Войти

Использование ЭЦП врачами при ведении приема: кому и зачем это нужно?

МЗ РК настаивает на том, чтобы врачи при работе в МИС каждую вносимую медицинскую запись подтверждали своей личной ЭЦП.

Нововведение предлагается в свете перехода медицины на "безбумажку", как замена физической подписи и печати врача. 

Однако вопросов при обязательном внедрении ЭЦП возникает больше, чем ответов. И главный из них: "Гарантирует ли использование ЭЦП защиту от изменения данных в электронному документе в отсутствие государственного хранилища данных (Платформы)?" А если не гарантирует, то зачем тогда вообще это нужно?


Экспертное мнение

Виталий Ермоленко, директор ТОО "MedElement"

Оригинал комментария - здесь

Немного о здравом смысле и электронной цифровой подписи для врачей  

Давеча (буквально вчерашним вечером) прошло очередное собрание экспертной комиссии по цифровизации здравоохранения, на котором обсуждалось достаточно много вопросов. Один из этих вопросов, собственно, и стал причиной появления этого текста.
Прежде всего, хочу сказать, что собрание прошло достаточно неплохо и по многим спорным или неоднозначным темам были озвучены правильные вещи (нужно доработать, оценить реальность сроков, поменять приоритет и т.д.. т.е дрова в виде “мы тут решили и точка” практически не рубились).
Но не обошлось и без откровенно спорной темы, о которой собственно и пост.
А именно, о необходимости применения ЭЦП в работе врачей, ну и как следствие, требований к МИС-ам по данной реализации… Да-да, речь о том, чтобы врачи, каждую вносимую медицинскую запись подтверждали своей личной ЭЦП.
Вроде бы, как может показаться со стороны, дело благородное и нужное, да и сам термин ЭЦП, состоящий на 67% из популярных нынче терминов (которыми частенько отчитывается Минздрав), просто манит необходимостью его внедрения…За данную инициативу также “обосновывали” и представители всеми любимой и уважаемой компании “Дамумед”, у которой данный функционал уже вроде как реализован.. Оно и понятно - мало того, что вроде как дело благородное, так это еще и напряжет конкурентов на срочные доработки (читай - трату ресурсов и времени).
Но давайте к сути поста, а именно к первой части заголовка, к здравому смыслу..
“А причем тут здравый смысл?” - вероятно кто-то спросит меня и вопрос этот будет справедливым.
А притом, что прежде чем что-то делать, неплохо бы задать себе вопрос: “А зачем?”
Вчера, когда прозвучал этот логичный вопрос, нашлось вроде как 2 аргумента, озвученных (причем на мой взгляд, не очень уверенно) со стороны представителей МЗ:
1) Этого требуют Единые требования к информационным системам, т.к МИС - это системы 2 класса (PS к данному посту)
2) Это необходимая замена бумажной подписи врача при переходе от бумажной документации к электронной. Т.е гарантия достоверности документа и его автора в электронной форме.
Начну со второго аргумента, так как по первому в нашей группе есть отдельный пост, где разбираются вопросы классификации систем. Кому интересно, почитайте - https://www.facebook.com/groups/medicine.it/permalink/2105675879736252/
Итак, напряжем серое вещество нашего мозга, включим режим его форсированного применения и подумаем над тем, что изменит применение ЭЦП на рабочем месте врача.

Достоверность подписи врача и медицинской записи в базе МИС
Ок. Хорошо. Допустим мы внедрили в МИС-ах механизм, который в момент сохранения медицинской записи, будет обращаться в Национальный удостоверяющий центр, сверять цифровую подпись врача и после ее подтверждения, сохранять в базах данных МИС. Очень хорошо. Прекрасно!
Но у меня вопрос: “Что гарантирует целостность, неизменность, да и вообще сохранность медицинской записи в системе, где разработчик МИС является царем и творцом, хозяином кода, таблиц, данных и вообще всего из чего состоит МИС?”.
Правильно - его порядочность! Ну а если разработчик беспорядочный… тьфу, непорядочный? Никто и ничего гарантировать не может.
Подписана медицинская запись парольной аутентификацией или аутентификацией через ЭЦП - разницы нет никакой! Потому как МИС-ы - это частный софт, частных разработчиков (ТОО-шек, ИП-шек, ООО-шек) и Минздрав, ну никак не может дать гарантию сохранности и неизменности данных ни в одной такой системе, даже если в момент сохранения записи мы будем применять ЭЦП.
!!! Настоящую сохранность и достоверность данных может (и должен) обеспечить только государственный сервис с отдельным техническим звеном, отвечающим за национальные базы здравоохранения. Ждем запуск Платформы и ЭПЗ.

Текущие реалии и как изменит процесс оказания медицинской помощи требование использовать ЭЦП врачами в рутинной работе
Тут не надо быть провидцем, чтобы понять, что требование к врачам использования ЭЦП при регистрации медицинских записей приведет к следующему:
  • Минздрав погонит десятки тысяч благодарных (за эту инициативу) врачей и специалистов в ЦОН-ы, потому как далеко не все имеют актуальный ЭЦП.
  • Процесс внесения медицинских данных в МИС-ы (который и так сейчас занимает много времени и вызывает массу жалоб от медицинских специалистов) увеличится по времени на 1-2 минуты (или на 10-15% от времени). Т.е. пациенты будут получать еще меньше времени внимания врача, а у врачей появится еще один “геморрой” в виде флешки с ЭЦП, времени ожидания от НУЦ и т.д
  • Ну и следующий закономерный “плюс” такой инициативы - информационная безопасность, вопреки ожиданиям, не повысится, а наоборот снизится.
Информационная безопасность в такой модели
Что будет в реале на местах? Как практик, работающий в сфере много лет, прогнозирую следующее - на рабочих ПК в поликлиниках и больницах, на рабочих столах ОС, в корне диска С и многих других местах, начнут появляться папки с ЭЦП врачей и специалистов. Потому как в реале врачам будет намного проще сохранить ЭЦП один раз на диске, чем подключать каждый раз флешку или доставать удостоверение.. При этом пароли на большинстве ЭЦП будут дефолтными, т.е открытыми..
Хорошо ли это? Не думаю. А будет именно так.

Таким образом, реализация проекта по обязательному применению ЭЦП практикующими специалистами в МИС:
  • Никак не гарантирует достоверности, подлинности и неизменности данных в МИС
  • Затруднит работу врача, сократит время общения с пациентами
  • Создаст предпосылки для несанкционированного использования ЭЦП врачей и специалистов, т.е повысит риски в информационной безопасности
Это точно то, что сейчас необходимо?
Поэтому, еще раз обращаюсь к руководству электронного здравоохранения и прошу вас: пожалуйста, подумайте, что в реале принесет ваша инициатива?
- Кому и зачем она нужна?
- Чьи интересы вы отстаиваете, настаивая на внедрении процесса, который на практике не дает ни одного очевидного плюса ни пациентам, ни врачам?
- Планируете давление на МИС-ы, у которых нет на данный момент ЭЦП?
- Скажут ли вам врачи и специалисты (ваши коллеги по фронту здравоохранения) спасибо за очередной “подарок”?

Коллеги, давайте работать над тем, что реально улучшает сервис и помогает врачам (т.е облегчает работу) в их ежедневной практике, т.к именно это и есть основная задача цифровизации!

P.S. К Единым требованиям и определению класса МИС
Единые требования к информационным системам говорят о необходимости применения ЭЦП в системах 1-го и 2-го класса. Может я что-то упускаю, но вроде как МИС-ы не являются межведомственными или ведомственными информационными системами (про 1-й класс молчу)?.
Из определения классов систем:
“..1 класс (наивысший): высокоприоритетное прикладное программное обеспечение – критически важные информационные системы, интернет-ресурсы и программные продукты, нарушение или прекращение функционирования которых приводит к чрезвычайной ситуации социального и (или) техногенного характера или к значительным негативным последствиям для обороны, безопасности, международных отношений, экономики, отдельных сфер хозяйства, инфраструктуры Республики Казахстан или для жизнедеятельности населения…”
“...2 класс: среднеприоритетное прикладное программное обеспечение – масштабные межведомственные и ведомственные информационные системы, интернет-ресурсы и программные продукты…”
“..3 класс (наименьший): малоприоритетное прикладное программное обеспечение – ведомственные типовые информационные системы, интернет-ресурсы и пользовательские программные продукты...”