Все под контролем: Кто и как следит за тобой

Как только медицинские карты будут переведены в компьютерную форму, информация из них может быть использована в совершенно иных целях. Одной из простейших методик является сканирование новых записей в карте пациента при его явке и памятки с напоминанием о необходимости сдачи очередных анализов. Эти памятки напомнят, чтобы женщина сдала мазок Папаниколау (ПАП-мазок) и сняла маммограмму; проинформируют родителей о необходимости провести у детей анализ на содержание свинца; они даже могут напомнить взрослым о необходимости регулярного контроля кровяного давления и уровня холестерина. Напоминания формулируются на английском языке и печатаются на карточке пациента. Когда пациент обращается с заболеванием или приходит на профилактический осмотр, врач видит эти напоминания и во время приема назначает необходимые процедуры.

Когда специалист по информатизации в сфере медицины из Вашингтонского университета доктор Гарольд Голдберг [Dr. Harold Goldberg] впервые предложил идею памяток своим коллегам-врачам, они посмеялись над ней, заявив, что в состоянии запомнить, какие процедуры какому пациенту требуются. Но когда программа была реализована, произошло нечто удивительное: количество анализов, которые необходимо было сдать пациентам резко подскочило.

Сегодня такие напоминания являются стандартной практикой в медицинской индустрии. «Семнадцать различных контрольных исследований подтвердило, что напоминание врачу перед началом приема увеличивает вашу возможность [получить направление на необходимые анализы] на 70 %», – говорит Голдберг. [132]

Компьютеризованные истории болезни: угрозы

Врачи не строят оптимистичных иллюзий относительно угроз, которые возникают в связи с компьютеризацией историй болезни. Согласно проведенному в 1993 году Harris-Equifax опросу, 74 % врачей считают, что компьютерные системы «почти наверняка ослабят» сохранность медицинской тайны, напротив, 26 % считают, что компьютеры «могут обеспечить большую конфиденциальность».

Проблема проистекает из различия между физической и электронной формой представления. Физической формой являются записи на бумажном носителе. Они могут существовать в данный момент времени лишь в одном месте. Чтобы отправить копию этих записей по факсу, человек должен иметь к ним физический доступ.

Основное преимущество электронных записей заключается в том, что ими легко манипулировать, но эта легкость двоякая. Маловероятно, что анализы крови в электронном виде будут утеряны. Это хорошо для пациентов, особенно тех, которые не любят, чтобы их лишний раз кололи иголкой. Но равным образом компьютерное представление данных дает возможность любопытной медсестре или практиканту подойти к оставленному без присмотра терминалу, набрать имя человека и получить доступ к результатам анализов. А поскольку к компьютерному файлу можно получить доступ одновременно с сотен расположенных по всему госпиталю терминалов, задача контроля становится неимоверно сложной.

В отчете, опубликованном в 1997 году Национальным советом по исследованиям, выделено пять «уровней угроз» информации, хранимой в медицинских компьютерах. [133]

1. Инсайдеры (законные пользователи системы), которые совершают «невинные» ошибки, приводящие к случайному разглашению конфиденциальной информации. Это могут быть такие простые ситуации, как посылка результатов лабораторного исследования по факсу на ошибочный номер или передача медсестрой записей одного пациента вместо другого.

2. Инсайдеры, превышающие свои полномочия по доступу к информации. Просмотр является распространенной проблемой во многих электронных системах хранения информации. В Налоговом управлении всегда существовала проблема любопытных служащих, просматривающих налоговую документацию, к которой они имели доступ. Было бы наивным полагать, что госпитали могут так или иначе избежать этой беды.

3. Инсайдеры, которые осуществляют доступ к информации злоумышленно или с целью наживы. Во время предвыборной кампании Демократической партии в 1992 году к одному моему знакомому патологоанатому из Beth Israel Hospital в Бостоне обратился представитель прессы, желавший получить доступ к медицинским данным кандидата Пола Цонгаса [Paul Tsongas]. Репортер предложил неплохие деньги, и менее этичный врач мог бы легко достать нужный файл, не оставив при этом следов.

4. Физический нарушитель, получивший доступ к информации, не имея на то права. Многие госпитали полагаются на физические меры обеспечения безопасности хранимой в компьютерах информации: терминалы размещаются в специальных помещениях или за стойками, куда должен иметь доступ только допущенный персонал. Но журналист мог просто надеть белый халат, фальшивую табличку с именем и получить доступ к данным Цонгаса без посторонней помощи.

5. Обиженные служащие и внешние нарушители, такие как желающие отомстить пациенты или нарушители, планирующие несанкционированный доступ к информации, повреждение систем или прерывание операций. Работающий в НМО врач рассказал мне о проблеме, с которой столкнулась его группа: один из служащих – они предполагали, кто именно, – проникал в компьютер, на котором хранилось расписание работы врачей, и удалял записи о назначенных визитах пациентов. В регистратуре думали, что данное время свободно и назначали его для других; в результате на прием одновременно являлось два или три пациента.

Существует большое количество методик, которые можно использовать для минимизации угрозы несанкционированного доступа. Например, в Beth Israel Hospital файлы некоторых пациентов помечены как VIP. Когда к этим файлам осуществляется доступ (с любой целью), имя осуществившего его сотрудника записывается в журнал; в обязанности специально назначенного человека входит регулярный аудит этих журналов для контроля того, что все попытки доступа законны.

Кто же должен быть отнесен к категории VIP? В настоящее время госпиталь помечает файлы как VIP, если имеются достаточные основания полагать, что сотрудники госпиталя могут интересоваться информацией о данном человеке. Известные люди и политики являются первыми кандидатами на это.

Но служащие госпиталя и члены их семей также получают данный статус, чтобы сократить число обращений к информации со стороны любопытных (или имеющих самые добрые намерения) коллег. В идеале все, кто хочет получить VIР-статус, должны получать его. Но на практике Beth Israel Hospital не уведомляет пациентов, что они имеют на это право.

Некоторые компьютерные специалисты видят простое решение проблемы компьютеризованных историй болезни в использовании криптографических методов. Выдайте каждому копию его истории болезни, помещенную на смарт-карту. Для защиты от хищения карты сохраните копию медицинских записей где-нибудь еще и зашифруйте ее, чтобы исключить несанкционированный доступ.

Но врачей беспокоит такой технократический подход к решению проблемы с использованием криптографии. Они опасаются, что в экстренных случаях может оказаться невозможным расшифровать или даже найти медицинские записи человека. Большинство людей, аргументируют они, не желают умирать за свое право на приватность.

Другие угрозы

Компьютеризация подвергает приватность и другим рискам, которые только сейчас становятся очевидными. Вспомним услугу по расшифровке диктофонных записей в Индии. Что, если служащий индийской фирмы узнает имя пациента, чью запись он расшифровывает и решит продать эту информацию какой-нибудь бульварной газете в Америке? Даже если предположить, что расследование утечки информации выведет на этого служащего, трудно представить, какое адекватное наказание он может понести.

Но компьютеризация также дает возможность обеспечить пациентам повышенный уровень конфиденциальности. Служащий в Индии не нуждается в имени пациента, чью запись он расшифровывает, – вполне хватит цифрового кода. При этом, вместо того чтобы использовать в качестве кода номер социального страхования, надо брать случайное число, время, в которое пациент был на приеме, или другой код, сгенерированный госпиталем, пославшим аудиозапись на расшифровку. Обрабатываемая запись будет, по существу, анонимной, по крайней мере с точки зрения сотрудника в Индии.