خطر لو رفتن اطلاعات شخصی در نسخه های الکترونیکی بیماران
دسترسی به بخشی از اطلاعات هویتی وزیر بهداشت از طریق سامانه بیمه سلامت و انتشار آن در فضای مجازی، چالش های امنیتی «نسخه الکترونیک» را برملا کرد.
به گزارش اقتصاد آنلاین به نقل از دنیای اقتصاد، چگونگی حفظ محرمانگی اطلاعات بیمهشدگان، توجه کارشناسان را به خود جلب کرده است. این درحالی است که پیشتر انتقادات متعددی پیرامون عدم هماهنگی مناسب میان مطب با داروخانه مطرح شده بود.
طرح نسخه الکترونیکی که در ماههای اخیر واکنشهای زیادی را برانگیخته، حالا با تعیین ضربالاجل برای اجرای کامل آن با انتقادات تازهای روبهرو شده است. در آخرین اتفاق، انتشار اطلاعات شخصی وزیر بهداشت به عنوان یکی از بیمهشدگان بیمه سلامت باعث شده است که مخالفتها با اجرای این طرح، رنگ و بوی دیگری بگیرند. تا پیش از این عمده انتقادات معطوف به ضعف عملکردی سامانههای نسخهنویسی و کندی و اختلال در فرآیند درمان بود.
اما حالا موضوع امنیت سامانهها و چگونگی حفظ محرمانگی اطلاعات بیمهشدگان نیز به مجموعه چالشهای این طرح اضافه شده است. طبق اعلام مرکز مدیریت راهبردی افتای ریاستجمهوری، هنوز اقدامات قانونی لازم برای اخذ «گواهی ارزیابی امنیتی افتا» سامانههای بیمه سلامت و تامین اجتماعی انجام نشده است و این سامانهها فاقد امنیت سایبری لازم تشخیص داده شدهاند. بسیاری از کارشناسان معتقدند که اجرای این طرح با ضعفهای موجود، نه تنها اهداف و مزیتهای مورد انتظار را تامین نمیکند، بلکه ریسک بروز اختلال در فرآیند درمان را هم افزایش میدهد.
ابهام در چگونگی محرمانگی اطلاعات
اخیرا انتشار تصویری از اطلاعات هویتی وزیر بهداشت و جزئیاتی از واکسنی که وی برای مصونیت در برابر بیماری کووید-۱۹ تزریق کرده است، در فضای مجازی خبرساز شد. فعال رسانهای منتشر کننده این اطلاعات نوشت: «یک پزشک آنکولوژیست با استفاده از درج کد ملی وزیر بهداشت در سامانه نسخه الکترونیک بیمه سلامت، توانسته است به اطلاعات شخصی وی دست پیدا کند و حتی ادعا کرده که میتواند بدون اجازه عیناللهی برای وی نسخه بنویسد.»
فارغ از جنجالی که با انتشار این اطلاعات پیرامون اظهارات خلاف واقع وزیر بهداشت درباره تزریق واکسن داخلی ایجاد شد، موضوع چگونگی حفظ محرمانگی اطلاعات بیمهشدگان مطرح و انتقادات زیادی روانه وزارت بهداشت شده است.
به این ترتیب بود که مدیرکل حقوقی سازمان بیمه سلامت مجبور به واکنش شد و ضمن تاکید بر جرم بودن افشای اطلاعات بیمهشدگان توسط پزشکان یا در اختیار قرار دادن نام کاربری و کلمه عبور سامانه نسخه الکترونیک گفت که این کار پیگرد قانونی دارد. با این حال این اظهارات تاثیر چندانی در برطرف کردن نگرانیهای افراد درباره حفظ حریم خصوصی آنها ندارد و دغدغههای کاربران درباره امنیت اطلاعاتی این سامانهها همچنان پابرجاست.
مدیرکل حقوقی سازمان بیمه سلامت به خبرگزاری مهر گفته است: دسترسی به سوابق بیمهشدگان از قبیل سابقه دارو و خدمات پاراکلینیک تجویزی برای بیماران فقط با اجازه بیمه شده و به وسیله رمز دو مرحلهای فراهم است و این اطلاعات در حال حاضر فقط به پزشکان نمایش داده میشود.
عبدالرحیم ترابی اعلام کرد که انتشار تصویری از کارت واکسیناسیون وزیر بهداشت و مشخص شدن کد ملی و تاریخ تولد ایشان و همچنین استفاده از شماره تلفن همراه بیمه شده، منجر به سوءاستفاده یکی از پزشکان و دسترسی به صفحه اول اطلاعات شخصی وزیر شده و افزود: این اقدام مصداق بارز نقض حریم خصوصی و افشای اطلاعات و همچنین نشر اکاذیب و تشویش اذهان عمومی بوده و پیگیریهای لازم حقوقی در این زمینه انجام خواهد شد.
در ادامه این گفتوگو، ترابی حذف موقت سیستم ورود دو مرحلهای را زمینهساز افشای اطلاعات بهرام عیناللهی دانست و گفت: از ابتدای راهاندازی سامانه نسخه الکترونیک، امکان ورود کاربران با رمز دو مرحلهای برای افزایش امنیت سامانه فراهم شده و کاربر پس از ثبتنام، به صورت پیشفرض امکان ورود دو مرحلهای را دارد.
اما با توجه به درخواستهای مکرر استانها درباره وجود مشکلاتی در دریافت رمز دو مرحلهای به دلیل اختلال در عملکرد اپراتورهای همراه و ارسال پیامک و بروز مشکلات مخابراتی در برخی موقعیتهای جغرافیایی، امکانی برای حذف این قابلیت در نظر گرفته شد. ترابی افزود: برای حذف ورود دو مرحلهای فرم تعهدنامهای در اختیار کاربر قرار میگیرد تا پس از اخذ تعهد، ورود وی فقط با نام کاربری و رمز عبور قابل انجام باشد.
در این تعهدنامه ذکر شده که کاربر باید از ارائه اطلاعات کاربری به دیگران خودداری کرده و مسوولیت هرگونه افشای اطلاعات کاربری، متوجه شخص کاربر خواهد بود. وی عنوان کرد که در راستای حفظ محرمانگی اطلاعات بیمهشدگان، عدم نمایش بخشی از شماره تلفن همراه و تاریخ تولد بیمه شده در دستور کار قرار گرفته و به زودی در تمام سامانهها و سرویس نسخه الکترونیک، دیگر امکان مشاهده کامل شماره تلفن همراه و تاریخ تولد بیمهشدگان وجود نخواهد شد.
مدیرکل حقوقی سازمان بیمه سلامت در ادامه افزود: با توجه به مشکلات رمز دو مرحلهای و عدم دریافت پیامک در برخی استانها، راهکارهای پشتیبان مانند قابلیت تولید محدود رمز دو مرحلهای رزرو در سامانه نسخه الکترونیک پس از احراز هویت کاربر و ارائه اپلیکیشن برای تولید رمز دو مرحلهای به صورت آفلاین پس از احراز هویت، در حال طراحی و پیادهسازی است. مدیرکل حقوقی سازمان بیمه سلامت تاکید کرد: انتشار اطلاعات بیمهشدگان سازمان بیمه سلامت، خط قرمزی در راستای محرمانگی اطلاعات و حفظ اطلاعات شخصی افراد بوده و با هرگونه اهمال و بیتوجهی در این زمینه برخورد جدی میشود.
منشیهای نسخهنویس
در ماههای اخیر اعلام شد که از اول دی ماه، صدور و پذیرش نسخههای کاغذی برای همیشه پایان مییابد و تمام فعالان سیستم بهداشت و درمان موظفند از نسخه الکترونیک استفاده کنند. با گذشت کمتر از ۱۰ روز از دی ماه و گلایههای متعدد نسبت به اختلال ایجاد شده، مقرر شد که پذیرش نسخههای کاغذی تا اردیبهشت ۱۴۰۱ همچنان ادامه پیدا کند. در این اطلاعیه تاکید شده بود که این امکان تنها برای جلوگیری از اختلال در موارد خاصی است که سامانهها با مشکل مواجه باشند و به معنی عقبنشینی در مهاجرت به سیستم جدید نخواهد بود.
در ادامه تمامی پزشکان موظف شده بودند تا همچنان تا جای ممکن از سیستم نسخهنویسی الکترونیک استفاده کنند. اما حالا مشاهدات میدانی موجود در برخی مطبها، مهر تاییدی بر این امر است که اجرای هیچ طرحی با اجبار و فشار نتیجه مطلوبی نخواهد داشت.
برخی بیماران به تازگی اظهار کردهاند که پزشکان همچنان نسخه کاغذی صادر میکنند و در مرحله بعدی، منشی مطب با دسترسی داشتن به نام کاربری و رمز عبور پزشک، اقلام نسخه را در سامانه وارد و به عبارتی نسخه الکترونیکی صادر میکند. در گزارشی که اخیرا روزنامه خراسان منتشر کرده است، برخی افراد اعلام کردهاند که علاوه بر پرداخت حق ویزیت معمول پزشک، وادار شدهاند تا برای صدور نسخه الکترونیک هم مبلغ جداگانهای به منشی پرداخت کنند.
به نظر میرسد علت اصلی تمایل برخی پزشکان به انتقال کار نسخهنویسی الکترونیک به دستیاران یا منشیهایشان، مشکلات متعددی باشد که بارها بر آن تاکید شده، اما سیاستگذاران این حوزه توجه چندانی به آن نکردند. در مصاحبهای که اخیرا مسوول اتاق فکر سلامت بینالملل سازمان نظام پزشکی با «سلامت نیوز» انجام داده، ضمن برشمردن چالشهای این طرح، به بررسی علل بیمیلی پزشکان به استفاده از سامانههای نسخه الکترونیک و گاه سپردن کار صدور نسخه الکترونیکی به اشخاص ثالث پرداخته است.
یاسر نژادی در این گفتوگو، حجم بالای تعداد ویزیت روزانهای که هر پزشک در ایران باید انجام دهد را مانعی جدی در مسیر نسخهنویسی الکترونیکی اعلام کرده و گفته است: شاید یک پزشک متخصص در کشور دیگر روزی ۵ یا ۶ بیمار را ویزیت کند که اگر این میزان را با آمار ویزیت ۸۰ یا ۹۰ بیمار در مراکز دولتی و دانشگاهی و حتی برخی مطبهای خصوصی مقایسه کنیم میبینیم نسخهنویسی الکترونیک برای این حجم بالای بیمار در توان و کنترل پزشک نیست.
با این تعداد بالای بیمار و این سرعت اینترنت و عدم دسترسی آسان به این سیستم پزشک نمیتواند به بیمار خدمات مناسبی دهد و فکر و وقت محدودی که برای بیمار دارد را باید صرف مسائل حاشیهای کند که از معاینه صحیح و درمان صحیح خدای ناکرده غافل میماند.» این در حالی است که دسترسی غیرقانونی منشی مطبها به نام کاربری پزشکان و داشتن امکان ورود به سامانه، نه تنها ریسک نقض محرمانگی اطلاعاتی بیماران را دو چندان میکند، بلکه چالشهای دیگری مانند تجویز اشتباه دارو را به همراه خواهد داشت که میتواند سلامت بیماران را تهدید کند.
تردید در اصالت نسخهها
دسترسی داشتن منشی مطبها به حساب کاربری نسخهنویسی پزشک، ناامنی در برابر حملات سایبری و امکان هک و نشت اطلاعات، تنها گزینههای خطرآفرین برای حفظ امنیت اطلاعاتی در نسخههای الکترونیکی نیستند. یکی دیگر از چالشهای مهمی که پیرامون این طرح مورد تاکید قرار میگیرد، فعال نشدن امضای الکترونیکی پزشکان برای صدور نسخه است. از نظر قضایی، اصالت نسخههایی که بدون امضای الکترونیکی صادر شده باشند قابل تایید نیست و چنانچه قصور پزشکی رخ دهد و نیاز به پیگیری قضایی باشد، نمیتوان به این نسخهها استناد کرد.
نژادی در تشریح ریسکهای روند فعلی صدور نسخه الکترونیکی میگوید: «در بیمارستانهای آموزشی، رزیدنت، اینترن و پذیرش همه دسترسی مستقیم به پروفایل یا اکانت پزشک را خواهند داشت، در این پروسه شاید خود پزشک به صورت کامل نتواند نسخههایی که به اسمش نوشته شده یا خدماتی که دریافت شده است را رصد کند. بنابراین صرفا هک کردن سیستم یا پایین بودن سطح امنیت یا عدم داشتن استانداردهای مناسب در برنامهای که برای نسخ الکترونیک در نظر گرفته شده مطرح نیست. این دسترسیها هم باعث ایجاد شائبه فسادآوری خواهند شد و ممکن است در سطوح مختلف هم باعث نوشتن نسخههای خارج از سیستم نظارتی پزشک در کارتابل او شود.»
نژادی با تاکید بر اینکه هیچ کاری به صورت بخشنامهای، الزامی و اجباری و بدون ایجاد زیرساخت مناسب انجامپذیر نخواهد بود، گفت: «یکی از مزایایی که برای طرح نسخهنویسی الکترونیک مطرح میکنند، جلوگیری از قاچاق دارو است. اما این بحث جامع نیست. مثلا در اقلام ارتوپدی از جمله پروتزهای ارتوپدی که مصارف جراحی دارند، دارای کد IRC بوده و امکان قاچاق معکوس برای دریافت دلار دولتی وجود ندارد. در زمینه قاچاق دارو قاعدتا افراد دیگری باید پاسخگو باشند.
به نظر من آن اقلامی که به صورت نسخههای مازاد یا نسخههای کاذب از داروخانهها جعل میشوند، در این سیستم نسخهنویسی الکترونیک هم امکان قاچاق دارند و حتی این کار میتواند با دست یافتن به کد کاربری پزشک بیشتر هم بشود.» الکترونیکی شدن نسخهها و انتقال فرآیندهای درمانی به زیرساختهای IT، بدون شک میتواند مزیتهای بسیاری برای بخشهای مختلف کشور ایجاد کند. سیستم سلامت و درمان یکی از بخشهایی است که در سالهای اخیر از تحول دیجیتال صورت گرفته در کشور عقب مانده و نتوانسته پا به پای دیگر بخشها رشد کند و اجرای همین طرح نسخه الکترونیک و پرونده دیجیتال سلامت افراد میتواند کلید تحول این بخش باشد. اما کارشناسان تاکید دارند که این امر نباید موجب اجرای شتابزده چنین طرحهای حساسی شود.
مسوول اتاق فکر سلامت بینالملل سازمان نظام پزشکی تاکید میکند: «تصمیمگیریهای بخشنامهای بدون ایجاد زیرساخت مناسب ما را به این سمت میبرد که از یک اقدام با ماهیت مناسب مثل نسخه الکترونیک، سلامت افراد در معرض خطر قرار گیرد و بدون شک در صورت بروز مشکل، ابتداییترین و اصلیترین متضرران اجرای ناقص و غیر اصولی این طرح بیماران خواهند بود.