درز اطلاعات شخصی وزیر بهداشت و چند چالش امنیتی نسخه الکترونیک

نسخه الکترونیک؛ موضوع چالش برانگیز این روزهای سیستم سلامت کشور است که البته با انتشار اطلاعات هویتی و بیمه ای وزیر بهداشت از طرف یک پزشک، جنجالی تر هم شده و این شبهه را به وجود آورده که در این سامانه چگونه از اطلاعات شخصی و اسرار پزشکی بیماران حفاظت می شود و آیا امکان سو استفاده از این اطلاعات وجود دارد؟

به گزارش مین فود به نقل از ایسنا، باید توجه کرد که نسخه الکترونیک یکی از ملزومات دنیای امروز بوده و در خیلی از کشورهای پیشرفته دنیا درحال اجراست. در ایران نیز در جهت صرفه جویی در هزینه ها و همینطور پیگیری دقیق و سیستماتیک ارائه خدمات سلامت، رصد وضعیت تعرفه های بهداشتی و درمانی دریافتی از مردم، جلوگیری از تقاضاهای القایی در حوزه درمان و.... باید به سمت اجرای درست این طرح حرکت می شد و از سال ها پیش نیز بسترسازی برای آن شروع شده است.
اما موضوعی که بتازگی خبرساز شده آن است که عنوان می شود دسترسی به اطلاعات هویتی و اسرار پزشکی و بیمه ای بیماران، از راه کد ملی قابل دسترس است؛ موضوعی که بتازگی بیشتر بر سر زبان ها افتاده و نگرانی سوءاستفاده از اطلاعات بیمه شدگان را افزایش داده است. بر همین مبنا به نظر می آید که باید قوانین حقوقی و قضایی پیشگیرانه و دقیقی برای جلوگیری از فاش شدن اطلاعات بیمه شدگان در نظر گرفته شود تا شاهد سوءاستفاده و نشر اطلاعات بیمه شدگان از جانب پزشک و حتی غیر پزشک نباشیم. البته در همین زمینه عبدالرحیم ترابی- مدیر کل حقوقی سازمان بیمه سلامت اعلام نمود که انتشار اطلاعات هویتی و محرمانه بیمه شدگان توسط پزشکان یا در اختیار قرار دادن نام کاربری و کلمه عبور سامانه نسخه الکترونیک، جرم محسوب شده و این مورد پیگرد قانونی دارد.
وی نشر اطلاعات بیمه شدگان را مصداق بارز نقض حریم خصوصی و افشای اطلاعات و همینطور نشر اکاذیب و تشویش اذهان عمومی دانست که پیگیرد حقوقی دارد و تاکید می کند که «دسترسی به سوابق بیمه شدگان از قبیل سابقه دارو و خدمات پاراکلینیک تجویزی برای بیماران فقط با اجازه بیمه شده و به وسیله رمز دو مرحله ای فراهم است و این اطلاعات هم اکنون فقط به پزشکان نمایش داده می شود.»

در هر حال اجرای نسخه الکترونیک از آغاز دیماه ۱۴۰۰ به صورت کشوری الزامی شده و پیش از این الزام قانونی، هشدارهایی در ارتباط با چالش های حقوقی و امنیتی آن داده شده بود؛ به صورتی که پیش از این سازمان نظام پزشکی بعنوان سازمان صنفی پزشکان نقایص جدی را متوجه این طرح دانسته و اعلام نموده بود که ایجاد قوانین جدید در حوزه دوراپزشکی و نسخه نویسی الکترونیک از راه دور، ایجاد زیرساخت های لازم مانند پرونده الکترونیک سلامت و امضای الکترونیک امن و استقرار لجستیک نظارتی با حمایت سایر دستگاه ها در سازمان نظام پزشکی، همچون راهکارهای حل این نقایص است تا بتوان نسخه الکترونیک را به صورت ایمن اجرایی کرد.


پشتوانه های قانونی نسخه الکترونیک
در عین حال نسخه الکترونیک در کشور پشتوانه قانونی نیز دارد. به صورتی که بنا بر اعلام سازمان بیمه سلامت، این سازمان طبق تکالیف قانونی خود و در جهت اهداف برنامه ششم توسعه کشور و بند «ث» ماده ۶۷ و بند «چ» ماده ۷۰ و بند «ج» تبصره ۱۷ قانون بودجه سال ۱۳۹۸ و همینطور سیاست های ابلاغی در حوزه سلامت موظف شد که برنامه نسخه نویسی الکترونیک و حذف دفترچه های کاغذی را اجرایی کند. ازاین رو نسخه نویسی الکترونیک از آبان ۱۳۹۸ با اجرا در ۲۳۵ شهر توسط این سازمان شروع شد و هم اکنون هم در کشور الزامی شده است.

همچنین در برنامه پنجم و ششم توسعه نسبت به اجرای نسخه نویسی الکترونیک تاکید شده و در ماده ۷۴ برنامه ششم توسعه درباره نسخه نویسی الکترونیک گفته شده که «وزارت بهداشت، درمان و آموزش پزشکی با هدف ارائه خدمات الکترونیک سلامت مکلف است در مدت دو سال اول اجرای قانون برنامه نسبت به استقرار سامانه های پرونده الکترونیک سلامت ایرانی ها و سامانه های اطلاعاتی مراکز سلامت با هماهنگی پایگاه ملی آمار ایران و سازمان ثبت احوال کشور با حفظ حریم خصوصی، منوط به اذن آنها و محرمانه بودن داده ها و با اولویت شروع برنامه پزشک خانواده و نظام ارجاع اقدام نماید.»

در ادامه این ماده قانونی ذکر شده است که «وزارت بهداشت، درمان و آموزش پزشکی مکلف است با همکاری سازمان ها و مراکز خدمات سلامت و بیمه سلامت، حداکثر ظرف مدت شش ماه بعد از استقرار کامل سامانه فوق، خدمات بیمه سلامت را به صورت یکپارچه و برپایه فناوری اطلاعات در تعامل با سامانه «پرونده سلامت الکترونیک ایرانیان» ساماندهی نماید.»

بنابراین در برنامه ششم توسعه، قانون گذار تاکید کرده است که اجرای ارائه خدمات الکترونیک سلامت باید با اولویت "حفظ حریم خصوصی"، "حفظ محرمانگی داده ها"، "اجرای برنامه پزشک خانواده و نظام ارجاع" اجرا شود. بر این اساس باید از متولیان سلامت کشور پرسید که از یکم دیماه ۱۴۰۰ که اجرای نسخه الکترونیک الزامی شده است، کدام یک از این اولویت ها در کشور استقرار یافته اند، آیا سیستم نسخه الکترونیک در جهت حفظ محرمانگی اطلاعات و حریم خصوصی بیماران واقعا امن بوده و امکان هک یا سوءاستفاده از آن وجود ندارد؟ برنامه پزشک خانواده و نظام ارجاع چه زمانی سراسری می شود؟. بر همین مبنا به نظر می آید که آنچه امروز در حوزه نسخه الکترونیک شاهدش هستیم، اجرای بخشی از قانون است و نه تمام آن؛ به صورتی که اولویت هایی مانند پرونده الکترونیک سلامت، اجرای پزشک خانواده و نظام ارجاع و... همراه آن نیست و همین موضوع می تواند به محلی برای چالش تبدیل گردد.
چرا حضور پرونده الکترونیک سلامت در کنار نسخه نویسی الکترونیک ضروری است؟
همانطور که پیش از این گفته شد، طبق قوانین بالادستی همچون برنامه ششم توسعه، یکی از اولویت های اجرای نسخه الکترونیک، وجود و تکمیل پرونده الکترونیک سلامت است. باید توجه کرد که پرونده الکترونیک سلامت حاوی کلیه اطلاعات بهداشتی، پزشکی، تشخیصی و درمانی خانواده است و سابقه افراد برای رجوع و دریافت خدمات بهداشتی، مراقبتی و پزشکی را در داخل کشور نشان داده است. این اطلاعات شامل روند دریافت مراقبت های اولیه و همینطور درمان افراد است و وجود یا عدم وجود بیماری خاص در فرد را نشان داده است.

طبق ماده ۸۸ قانون برنامه چهارم توسعه، وزارت بهداشت موظف شده بود تا به منظور ارتقاء مستمر کیفیت خدمات سلامت و تعالی عملکرد خدمات بالینی، افزایش بهره وری و استفاده بهینه از امکانات بهداشتی و درمانی کشور، نسبت به طراحی و استقرار نظام جامع اطلاعات سلامت شهروندان ایرانی اقدام کند؛ تکلیف قانونی که از اواسط دهه ۸۰ بر عهده وزارت بهداشتی ها قرار گرفت، اما طی این سال ها چالش های گوناگونی هم در اجرایش وجود داشت. طی سالهای گذشته، دولت های مختلف هم وعده و وعیدهای بسیاری درباره تکمیل پرونده الکترونیک سلامت ایرانی ها داده اند؛ وعده هایی که البته تابحال به صورت کامل محقق نشده است.
در عین حال برای ایجاد نظام جامع اطلاعات سلامت شهروندان یا همان سامانه پرونده الکترونیکی سلامت ایرانی ها (سپاس) در دولت یازدهم برنامه ریزی و برای فراهم آوردن زیرساخت هایش اقدام شد و اجرای آن در دولت دوازدهم نیز ادامه یافت و وعده استقرار این سیستم از بهار 1398 از جانب وزیر وقت بهداشت داده شد، اما با وجود این که ۴ تیرماه ۹۸ پرونده الکترونیک سلامت با حضور رئیس جمهور وقت رونمایی گردید و سعید نمکی- وزیر بهداشت وقت اعلام نمود که حداقل ۷۵ میلیون ایرانی با کد ملی قابلیت تشکیل پرونده الکترونیک سلامت دارند، اما به علت اتصال نداشتن این سامانه به بیمارستان ها و مراکز درمانی و سایر مشکلات، پرونده الکترونیک آنطور که باید و شاید مستقر نشد.

بر همین اساس هم حالا با الزامی شدن نسخه الکترونیک، شورایعالی نظام پزشکی چندی قبل در نامه ای خطاب به رییس جمهور اعلام نمود: « قبل از اجرای نسخه الکترونیک ضروریست که در ابتدا برای هر شهروند ایرانی پرونده الکترونیک سلامت تشکیل واجرائی شود. درحالی که هنوز این مهم و نیز اجرایی کردن بارگذاری کدینگ خدمات سلامت توسط وزارت بهداشت در سامانه های فعلی بیمه ها تابحال به صورت دقیق و کامل صورت نگرفته است. ازاین رو امکان تبادل اطلاعات پزشک معالج و مراکز درمانی با پرونده الکترونیک سلامت عملا وجود ندارد.»




و اما چالش امنیتی نسخه الکترونیکاز امضای الکترونیک ناامن تا نبود امنیت سایبری
در عین حال یکی دیگر از اولویت های مهم در حوزه اجرای نسخه الکترونیک، بحث تعریف امضای الکترونیک امن برای پزشکان است. باید توجه کرد که وقتی پزشکی نسخه ای را به صورت کاغذی تجویز می کند، اصالت نسخه با دست خط، امضا و مهر پزشک سنجیده می شود، اما در نسخه الکترونیک دست خط و مهری وجود ندارد که اصالت نسخه را ثبت کند. ازاین رو امضای الکترونیک می تواند اعتبار و اصالت نسخه را ضمانت کند و بدون امضای الکترونیک، نسخه الکترونیک فاقد خاصیت اصالت خواهد بود. بر همین مبنا هم در سال ۱۳۹۸ سازمان نظام پزشکی اعلام نمود که از سال ها قبل نسبت به ایجاد امکان امضای الکترونیک و صدور کارت هوشمند نظام پزشکی برای پزشکان اقدام نموده و این مورد را با همکاری وزارت بهداشت، قوه قضاییه و سازمان توسعه تجارت الکترونیک، پیش برده و پیاده سازی کرده است.

با این حال اما، هم اکنون طبق اعلام خود سازمان نظام پزشکی کشور، از ۳۳۰ هزار عضو سازمان نظام پزشکی، تابحال کارت های هویتی الکترونیکی برای یک سوم آنها، شامل ۱۰۰ هزار نفر صادر گردیده است.

با همه این اوصاف، سازمان نظام پزشکی هم زمان را برای الزامی شدن نسخه الکترونیک مناسب نمی داند. به صورتی که در بخش دیگری از نامه شورایعالی این سازمان به رئیس جمهور آمده است که «موضوع مهم «امضای الکترونیک نسخ»، متاسفانه هنوز عملیاتی نشده است و در عمل تبدیل به یوزر و پسورد برای ورود پزشکان به سامانه های بیمه شده است. لازم به ذکراست که مطابق قانون بودجه سالجاری، پرداخت نسخه الکترونیک از جانب سازمان های بیمه گر، منوط به تحقق امضای الکترونیک است که این مورد تابحال محقق نشده است.»

همچنین چندی قبل دکتر علی سالاری- معاون فنی و نظارت سازمان نظام پزشکی کشور، در اینباره به ایسنا، اعلام نمود که «نسخه الکترونیک، تنها نسخه نویسی الکترونیک نیست؛ بلکه مطابق قانون پرونده الکترونیک و امضای الکترونیک هم باید با آن همراه باشند. اهمیت امضای الکترونیک از این بابت است که نسخه تجویز شده انکارناپذیر باشد و بطورمثال عنوان نشود که نام کاربری و رمز عبور یک پزشک را همکاری دیگر گرفته و بیمارش را ویزیت کرده یا بطورمثال عنوان نشود که اصلا این ویزیت در فضای حقیقی اتفاق نیفتاده است. باید توجه کرد که امضای الکترونیک که به وسیله کارت های هوشمند الکترونیک یا نرم افزارهای نصب شده بر روی موبایل ایجاد می شود، قابلیت انکارناپذیری دارد و پزشک نمی تواند منکر اصالت نسخه شود. حالا در حوزه امضای الکترونیک امکان دارد این امضا قابل انکار بوده و اصالت نسخه مشخص نباشد و نتوانیم در آینده حقوق انتظامی بیمار و پزشک را پیگیری نماییم. اگر پزشکی مدعی شود که من این نسخه را تولید نکردم، ازاین رو نمی توان پیگیری های آینده درباره قصورهای احتمالی را برای بیمار متصور دانست.»
از منشی های نسخه نویس تا امکان اشتباه در دارونویسی
همچنین به قول دکتر علی فاطمی-نایب رئیس انجمن داروسازان ایران، هم اکنون پزشکان با نام کاربری و رمز عبور نسخه الکترونیک می نویسند و گاهی دیده شده برخی پزشکان این نام کاربری و رمز عبور را به منشی خود می دهند که نسخه را بنویسد. او همینطور می گوید که «در مواردی شاهد بودیم منشی مطب دارویی را اشتباه وارد سیستم کرده است. بطورمثال دندان پزشکی که می خواسته مسکن دهد، اما منشی به اشتباه داروی در ارتباط با عارضه قلبی را وارد کرده است.» وی تاکید می کند که «باید تعریف شود که پزشکان بر مبنای تخصص شان چه داروهایی را می توانند تجویز کنند. بطورمثال در موردی پیش آمده که بجای ۵۰ قرصی که باید تجویز می شده، ۵۰ آمپول نوشته شده و اگر دارو به بیمار داده می شد، ممکن بود منجر به از بین رفتن بیمار شود. برخی پزشکان به داروخانه ها اعلام می کنند که من نام کاربری و رمز را می دهم و نسخه پیچ نسخه را وارد کند، اما کار بسیار پر مسئولیتی است واگر دارویی اشتباه شود، چه کسی می خواهد مسئولیت آنرا بپذیرد؟.»

بنابراین برای اجرای درست نسخه الکترونیک و همینطور جلوگیری از اشتباه یا سوءاستفاده از آن در جهت حفظ سلامت مردم، باید وزارت بهداشت، سازمان نظام پزشکی و... با هم اندیشی نسبت به استقرار ملزوماتی چون پرونده الکترونیک سلامت و امضای الکترونیک امن تصمیم گیری و اقدام نمایند.
اهمیت امنیت سایبری در سامانه های نسخه الکترونیک
در عین حال چالش امنیتی دیگر در زمینه نسخه الکترونیک، امنیت سامانه های نسخه الکترونیک است. بر مبنای آنچه که در نامه شورایعالی نظام پزشکی خطاب به رئیس جمهوری آمده است، «هنوز اقدامات قانون لازم جهت گرفتن «گواهی ارزیابی امنیتی افتا» روی سامانه های نسخه الکترونیک بیمه های سلامت و تامین اجتماعی انجام نشده و مرکز راهبردی افتا صراحتا سامانه های مذکور را فاقد امنیت سایبری لازم اعلام نموده است.» (بازه زمانی لازم جهت این مهم بین شش ماه تا یک سال تخمین زده می شود.)

بنابراین هنوز گواهی امنیتی سامانه های نسخه الکترونیک صادر نشده است و احتمال حمله سایبری و هک این سامانه ها به صورت بالقوه و نگران کننده ای وجود دارد. ازاین رو باید در این حوزه نیز موضوع را جدی گرفت تا اصول "حفظ محرمانگی اطلاعات" و "حفظ حریم خصوصی بیماران" که از اولویت های اساسی اجرای نسخه الکترونیک است، مورد خدشه قرار نگیرد.


کدهای چندگانه و خطر برای بیماران
علاوه بر این موارد، وجود کدهای چندگانه دارو و تطابق دستی کدها توسط پرسنل پشتیبانی پلت فرم های نسخ الکترونیک، یکی دیگر از ایراداتی است که مطرح شده است؛ موضوعی که هم در زمان نسخه نویسی الکترونیک بخصوص اگر کسی جز پزشک نسخه نویسی را انجام دهد و هم در زمان نسخه پیچی می تواند مشکل ساز شود. بر این اساس بحث لزوم کدینگ یکسان داروها در سامانه های نسخه الکترونیک مطرح می شود. بعنوان مثال هم اکنون برای نسخه پیچی الکترونیک داروخانه ها باید همزمان به چند سامانه مراجعه نموده و کدهای داروها را تطبیق دهند؛ اقدامی که هم وقت گیر است و هم احتمال خطا را زیاد می کند. ازاین رو اساسا این مورد بدون خطا نیست و بسیار امکان دارد که سبب مغایرت دارو با تجویز پزشک معالج شده که به سادگی می تواند جان و سلامتی بیماران را در مواردی به خطر اندازد.

در مجموع مشخص است که با اجرای نسخه الکترونیک باید به سمت حذف کاغذ و الکترونیکی شدن ارائه خدمات حرکت کرد تا با دقت و سرعت بیشتر، ارتباط پویاتر و سریع تر بین مراکز درمانی، پاراکلینیک، بیمه و... بتوان به مردم خدمات بهتر، سریع تر و دقیق تری ارائه داد، اما مانند هر موضوع دیگری فقط نمی توان آنرا در حالت تئوریک تعریف کرد و لازم است در عمل بسترهای مورد لزوم آن مانند پرونده الکترونیک سلامت، پزشک خانواده، نظام ارجاع، امضای الکترونیک امن، حفظ امنیت سایبری سامانه های نسخه الکترونیک و در یک کلام حفظ حریم خصوصی بیمار و اصل محرمانگی امور پزشکی و درمانی... را نیز فراهم نمود تا بدین سان بتوان ارائه خدمات مطلوب و همینطور پیگیری دقیق و سیستماتیک ارائه خدمات سلامت را رقم زد.