش آمده که بجای ۵۰ قرصی که باید تجویز میشده، ۵۰ آمپول نوشته شده و اگر دارو به بیمار داده میشد، ممکن بود منجر به از بین رفتن بیمار شود. برخی پزشکان به داروخانهها اعلام میکنند که من نام کاربری و رمز را میدهم و نسخهپیچ نسخه را وارد کند، اما کار بسیار پر مسئولیتی است واگر دارویی اشتباه شود، چه کسی میخواهد مسئولیت آن را بپذیرد؟.»
بنابراین برای اجرای درست نسخه الکترونیک و همچنین پیشگیری از اشتباه یا سوءاستفاده از آن در راستای حفظ سلامت مردم، باید وزارت بهداشت، سازمان نظام پزشکی و … با هماندیشی نسبت به استقرار ملزوماتی چون پرونده الکترونیک سلامت و امضای الکترونیک امن تصمیمگیری و اقدام کنند.
اهمیت امنیت سایبری در سامانههای نسخه الکترونیک
در عین حال چالش امنیتی دیگر در زمینه نسخه الکترونیک، امنیت سامانههای نسخه الکترونیک است. بر اساس آنچه که در نامه شورای عالی نظام پزشکی خطاب به رییس جمهوری آمده است، «هنوز اقدامات قانون لازم جهت اخذ «گواهی ارزیابی امنیتی افتا» روی سامانههای نسخه الکترونیک بیمههای سلامت و تامین اجتماعی انجام نشده و مرکز راهبردی افتا صراحتا سامانههای مذکور را فاقد امنیت سایبری لازم اعلام نموده است.» (بازه زمانی لازم جهت این مهم بین شش ماه تا یک سال تخمین زده میشود.)
بنابراین هنوز گواهی امنیتی سامانههای نسخه الکترونیک صادر نشده است و احتمال حمله سایبری و هک این سامانهها به صورت بالقوه و نگرانکنندهای وجود دارد. بنابراین باید در این زمینه نیز موضوع را جدی گرفت تا اصول “حفظ محرمانگی اطلاعات” و “حفظ حریم خصوصی بیماران” که از اولویتهای اساسی اجرای نسخه الکترونیک است، مورد خدشه قرار نگیرد.
کدهای چندگانه و خطر برای بیماران
علاوه بر این موارد، وجود کدهای چندگانه دارو و تطابق دستی کدها توسط پرسنل پشتیبانی پلتفرمهای نسخ الکترونیک، یکی دیگر از ایراداتی است که مطرح شده است؛ موضوعی که هم در زمان نسخهنویسی الکترونیک به ویژه اگر کسی جز پزشک نسخهنویسی را انجام دهد و هم در زمان نسخهپیچی میتواند مشکلساز شود. بر این اساس بحث لزوم کدینگ یکسان داروها در سامانههای نسخه الکترونیک مطرح میشود. به عنوان مثال در حال حاضر برای نسخهپیچی الکترونیک داروخانهها باید همزمان به چند سامانه مراجعه کرده و کدهای داروها را تطبیق دهند؛ اقدامی که هم وقتگیر است و هم احتمال خطا را افزایش میدهد. بنابراین قطعا این موضوع بدون خطا نیست و بسیار امکان دارد که سبب مغایرت دارو با تجویز پزشک معالج شده که به راحتی می تواند جان و سلامتی بیماران را در مواردی به خطر اندازد.
در مجموع مشخص است که با اجرای نسخه الکترونیک باید به سمت حذف کاغذ و الکترونیکی شدن ارائه خدمات حرکت کرد تا با دقت و سرعت بیشتر، ارتباط پویاتر و سریعتر بین مراکز درمانی، پاراکلینیک، بیمه و … بتوان به مردم خدمات بهتر، سریعتر و دقیقتری ارائه داد، اما مانند هر موضوع دیگری فقط نمیتوان آن را در حالت تئوریک تعریف کرد و لازم است در عمل بسترهای مورد لزوم آن مانند پرونده الکترونیک سلامت، پزشک خانواده، نظام ارجاع، امضای الکترونیک امن، حفظ امنیت سایبری سامانههای نسخه الکترونیک و در یک کلام حفظ حریم خصوصی بیمار و اصل محرمانگی امور پزشکی و درمانی … را نیز فراهم کرد تا به این ترتیب بتوان ارایه خدمات مطلوب و همچنین پیگیری دقیق و سیستماتیک ارائه خدمات سلامت را رقم زد.
انتهای پیام