أمن المعلومات الصحية
د. إيهاب عبد الرحيم علي
يحرص ممارسو الرعاية الصحية في شتى أنحـــــاء العالـــــم على استخدام حلول تكنولوجــــــيا المعلــــومات الصحية مثل السجلات الصحية الإلكترونية لتحسين جـــــودة رعايــــــة المرضى، فيـــما يتوقــــع أن تــــؤدي التطـــــــورات في هذا المجال إلى تحســــين فعاليـــــة مقدمي الخدمات وتمكــــــين المرضـــى من التحكم بشكل أكبر في بياناتهم.
ومن أجل نجاح حلول تكنولوجيا المعلومات الصحية، يجب أن يكتسب المرضى الثقة في كل من مقدمي الرعاية وفي حلول هذه التكنولوجيا التي يستعان بها لجمع واستخدام البيانات الصحية الشخصية للمريض.
بين الفاعلية والخطر
ومثل العديد من الصناعات الأخرى، أصبحت الرعاية الصحية أكثر كفاءة في تقديم النتائج السريرية وأكثر فعالية من حيث التكلفة عن طريق استخدام تكنولوجيا المعلومات، بما في ذلك الحواسيب والتطبيقات الإلكترونية والتقنيات ذات الصلة. ومع ذلك، فإن استخدامات هذه التقنيات وزيادة تبادل المعلومات الصحية بين مقدمي الخدمات الصحية تشكل أيضا خطرا على الخصوصية وعلى أمن البيانات الشخصية والمعلومات الصحية الشخصية (PHI)؛ فالمعلومات الصحية التي يتم الكشف عنها للأفراد غير المصرح لهم، أو الوصول إليها بشكل غير قانوني، أو العبث بها، أو محوها قد تكون لها آثار مدمرة على صحة المريض أو حتى على حياته.
وتكتسب حماية المعلومات التي تم جمعها واستخدامها ومشاركتها وتخزينها أهمية بالغة لمهمة الرعاية الصحية. وينبغي ألا يكون أمن المعلومات أمرا يتم التفكير فيه بعد الكوارث؛ بل ينبغي دمجه في جميع جوانب تطوير نظم، وعمليات، وصيانة، وإدارة المعلومات. يتحقق أمن المعلومات من خلال تنفيذ برنامج أمني شامل عبر المؤسسة.
أمن المعلومات وخصوصيتها
على الرغم من أنه كثيرا ما يستخدم مصطلحا «الخصوصية» و «الأمن» بالتبادل، فإنهما تخصصان مختلفان؛ فأمن المعلومات وخصوصيتها هما تخصصان متميزان مرتبطان معا. ومن أجل الحماية المناسبة للخصوصية، تدعو الحاجة إلى آليات أمنية سليمة. ونظرا لحساسية المعلومات الشخصية التي يتم جمعها، واستخدامها، ومشاركتها في بيئة الرعاية الصحية، فمن المهم تحديد وتنفيذ الآليات الأمنية المناسبة التي من شأنها حماية البيانات الصحية وخصوصية الأفراد. ويجب تحديد متطلبات الأمن والخصوصية واختيار وتنفيذ الضوابط اللازمة خلال مراحل دورة تطوير النظام، وتحديث حماية الأمن والخصوصية حسب الحاجة. ومن المهم أيضا أن يتعاون الأفراد في منظمات أمن المعلومات والخصوصية لإدارة المخاوف الأمنية وحماية الخصوصية. ومن شأن ذلك أن يساعد على اكتشاف مشكلات الأمن والخصوصية المحتملة ووضع وتنفيذ نهج لمعالجتها.
تركز الخصوصية على قدرة الفرد على التحكم في جمع بياناته المحددة للهوية واستخدامها ونشرها والاحتفاظ بها. تعرف البيانات المحدّدة للهوية بأنها معلومات تعيّن هوية الفرد بشكل فريد عند استخدامها بمفردها أو عند استخدامها بالاقتران بمعلومات أخرى، وتشمل المعلومات الصحية الشخصية. وتستند الخصوصية إلى مجموعة من المبادئ التأسيسية المعروفة باسم المبادئ العادلة للممارسات المعلوماتية (FIPPs).
قد يختلف العاملون في مجال الخصوصية حول الدور الذي ينبغي أن تؤديه الموافقة في تعزيز الثقة وتحسين الخصوصية، لكنها تؤدي دورا مهما في حماية المعلومات الصحية. وعن طريق تبني نهج شامل للخصوصية، تتمكن الجهات الحكومية والكيانات التي تقوم بإنشاء واستخدام التقنيات الصحية الجديدة من تحسين صحة الجمهور، مع الحفاظ على ثقة الناس وتلبية توقعاتهم بشأن الخصوصية الفردية. تكتسب خصوصية وأمن المعلومات أهمية قصوى بالنسبة لجميع الأفراد والوكالات الحكومية ومنظمات القطاع الخاص. فحماية المعلومات في قطاع الرعاية الصحية تتسم بأهمية أكبر من أي قطاع آخر.
كيف يعمل الأمن والخصوصية معا ؟
هناك حاجة إلى تدابير أمنية لحماية خصوصية الأفراد. تُعرف التقنيات والأدوات التي تدعم الخصوصية بالتقنيات المعززة للخصوصية، وغالبا ما تتكون من تقنيات أمنية يحمي استخدامها خصوصية الأفراد. ويمكن استخدام التقنيات المعززة للخصوصية لأداء وظائف مثل تمكين الوصول إلى البيانات واستخدامها على نحو ملائم داخليا، ومنع الإفصاح غير الملائم عن البيانات خارجيا. ومع ذلك، فمثلما تستخدم الآليات الأمنية للمساعدة على جهود الخصوصية، فإن بعض تدابير الخصوصية تساعد أيضا في الجهود الأمنية.
أمن المعلومات في الرعاية الصحية
أمن المعلومات هو حماية البيانات ونظم المعلومات من الوصول، أو الاستخدام، أو الإفصاح، أو التعطيل أو التعديل أو التدمير غير المصرح به. ويتحقق أمن المعلومات من خلال ضمان سرية المعلومات، وسلامتها وتوافرها. وفي مجال الرعاية الصحية، تعني السرية والسلامة والتوافر ما يلي:
• السرية : أي عدم إتاحة المعلومات الصحية الإلكترونية أو الكشف عنها للأشخاص أو العمليات غير المصرح بها.
• السلامة : أي عدم تغيير أو تدمير المعلومات الصحية الإلكترونية بطريقة غير مصرح بها.
• التوافر : أي أن تكون المعلومات الصحية الإلكترونية متاحة وجاهزة للاستعمال عند الطلب من قبل الشخص المصرّح له بذلك.
إجراءات وقائية
تنقسم الإجراءات الوقائية لأمن المعلومات في مجال الرعاية الصحية إلى إجراءات إدارية، ومادية، وتقنية. وهذه أمثلة على كل منها:
1 -إجراءات وقائية إدارية
• التقييم المستمر للأخطار التي تتعرض لها بيئة تكنولوجيا المعلومات الصحية في المؤسسة.
• التقییم المستمر لفعالیة الإجراءات الوقائية الخاصة بالمعلومات الصحیة الإلكترونیة.
• وضع عمليات تفصيلية لعرض وإدارة المعلومات الصحية الإلكترونية.
• تدريب الموظفين على استخدام تكنولوجيا المعلومات الصحية لحماية المعلومات الصحية الإلكترونية بصورة مناسبة.
• الإبلاغ عن المخالفات الأمنية وضمان تواصل عمليات تكنولوجيا المعلومات الصحية.
2 – إجراءات وقائية مادية
• نظم الإنذار المكتبية.
• تخصيص مكاتب مقفلة تحتوي على المعدات الحاسوبية التي يتم فيها تخزين المعلومات الصحية الإلكترونية.
• تعيين حراس أمنيين.
3 – إجراءات وقائية تقنية
• تنصيب المعدات الحاسوبية بشكل آمن (مثل فحص الفيروسات والجدران النارية)، والتطبيقات والتقنيات المعتمدة التي تقوم بتخزين أو تبادل المعلومات الصحية الإلكترونية.
• تحديد ضوابط الوصول إلى تكنولوجيا المعلومات الصحية والمعلومات الصحية الإلكترونية (مثل الحسابات الإلكترونية المصرح بها).
• تشفير المعلومات الصحية الإلكترونية.
• تدقيق عمليات تكنولوجيا المعلومات الصحية.
• إجراء النسخ الاحتياطي لتكنولوجيا المعلومات الصحية (مثل إجراء نسخ احتياطية منتظمة من المعلومات الصحية الإلكترونية إلى خادم حاسوبي آخر).
الأمن السيبراني و الرعاية الصحية
يمثل الاتصال بالإنترنت ضرورة لإجراء العديد من الأنشطة التي قد تمثل جزءا من استخدام السجلات الصحية الإلكترونية والبيانات الصحية للمرضى. إن تبادل بيانات المرضى إلكترونيا، وتقديم المطالبات إلكترونيا، وتوليد سجلات إلكترونية لطلبات فحص المرضى، والوصفات الطبية الإلكترونية كلها أمثلة على الأنشطة التي تتم عبر الإنترنت وتعتمد على ممارسات الأمن السيبراني لحماية النظم والمعلومات. يشير الأمن السيبراني Cybersecurity إلى الطرق التي تستهدف كشف ومنع الهجمات على أي نظام حاسوبي والمعلومات المتضمنة فيه أو الوصول غير المصرح له. ويستهدف الأمن السيبراني حماية البيانات أو أي شكل من الأصول الرقمية المخزنة في حاسوب أي جهة أو في أي جهاز يحتوي على ذاكرة رقمية.
الوقاية من الهجمات السيبرانية
ثمة إجراءات يمكن اتخذها لحماية المؤسسات الصحية من الهجمات السيبرانية، منها:
• رفض طلبات الموظفين لأخذ الحواسيب المحمولة التي تحتوي على بيانات المرضى غير المشفرة إلى المنزل.
• إزالة الأقراص الصلبة من الحواسيب القديمة قبل التخلص منها.
• عدم إرسال أي بريد إلكتروني يحتوي على البيانات الصحية للمرضى إذا لم تكن مشفرة.
• التأكد من وجود الخادم الحاسوبي server في غرفة لا يصل إليها إلا الموظفون المصرح لهم.
• توعية موظفي المؤسسة الصحية بوجود حاجة لمراقبة دخولهم إلى الشبكة بشكل عشوائي.
• فحص خادم السجلات الصحية الإلكترونية للمؤسسة بصفة دورية بحثا عن الفيروسات والبرامج الضارة.
دور المرضى في مشاركة البيانات
تمثل مشاركة المرضى للبيانات هدفا مهما ومفيدا لمنظومة الرعاية الصحية. وعادة ما يمتلك المرضى الأكثر مشاركة في البيانات صحة أفضل، مما يفيدهم هم أنفسهم والمنظومة ككل. يحتاج المرضى إلى المشاركة في الرعاية الصحية المقدمة لهم، وإلى معرفة كيفية استخدام بيانات الرعاية الصحية الخاصة بهم.
ومن المنطقي أن يكون المرضى شركاء لمقدمي الرعاية الصحية عن طريق التعلم من معالجيهم ومن خلال الانخراط في اتخاذ القرار المشترك حول صحتهم مع معالجيهم. لكن في مرحلة ما، سيكون من المنطقي أيضا أن يقدر المرضى اقتراحات معالجيهم ومنح بعض السلطة للممارس. فلابد أن يثق المريض بالجراح لإجراء العملية كما يجب. وبالمثل، يجب على المريض أن يثق في مسؤول حفظ البيانات الذي يحتفظ ببياناته الصحية.
صعوبات وضرورات
قد تتسم حماية المعلومات ضمن بيئة الرعاية الصحية بالصعوبة، خاصة لأن من الضروري تبادل معلومات الرعاية الصحية البالغة الحساسية بين عدد من الأطراف المخوّلة بذلك، وفي الوقت نفسه حماية تلك المعلومات من الوصول، والإفصاح، والاستخدام، والتعديل، والحفظ غير المصرح به.
ومن أجل الحفاظ على أمن المعلومات الصحية، يجب تدبّر الموضوعات الثلاثة الآتية في المستقبل:
1. ستكون هناك عولمة للخصوصية، تكون فيها مبادئ ممارسة المعلومات متسقة نسبيا في جميع أنحاء العالم، مع زيادة المساءلة وتشديد جهود الإنفاذ. إضافة إلى ذلك، يتوقع أن تكون بيانات الرعاية الصحية جزءا من هذه العولمة حيث توسع شركات الرعاية الصحية حدودها، مما يطمس أي خطوط جغرافية.
2. توقع نشوء اقتصاد من المعلومات المفتوحة التي تتغلغل عبر الحدود الجغرافية، حيث يطلع على البيانات أعداد متزايدة من الأشخاص، ومن ثم سيكون من الضروري زيادة الشفافية وتحسين توعية مستهلكي الرعاية الصحية للحفاظ على ثقة المرضى.
3. ستؤدي البيانات المزال تحديدها دورا أبرز في حماية خصوصية المرضى، مما يسمح بالتدفق الحر للبيانات لأغراض الابتكار والبحث. يجب تشجيع المزيد من مؤسسات الرعاية الصحية على تبني أسلوب إزالة محدّدات الهوية وإقرار الاستخدام المناسب للتطبيقات التي يمكن أن تستخدم فيها البيانات الصحية الشخصية حالياً، بما يعود بالنفع على كل من الأفراد ومنظومة الرعاية الصحية.