Программное обеспечение для ведения базы данных о пациентах, ПО для врачей Опции

[Sancho]

Никому не попадались программы для ведения базы данных о пациентах (другими словами, программное обеспечение для клиник), где бы можно было вносить диагнозы, назначаемое лечение, дату повторного визита и пр.?
Или дайте ссылки на эти ресурсы (желательно бесплатные) или тематические форумы.
Заранее спасибо.

P.S.: может быть это вопрос и не для этой ветки форума, но более подходящей я не нашел

[Игорь]

Есть еще идея, может, дикая.

Пусть есть обезличенная база данных. С ней можно работать, не привлекая особых ресурсов на защиту, кроме стандартных средств.

Есть также база данных, содержащая только номер, имя, фамилию и отчество. Такая база не является персональными данными.

Под действие закона ни та, ни другая базы не подпадают. Подпадает только их совокупность. Т.е. каждая в отдельности база сертификации не подлежит.

Сообщение отредактировал Игорь - 5.06.2009 - 12:58

[Dr. Wit]

Есть еще идея, может, дикая.

Пусть есть обезличенная база данных. С ней можно работать, не привлекая особых ресурсов на защиту, кроме стандартных средств.

Есть также база данных, содержащая только номер, имя, фамилию и отчество. Такая база не является персональными данными.

Под действие закона ни та, ни другая базы не подпадают. Подпадает только их совокупность. Т.е. каждая в отдельности база сертификации не подлежит.

Не знаю, как с точки зрения закона, но мне эта идея нравится.
...
В нашей ЭИБ как раз реализован принцип двух баз, объединенных оболочкой. Первая база - база ТФОМСа, вторая - собственно больничная.
Не знаю, как ТФОМС будет свою базу регистрировать.. У нас привязка на номер страхового полиса. По сути - это и есть искомый идентификационный номер. Так, что осоо придумыввать не надо будет.
Видимо, прдется на бумажнею ИБ выносить крупным шрифтом номер полиса и на табличку рядом с пациентом, где сейчас его ФИО и диагноз добавить номер полиса. Так врачи быстрее запоминать будут. Плюс, при прочтении заметок я могу почти на 98% угадать, о каком моём пациенте идет речь.
Проблема деперсонализации данных, действительно, очень серезная и пока даже толком не осмыслена.
...
Здесь на форуме уже обсуждались ЭИБы. Не увидел, про Ирис упоминали? Демо-версия концептуально мне понравилась.

[Игорь]

Совсем свежая информация о положении дел с персональными данными: http://www.kommersant.ru/doc.aspx?DocsID=1176806 Защитники персональных данных хотят 100 млрд. рублей в ближайшие 2 года.

Шокирующие данные приводятся в следующей информации http://www.aksimed.ru/company/news_1/iz.php?ELEMENT_ID=290 Мы склонны по своему менталитету не учиться на опыте других, а это следовало бы делать.

Поэтому рискну подвести промежуточный вывод в обсуждении темы: внедрение компьютерных информационных систем в Российское практическое здравоохранение на уровне отдельных учреждений, несмотря на всю привлекательность современных информационных технологий, в силу комплекса причин законодательного, финансового и технического характера нерационально и преждевременно. Хотя научные исследования в данном направлении желательны.

P.S.
Работая в медицинской науке и практическом здравоохранении много лет, никогда не переставал удивляться поразительной способности руководителей и ученых в данной области (при всех их заслугах и великолепном профессионализме) не разделять одну большую научную или техническую проблему, принципиально не решаемую по финансовым и техническим причинам, на множество мелких проблем (как учат в технических университетах), каждую из которых реально решить, а совсем наоборот. Неоднократно был свидетелем, когда при обсуждении конкретных проектов данные лица пытались к обсуждаемой проблеме добавить еще несколько сопутствующих, равных или превосходящих ее по трудоемкости, чтобы в конце концов завязать все, образно говоря, в тугой нерешаемый финансово-технический узел.

В русле рассматриваемой темы это приводит к тому, что решая проблему персональных данных, в кучу дополнительно валят проблему конфиденциальных данных и проблему коммерческой информации. Уважаемые, не делайте так. Обращение конфиденциальных данных регулируется отдельным законодательством (в поликлинике их практически нет, а там, где есть, все уже давно организовано). А проблема коммерчески важной информации (которой в поликлинике нет вообще) вообще решается внутренней политикой учреждения, при соблюдении действующего законодательства, естественно. Какой там уровень конфиденциальности 1Б и т.п. в МИСе, как пишут некоторые горе-авторы? Нет в законе "О персональных данных" такого понятия! В подзаконных актах есть только 4 класса для персональных данных: К1...4. И всё! Берем класс для обезличенных данных - и по закону можно даже уведомления о намерении стать оператором не делать!

Сообщение отредактировал Игорь - 8.06.2009 - 14:09

[плав]

В русле рассматриваемой темы это приводит к тому, что решая проблему персональных данных, в кучу дополнительно валят проблему конфиденциальных данных и проблему коммерческой информации. Уважаемые, не делайте так. Обращение конфиденциальных данных регулируется отдельным законодательством (в поликлинике их практически нет, а там, где есть, все уже давно организовано).

Данные о состоянии здоровья (включая факт обращения за медицинской помощью) относятся к конфиденциальным, поэтому в поликлинике их как раз полно.

[Игорь]

Данные о состоянии здоровья (включая факт обращения за медицинской помощью) относятся к конфиденциальным, поэтому в поликлинике их как раз полно.

Мы обсуждали (последнее время в данной теме) юридические аспекты. Поэтому просьба дать ссылку на законодательные акты, подтверждающие данный тезис.

[плав]

Мы обсуждали (последнее время в данной теме) юридические аспекты. Поэтому просьба дать ссылку на законодательные акты, подтверждающие данный тезис.

УКАЗ Президента РФ от 06.03.1997 N 188 (ред. от 23.09.2005)
"ОБ УТВЕРЖДЕНИИ ПЕРЕЧНЯ СВЕДЕНИЙ КОНФИДЕНЦИАЛЬНОГО ХАРАКТЕРА"
п.4
"Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее)."

ст. 61 Основ законодательства Российской Федерации об охране здоровья граждан:
"Информация о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иные сведения, полученные при его обследовании и лечении, составляют врачебную тайну. Гражданину должна быть подтверждена гарантия конфиденциальности передаваемых им сведений."

Достаточно?

[Игорь]

УКАЗ Президента РФ от 06.03.1997 N 188 (ред. от 23.09.2005)
"ОБ УТВЕРЖДЕНИИ ПЕРЕЧНЯ СВЕДЕНИЙ КОНФИДЕНЦИАЛЬНОГО ХАРАКТЕРА"
п.4
"Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее)."

ст. 61 Основ законодательства Российской Федерации об охране здоровья граждан:
"Информация о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иные сведения, полученные при его обследовании и лечении, составляют врачебную тайну. Гражданину должна быть подтверждена гарантия конфиденциальности передаваемых им сведений."

Ситуация 1 (касательно Основ законодательства Российской Федерации об охране здоровья граждан). Пациент экстренно госпитализируется. В соответствии с законом передача больницей информации о его местонахождении в данном лечебном учреждении родственникам пациента без согласия пациента (пусть даже такое согласие получить нельзя ввиду тяжелого состояния пациента) является нарушением закона? Да и гарантию пациенту в данном случае подтвердить затруднительно. Тогда уже сейчас нужно судить каждого главного врача, ибо в каждой больнице список пациентов (= факт обращения) по палатам и отделениям (= почти диагноз) вывешен в приемном покое и с пациентов согласие на включение в данный список вряд ли получено. А недавнее нововведение в популярной программе "Жди меня" - фото и диагноз пациента, потерявшего память, были [успешно] использованы публично для поиска его родных - с точки зрения цитируемого закона - вообще уголовщина. Представляется, что закон оторван от реальности.

Ситуация 2 (касательно закона о персональных данных). Как вы думаете, что бы выбрал пациент: а) его данные будут занесены в несертифицированную информационную систему или б) его данные будут занесены в сертифицированную информационную систему, но ему придется заплатить за прием 1000 руб. (в пользу сертифицирующего органа), или в) никакой информационной системы нет, но в очереди придется посидеть часа 2 и качество обслуживания ухудшится на 20%? Причем информационная система и в том, и в другом случае - одна и та же (выше я уже давал ссылку на официальную позицию компании Microsoft - у других поставщиков ситуация, уверен, аналогична). Наверное, все граждане выбрали бы вариант а) - закон, правда, этого им сделать не позволит. Законодатель, естественно, хотел вариант б) - 100 млрд. рублей на дороге не валяются (выше я также давал ссылку). А реализован, к сожалению, будет вариант в), т.к. денег нет. Как всегда - один хочет одного, другой - другого, а получится то, чего не хочет ни тот, ни другой. Кстати, деньги были бы, если бы последним пунктом закона было: "Минфину выделить целевым порядком необходимое бюджетное финансирование в размере 100 мрд. рублей". Представляется, что закон также оторван от реальности.

Вообще, нехорошо, когда законы либо в принципе не работают, либо одномоментно делают преступниками десятки тысяч человек. Что-то не то с законами. Понятно, закон работает в данном случае на предотвращение преступления. Но мероприятия по предотвращению преступления не должны наносить ущерб больший, чем само предполагаемое преступление. Не правильно, предполагая преступление или даже основываясь на единичных реализованных преступных случаях, терроризировать или лишать определенных прав всех законопослушных граждан. Если декларируемая цель мероприятия не достигается, значит реальная цель была другая. Разве что целью не является борьба с преступностью путем отнятия у преступника (превентивного уничтожения) объекта его посягательства. Нет объекта - не будет и преступления?

В комментариях и обсуждениях можно найти информацию, что законодательство о персональных данных было принято с целью гармонизации отечественного законодательства с международным (европейским, в частности). На самом деле, это неправда. Докажем на примере главного отличия. Отечественная система сертификации ПО принципиально отличается от европейской (международной). Отличие в том, что в России сертифицируется каждый экземпляр продукта. Компания Microsoft, например, приняла такой порядок с нескрываемым восторгом. Организация, владеющая 300 компьютерами, могла бы купить корпоративную лицензию Windows (+ различные скидки, в зависимости от статуса организации) по причине того, что сама Windows уже сертифицирована на соответствие европейским критериям безопасности. Это в Европе. У нас организация вынуждена покупать 300 сертифицированных коробок устаревшей (срок получения сертификата - до 1 года, кроме того, парадокс - пакет обновлений за 1 год с точки зрения отечественного закона ухудшает информационную безопасность) профессиональной версии, что в разы повышает стоимость уже не нового ПО. Далее, для оперативного и дешевого обновления Windows организация ставит сервер WSUS (кстати, бесплатный - рекомендую), ибо о безопасности Windows как операционной системы можно рассуждать лишь теоретически и с улыбкой. В России сервер WSUS не сертифицирован - значит, вне закона ключевой элемент безопасности корпоративной сети (второй ключевой элемент - сервер администрирования антивируса - не слышал, чтобы он был тоже сертифицирован), поэтому с некоего специального сервера будет обновляться каждая копия. Не нужно доказывать, что такая схема в разы же уменьшает реальную безопасность (в сеть выходит каждый компьютер либо программист вручную ставит обновления на все рабочие станции, причем со значительной задержкой выпуска) и во столько же увеличивает стоимость владения (на 300 компьютеров при централизованном управлении достаточно одного сетевого администратора - при ручном надо будет человек 15).

По поводу предыдущего абзаца мне могут возразить, что система сертификации не относится к закону о персональных данных. Сразу отвечу. Если закон отдает сертификацию "на откуп" подзаконным актам, то эти акты и система сертификации относятся к обсуждаемому закону. Точнее сказать, должен обсуждаться в этом случае не сам закон в отдельности, а пакет законов о персональных данных. К исполнению также обязателен именно пакет законов и подзаконных актов. Это - одно целое.

Наверное, мы к этой проблеме вернемся (собственно, это и будет основной и единственной проблемой). Но уже сейчас весьма напрягает отсутствие системы критериев, по которым производится проверка организации. В принципе, имея всё сертифицированное оборудование и ПО, железную дверь и решетки на окнах регистратуры, оформленную документацию о допусках, электронные ключи, все лицензии, к вам может, скажем, возникнуть вопрос - а сертифицирован ли у вас кабель "витая пара" (кто не знает - применяется для сетевых соединений)? Нет? А вот нате Вам: штраф, предупреждение о грядущем закрытии учреждения, изъятие всех компьютеров на 3 месяца для проверки и т.д., т.п. Не верится? А зря. С месяц назад приходила группа (не скажу - мошенников) специалистов с предложением услуг по разработке информационной системы. Первым (даже не взглянув) было - а мы Вам весь кабель (10 км) заново проложим, т.к. у Вас кабель, наверное, не той модели. Как? У вас категории 5e, а также оптика и все оборудование сертифицировано? Ну все-равно переложим, т.к. наша информационная система будет работать только с нашим кабелем. После чего направились к руководству, сообщили им о низкой квалификации всех программистов и персонала и пообещали решить проблему за несколько десятков (!) миллионов рублей. Список не исчерпывающий: есть еще коннекторы, кабель-канал, коридоры, по которым проходит кабель-канал, столбы подвески, грозоразрядники, улица, которую пересекает подвешенный кабель (а по улице шпионы и хакеры на автомобилях ездят), коврик для компьютерной мыши и стол, по которому она ползает.

Кто же мешает задать тот же вопрос проверяющими? Закон позволяет.

Ловим шпионов в поликлинике. А тем временем в интернете циркулирует снятое мобильником фото певицы Людмилы Зыкиной, тайно сделанное в морге. Вот так - закон в [без]действии. Или теперь уже не 100 миллиардов нужно, а 200?

Кстати, вот чем может закончиться сертификация оборудования:

Сообщение отредактировал Игорь - 6.07.2009 - 14:04

Эскизы прикрепленных изображений

 

[плав]

Ситуация 1 (касательно Основ законодательства Российской Федерации об охране здоровья граждан). Пациент экстренно госпитализируется. В соответствии с законом передача больницей информации о его местонахождении в данном лечебном учреждении родственникам пациента без согласия пациента (пусть даже такое согласие получить нельзя ввиду тяжелого состояния пациента) является нарушением закона? Да и гарантию пациенту в данном случае подтвердить затруднительно. Тогда уже сейчас нужно судить каждого главного врача, ибо в каждой больнице список пациентов (= факт обращения) по палатам и отделениям (= почти диагноз) вывешен в приемном покое и с пациентов согласие на включение в данный список вряд ли получено. А недавнее нововведение в популярной программе "Жди меня" - фото и диагноз пациента, потерявшего память, были [успешно] использованы публично для поиска его родных - с точки зрения цитируемого закона - вообще уголовщина. Представляется, что закон оторван от реальности.

Ситуация 2 (касательно закона о персональных данных). Как вы думаете, что бы выбрал пациент: а) его данные будут занесены в несертифицированную информационную систему или б) его данные будут занесены в сертифицированную информационную систему, но ему придется заплатить за прием 1000 руб. (в пользу сертифицирующего органа), или в) никакой информационной системы нет, но в очереди придется посидеть часа 2 и качество обслуживания ухудшится на 20%? Причем информационная система и в том, и в другом случае - одна и та же (выше я уже давал ссылку на официальную позицию компании Microsoft - у других поставщиков ситуация, уверен, аналогична). Наверное, все граждане выбрали бы вариант а) - закон, правда, этого им сделать не позволит. Законодатель, естественно, хотел вариант б) - 100 млрд. рублей на дороге не валяются (выше я также давал ссылку). А реализован, к сожалению, будет вариант в), т.к. денег нет. Как всегда - один хочет одного, другой - другого, а получится то, чего не хочет ни тот, ни другой. Кстати, деньги были бы, если бы последним пунктом закона было: "Минфину выделить целевым порядком необходимое бюджетное финансирование в размере 100 мрд. рублей". Представляется, что закон также оторван от реальности.

1) В случае экстренной госпитализации пациент либо (а) может сам выразить свою волю, тогда см. Основы, либо (б) не может, тогда решения принимают родственники или (если времени их оповестить нет) - консилиум. Так что в Основах все логично и правильно прописано. Не стоит фантазировать насчет его оторванности от реальности. Не будем углубляться в понятие дееспособности и того, кто принимает решения в отношении недееспособного пациента, но там опять-таки не все так просто и надо разбираться кто и почему показывал.

2) Пациент выберет занесение данных (бесплатное) в бумажную историю болезни. Ничего страшного в том, чтобы не плодить недоделанные электронные истории болезни нет. И ничего эти электронные системы в отношении ускорения работы (по крайней мере в первые пять лет после внедрения) не делают. Так что опять-таки, закон абсолютно нормальный - можете сделать нормально защищенную систему, считаете, что она окупится - вкладывайтесь. Не можете, не надо делать уродцев.

[Игорь]

2) Пациент выберет занесение данных (бесплатное) в бумажную историю болезни. Ничего страшного в том, чтобы не плодить недоделанные электронные истории болезни нет. И ничего эти электронные системы в отношении ускорения работы (по крайней мере в первые пять лет после внедрения) не делают. Так что опять-таки, закон абсолютно нормальный - можете сделать нормально защищенную систему, считаете, что она окупится - вкладывайтесь. Не можете, не надо делать уродцев.

Абсолютно согласен.

У нас появилось предложение, которое хотелось бы донести до управления здравоохранением (возможно ли это?). Приемлемое недорогое решение, на наш взгляд, в общих чертах выглядеть может так. Идея возникла из опыта некоторых учреждений, в которых карточка пациента хранится на руках у самого пациента.

Основные положения:
1. В учреждениях здравоохранения хранятся обезличенные базы данных. Персональной части вообще не хранится. Доступа на запись к базе сотрудники учреждения не имеют, пока не будет введен особый ключ. При этом доступ на чтение, для целей статистики, научного и экономического анализа, у специалистов учреждения имеется с использованием стандартных средств аутенфикации.
2. Ключ (можно назвать его паспортом здоровья) пациент приносит с собой. Полный доступ к базе осуществляется только при наличии ключа - как в банковском терминале. Персональные данные как раз хранятся в данном ключе. За их сохранность отвечает сам пациент.
3. Ключ пациенту выдает специальный территориальный уполномоченный центр. Право записи и хранение копии персональных данных ключа имеет только данный центр. При утрате данного ключа порядок действий аналогичен, скажем, действиям при утрате любого другого документа.

Таким образом, данное предложение обеспечивает:
1. Максимальный уровень защиты (выше него - только если пациент носит всю историю болезни с собой на карточке).
2. Полное исполнение всех законов и законодательных актов.
3. Минимальную цену (если записи обезличены, сертификация аппаратно-программных средств, в особенности на рабочих местах, в отдельных учреждениях вообще не нужна).
4. Полную стандартизацию всех учреждений здравоохранения страны в части медицинских записей. При этом структура части базы может быть одинаковой для всех учреждений, специальная часть (зависящая от профиля учреждения) может быть уникальной и даже редактироваться самим учреждением.
5. Полный доступ к информации (при необходимости) по решению суда, со стороны компетентных органов и в других случаях, определенных законодательством, но не со стороны злоумышленников - физически исключаются как опасности несанкционированного распространения или искажения информации от вторжения хакеров, так и злонамеренные действия внутри самого лечебного учреждения.

Недостаток (хотя он может рассматриваться и как преимущество) - необходимо создание сертифицированных уполномоченных центров (возможно, по одному на субъект - не так уж и много) в рамках территориальных органов здравоохранения под контролем всех уполномоченных органов. Возможно наделение данными функциями существующих органов - например, государственного Пенсионного фонда или ФОМС.

Сообщение отредактировал Игорь - 10.07.2009 - 08:26