費(fèi)曉璐，魏嵐，黃躍，岳丹

首都醫(yī)科大學(xué)宣武醫(yī)院 信息技術(shù)科，北京 100053

0 前言

電子病歷（Electronic Medical Record，EMR）最先起源于西方發(fā)達(dá)國家，此后由于其具有傳送速度快、共享性好、使用方便等特點(diǎn)而在世界范圍內(nèi)得到推廣。目前，隨著我國相關(guān)法律法規(guī)和規(guī)范標(biāo)準(zhǔn)的出臺，2012年電子病歷在我國醫(yī)院的應(yīng)用普及率已經(jīng)達(dá)到46.67%[1]。作為臨床信息系統(tǒng)的核心，電子病歷包含了多種信息，如患者的姓名、性別、各類檢驗(yàn)檢查情況、病程記錄、醫(yī)囑、手術(shù)記錄、護(hù)理信息等。電子病歷的應(yīng)用大大提高了醫(yī)院工作人員的工作效率以及醫(yī)院的管理水平，也為患者的就診帶來了很大的便利[2-5]。但是，隨著電子病歷的深入應(yīng)用，它也帶來了一些新的不安全因素[6-11]。本文就電子病歷在應(yīng)用過程中可能存在的風(fēng)險(xiǎn)進(jìn)行探究。

1 美國電子病歷不良事件

近些年來，電子病歷的相關(guān)風(fēng)險(xiǎn)問題日益突顯并倍受人們的關(guān)注。在美國緊急醫(yī)療研究所（Emergency Care Research Institute，ECRI）發(fā)布的《2013十大醫(yī)療技術(shù)危害》和《2014年十大醫(yī)療技術(shù)危害》中，電子病歷和其他醫(yī)療信息系統(tǒng)中患者數(shù)據(jù)不匹配的問題位于前五，這在一定層面上反映了電子病歷風(fēng)險(xiǎn)管理的重要性[12-13]。此外，本文對美國食品和藥品監(jiān)督管理局（Food and Drug Administration，F(xiàn)DA）中電子病歷不良事件進(jìn)行了詳細(xì)的調(diào)查研究。結(jié)果表明，2008年~2013年有關(guān)EMR的記錄共有12個(gè)，去除重復(fù)以及不可用的信息后，與電子病歷不良事件相關(guān)的記錄有7個(gè)，其中2008年1個(gè)（MDR #Z-2155-2008）、2011年1個(gè)（MDR #Z-0037-2012）、2012年2個(gè)（MDR #Z-2263-2012、#Z-0169-2013）以及2013年3個(gè)（MDR #Z-1814-2013、#Z-2034-2013、#Z-0454-2014）[14]。通過調(diào)查可知，美國對有關(guān)電子病歷不良事件的認(rèn)識也在逐年深入，與電子病歷相關(guān)的安全問題正在日益突顯。電子病歷的使用安全可能會對患者造成一定的影響，有時(shí)甚至?xí)聿豢赡孓D(zhuǎn)的傷害，因此對電子病歷安全風(fēng)險(xiǎn)的認(rèn)識和規(guī)避刻不容緩。

2 電子病歷應(yīng)用中存在的風(fēng)險(xiǎn)

現(xiàn)如今的醫(yī)療體系是一個(gè)由醫(yī)院管理者、醫(yī)護(hù)人員、患者、醫(yī)療設(shè)備、系統(tǒng)環(huán)境等組成的大體系。采用管理工具對電子病歷的應(yīng)用進(jìn)行分析，發(fā)現(xiàn)技術(shù)、流程、人員、管理等各個(gè)環(huán)節(jié)都可能對電子病歷的安全使用造成影響。各環(huán)節(jié)的主要風(fēng)險(xiǎn)點(diǎn)，見圖1。

2.1 安全風(fēng)險(xiǎn)

圖1 醫(yī)療體系各環(huán)節(jié)的主要風(fēng)險(xiǎn)點(diǎn)

在信息系統(tǒng)上線初期，醫(yī)院應(yīng)進(jìn)行調(diào)研并制定管理措施。為防止系統(tǒng)癱瘓或者其他突發(fā)狀況造成數(shù)據(jù)丟失，需在日常工作中進(jìn)行合理的數(shù)據(jù)備份和災(zāi)難恢復(fù)。醫(yī)院內(nèi)部需具備相應(yīng)的應(yīng)急備案并定期進(jìn)行應(yīng)急演練，以應(yīng)付外界因素或系統(tǒng)故障對病歷信息帶來的破壞。醫(yī)生需及時(shí)打印并保留紙質(zhì)病歷，以便在網(wǎng)絡(luò)、數(shù)據(jù)庫出現(xiàn)問題時(shí)可以繼續(xù)進(jìn)行緊急的診療工作。同時(shí)也應(yīng)該考慮設(shè)置離線的應(yīng)急系統(tǒng)，當(dāng)網(wǎng)絡(luò)發(fā)生中斷時(shí)，這類特定系統(tǒng)可以在醫(yī)療設(shè)備與電子病歷中存儲和轉(zhuǎn)發(fā)數(shù)據(jù)。也就是說，當(dāng)網(wǎng)絡(luò)中斷時(shí)，它可以持續(xù)記錄來自醫(yī)療設(shè)備的信息，并在網(wǎng)絡(luò)恢復(fù)正常時(shí)將其傳送至電子病歷。

系統(tǒng)運(yùn)行后要增強(qiáng)使用者的安全意識與保密意識，確?；颊叩牟v信息不被使用者向外部其他任何無關(guān)人員泄露；并提供法律和機(jī)構(gòu)組織上的保障，如制定相關(guān)安全法律法規(guī)，成立相關(guān)組織機(jī)構(gòu)，在保證電子病歷合法使用的前提下，保護(hù)其安全性不受侵犯。

2.2 管理風(fēng)險(xiǎn)

軟件的使用會改變以往手工工作的流程，創(chuàng)建新的工作流時(shí)，需要考慮所有的流程是否能夠核對患者信息，以確保正確的信息存儲在正確的位置。例如我院在基本信息處理上采用錄入位置唯一、各個(gè)系統(tǒng)同步更新的模式，杜絕了隨意修改患者基本信息的現(xiàn)象。

醫(yī)院應(yīng)當(dāng)加強(qiáng)信息系統(tǒng)用戶管理和模板管理，針對不同的使用者給予不同的操作權(quán)限。使用者必須通過身份驗(yàn)證方可進(jìn)入病歷系統(tǒng)，不同級別的使用者應(yīng)享用不同的操作權(quán)限。操作者不能訪問授權(quán)之外的任何信息，也不能進(jìn)行授權(quán)外的操作，這樣可在一定程度上避免信息出現(xiàn)操作混亂或因操作人員疏忽而造成患者信息發(fā)生錯(cuò)誤的現(xiàn)象。

2.3 數(shù)據(jù)風(fēng)險(xiǎn)

當(dāng)患者的身份與電子病歷中的數(shù)據(jù)不匹配時(shí)，也就意味著醫(yī)生的治療決策有可能是基于錯(cuò)誤的信息制定的，可能會對患者的健康造成更大的危害。

患者數(shù)據(jù)不匹配并非是一種新的現(xiàn)象，其在紙質(zhì)病歷時(shí)代就已經(jīng)出現(xiàn)，如工作人員的疏忽或手寫不清楚，均會導(dǎo)致患者數(shù)據(jù)不匹配現(xiàn)象的發(fā)生。而應(yīng)用信息系統(tǒng)后，若出現(xiàn)業(yè)務(wù)流程漏洞或系統(tǒng)漏洞，則會導(dǎo)致患者數(shù)據(jù)匹配錯(cuò)誤，且問題發(fā)生后往往不易被察覺。雖然可通過射頻識別（Radio Frequency Identification，RFID）技術(shù)對患者進(jìn)行身份標(biāo)識，但還是不能徹底避免患者信息不匹配的發(fā)生。ECRI的研究表明，患者數(shù)據(jù)不匹配在醫(yī)療信息系統(tǒng)的應(yīng)用中常有發(fā)生，而且這類現(xiàn)象不一定是由于使用者的疏忽或者錯(cuò)誤使用而導(dǎo)致的，也可能由其他原因所導(dǎo)致，如流程缺陷、程序問題或者軟件運(yùn)行異常等。如果患者數(shù)據(jù)不匹配現(xiàn)象發(fā)生，那么被影響的患者可能不只一個(gè)，如果一個(gè)患者的數(shù)據(jù)被另一個(gè)患者的數(shù)據(jù)覆蓋，那么除了導(dǎo)致此患者的數(shù)據(jù)不匹配外，還會導(dǎo)致另一個(gè)患者的數(shù)據(jù)缺失，這樣造成的后果是非常嚴(yán)重的。因此，無論是醫(yī)院管理者、醫(yī)療護(hù)理人員，還是信息技術(shù)人員，都要認(rèn)真考慮各個(gè)流程中可能出現(xiàn)的漏洞，盡量避免患者電子數(shù)據(jù)的匹配錯(cuò)誤。

另外，若電子病歷中的數(shù)據(jù)未及時(shí)更新，其所顯示的數(shù)據(jù)并非患者的最新信息，醫(yī)生可能會制定錯(cuò)誤的治療決策，導(dǎo)致治療時(shí)機(jī)的延誤，進(jìn)而發(fā)生病情惡化。

作為電子病歷的最終使用者，臨床醫(yī)師和其他醫(yī)護(hù)工作者扮演著至關(guān)重要的角色。在引進(jìn)電子病歷時(shí)，電子信息與現(xiàn)實(shí)信息的核對需要人工進(jìn)行，這一環(huán)節(jié)至關(guān)重要不能忽略。因此，需要對臨床醫(yī)師或其他醫(yī)護(hù)工作者進(jìn)行培訓(xùn)，這樣既可以避免因使用不當(dāng)或者未注意計(jì)算機(jī)的相關(guān)提示而造成的錯(cuò)誤，又可以避免未知安全問題的發(fā)生。

2.4 人員風(fēng)險(xiǎn)

作為醫(yī)療信息系統(tǒng)的最終使用者，臨床醫(yī)生或者其他醫(yī)護(hù)工作者除了要正確有效地利用電子病歷外，還應(yīng)該充當(dāng)監(jiān)督者，及時(shí)反饋在實(shí)際使用中遇到的問題以及發(fā)現(xiàn)的一些缺陷，如系統(tǒng)時(shí)間錯(cuò)誤等現(xiàn)象，并使系統(tǒng)的供應(yīng)維護(hù)方可以及時(shí)地進(jìn)行修正，避免此類現(xiàn)象再發(fā)生。

2.5 交互風(fēng)險(xiǎn)

各醫(yī)療信息系統(tǒng)之間通過接口進(jìn)行數(shù)據(jù)的傳輸和共享，同時(shí)，內(nèi)部系統(tǒng)與外部系統(tǒng)之間也存在交互風(fēng)險(xiǎn)。因此，需要對終端工作站的外部接口進(jìn)行控制和取消，防止安裝和使用非法外來硬件和軟件，使醫(yī)院信息系統(tǒng)成為一個(gè)相對封閉、不受外界干擾的信息系統(tǒng)。醫(yī)療機(jī)構(gòu)需要建立并維護(hù)接口設(shè)備和系統(tǒng)的庫存，包括不同接口部分的軟件版本和參數(shù)設(shè)置。

2.6 網(wǎng)絡(luò)風(fēng)險(xiǎn)

網(wǎng)絡(luò)設(shè)備是各個(gè)系統(tǒng)正常運(yùn)轉(zhuǎn)的中轉(zhuǎn)站，網(wǎng)絡(luò)硬件的質(zhì)量、性能和配置是整個(gè)網(wǎng)絡(luò)穩(wěn)定、安全運(yùn)行的基本保障。網(wǎng)絡(luò)設(shè)備發(fā)生故障時(shí)，會影響聯(lián)接點(diǎn)的工作，如果是核心交換機(jī)發(fā)生故障，各項(xiàng)業(yè)務(wù)將會中斷，給醫(yī)院帶來嚴(yán)重的負(fù)面影響。病毒、黑客也是醫(yī)院網(wǎng)絡(luò)系統(tǒng)的一大威脅。除了這些因素外，網(wǎng)絡(luò)風(fēng)險(xiǎn)還包括網(wǎng)絡(luò)設(shè)計(jì)缺陷、非法訪問、環(huán)境等因素。面對日益嚴(yán)重的威脅，可采取物理隔離措施，即醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)自成一體，不與其他網(wǎng)絡(luò)相連；控制端口并綁定IP地址，防止機(jī)器非法接入；安裝網(wǎng)絡(luò)版防病毒軟件等[15]。

3 結(jié)論

在醫(yī)療環(huán)境中，任何新技術(shù)的引入在帶來益處的同時(shí)，也可能引入新的風(fēng)險(xiǎn)因素。本文分析了電子病歷可能引入的幾類潛在安全風(fēng)險(xiǎn)，并給出了相關(guān)建議。我國的電子病歷仍具有巨大的發(fā)展空間，本文通過對電子病歷安全問題的分析，旨在使電子病歷在我國可以得到更好的利用和更廣泛的推廣。

[1] 魏立榮.醫(yī)院電子病歷應(yīng)用管理分析[J].中外女性健康(下半月), 2013,(1):160.

[2] 黃云,周敏,王玉卓,等.從電子病歷的發(fā)展歷程談醫(yī)療安全管理中的風(fēng)險(xiǎn)管理[J].中國醫(yī)院管理,2007,27(10):53-55.

[3] 王玉珍,王健,趙正軍,等.新版電子病歷系統(tǒng)架構(gòu)分析[J].中國醫(yī)療設(shè)備,2013,(10):56-58.

[4] 王鑫衛(wèi),劉曉慶.基于電子病歷的醫(yī)院信息化建設(shè)[J].生物醫(yī)學(xué)工程學(xué)進(jìn)展,2013,34(2):135-138.

[5] 吳吉辰.醫(yī)院電子病歷系統(tǒng)建設(shè)探析[J].中外健康文摘,2013, (52):69-70.

[6] 王琳.電子病歷的安全管理策略分析[J].當(dāng)代醫(yī)學(xué),2013, 19(7):17-18.

[7] 王博,劉丕楠.電子病歷臨床應(yīng)用中存在的問題與對策[J].中國醫(yī)院管理,2013,33(1):71-72.

[8] Terry NP.Meaningful adoption:what we know or think we know about the financing, effectiveness,quality,and safety of electronic medical records[J].J Leg Med,2013,34(1):7-42.

[9] Ash JS,Berg M,Coiera E.Some unintended consequences of information technology in health care:the nature of patient care information system-related errors[J].J Am Med Inform Assoc,2004,11(2):104-112.

[10] Harrington L,Kennerly D,Johnson C.Safety issues related to the electronic medical record(EMR):synthesis of the literature from the last decade,2000-2009[J].J Healthc Manag,2011,56(1):31-43.

[11] Gummadi S,Housri N,Zimmers TA,et al.Electronic medical record:a balancing act of patient safety,privacy and health care delivery[J].Am J Med Sci,2014,348(3):238-243.

[12] ECRI Institute.Top 10 Health Technology Hazards for 2013[J].Health Devices,2012,41(11):342-365.

[13] ECRI Institute.Top 10 Health Technology Hazards for 2014[J].Health Devices,2013,42(11):354-380.

[14] 彭慧.電子病歷[J].中外健康文摘,2013,(38):17-18.

[15] 孫悅生,黃彪.醫(yī)院信息系統(tǒng)風(fēng)險(xiǎn)分析與控制[J].社區(qū)醫(yī)學(xué)雜志,2008,6(20):6-8.