מחקר חדש חושף: רוב אנשי המקצוע בתחום הרפואה משתפים באופן בלתי ראוי הרשאות גישה והתחברות למערכת רשומות רפואיות אלקטרוניות
תקנות מחמירות לשמירה על מידע חסוי מוגן, מקשות לעיתים קרובות על מטפלים לקבל את המידע שהם זקוקים לו. בעקבות זאת, רוב חברי הצוות הרפואי שהשתתפו בסקר התחברו למערכת רשומות רפואיות אלקטרוניות (EMR) באמצעות סיסמה שנתן להם חבר אחר בצוות הרפואי, באופן לא ראוי.
המחקר, "שכיחות שיתוף הרשאות גישה לרשומות רפואיות אלקטרוניות", שהתפרסם ב-Healthcare Informatics Research, הוא המחקר הראשון שבודק גישה ל-EMR בקרב נותני שירות רפואי. מערכות EMR מאחסנות מידע נרחב ורגיש מאוד על מטופלים, כולל מידע על מצב אישי, דמוגרפי וכלכלי. גם ארגוני בריאות משתמשים במערכות EMR לחיוב, לקביעת תורים ולניהול מכשירים חיוניים תומכי חיים.
החוקרים אספו תשובות לסקר מ-299 בעלי מקצוע בתחום הרפואה, כולל רופאים מתמחים, סטודנטים לרפואה, סטאז'רים ואחיות. צוות המחקר כלל חוקרים מאוניברסיטת בן-גוריון בנגב, מבית הספר לרפואה של אוניברסיטת הרווארד, מאוניברסיטת דיוק, מהמרכז הרפואי של האוניברסיטה העברית ו"הדסה", ומהמרכז הבינתחומי בהרצליה.
כמעט שלושה רבעים (73 אחוזים) מ-299 המשתתפים טענו שהשתמשו בסיסמה של חבר אחר בצוות הרפואי כדי לגשת למערכת EMR בעבודה. יותר מ-57 אחוזים מהמשתתפים (177 מתוך 299) העריכו שהשתמשו בסיסמה של מישהו אחר 4.75 פעמים בממוצע.
בקבוצת הרופאים המתמחים, כולם (100 אחוזים) אמרו שקיבלו פעם אחת את הסיסמה של חבר צוות אחר, בהסכמתו. בקבוצת הסטודנטים והסטאז'רים, 77 אחוזים ו-83 אחוזים (בהתאמה) השתמשו בהרשאות של מישהו אחר, משום שאמרו שהם "לא קיבלו שם משתמש".
באופן דומה, 56 אחוזים מהסטודנטים וכמעט 70 אחוזים מהסטאז'רים השיבו שלשם המשתמש שלהם אין הרשאות מתאימות כדי "למלא את חובותיי", ולכן הם נאלצו לבקש את הרשאות הגישה של מישהו אחר. רק חצי מהאחיות שהשתתפו בסקר (57.5 אחוזים) דיווחו שהשתמשו בסיסמה של מישהו אחר.
"כוחה של מערכת אבטחת מידע נמדד בכוחה של החוליה החלשה ביותר בה," אומרת ד"ר פלורינה יוזפובסקי, חוקרת בתחום הפסיכולוגיה ההתפתחותית באוניברסיטת בן-גוריון בנגב וחברה במרכז זלוטובסקי לחקר העצב. "אפילו פרצה יחידה יכולה להפוך מערכת מידע ללא-יעילה."
פריצה למידע פרטי של חולים – המוגן באמצעות החוק לניידות ביטוחי בריאות וחובת דין וחשבון על נתוניהם (HIPAA) ובאמצעות הקריטריונים של ארגון התקינה הבינלאומי (ISO) – יכולה להוביל לקנסות כבדים, אם תדווח. תקיפה של מערכת EMR יכולה להפריע מאוד להליכים רפואיים ולגרום לפגיעות ישירות בחולים, לדוגמה בשל שינוי במרשם או במכשיר רפואי.
בעקבות זאת, חוק HIPAA דורש מארגוני בריאות ליצור ולאכוף מדיניות אבטחה מקיפה, שתכלול הגדרות ברורות של תפקידו של כל עובד ושל הרשאות הגישה שלו. כמו כן, על הארגונים לספק דרך לאמת את זהותו של כל עובד, לשלוט בגישה שלו למידע הרלוונטי בלבד ולערוך ביקורת על עריכתו.
"על הצוות הרפואי להעניק טיפול יעיל ובזמן, תוך שמירה על חיסיון המטופלים," אומר החוקר הראשי, ד"ר אייל חסידים מהמרכז הרפואי של האוניברסיטה העברית ו"הדסה". "לפעמים זה יכול לגרום להתנגשות בין חובתם לבין מחויבותם לעמוד בתקנות האבטחה."
החוקרים מציעים כמה המלצות: ראשית, השגת הרשאות גישה צריכה להיות פחות קשה ולגזול פחות זמן. לדוגמה, בישראל הצוות הזוטר מחליף סבבים רפואיים על בסיס שבועי, ולכן לעיתים קרובות סטודנטים לרפואה, מתמחים ועובדים חדשים אחרים נאלצים להשתמש בהרשאות של עובדים אחרים כדי למלא את חובותיהם בזמן שהם עוברים את תהליך ההרשמה הממושך והקפדני.
החוקרים ממליצים שבתי חולים שאין בהם מספיק עובדים, במיוחד בשעות תורנות, יעבירו משימות אדמיניסטרטיביות ויעניקו גישה מורחבת למערכת EMR לעובדים פרא-רפואיים, לצוות זוטר, למתמחים ולסטודנטים. סביר יותר שהאחיות, שבדרך כלל חובותיהן מוגדרות יותר, יהיו בעלות הרשאות ה-EMR שהן צריכות. הבנה של דרישות הצוות הרפואי והרחבת הרשאות הגישה יכולות להוביל למעשה לפחות שיתוף של סיסמאות ולהגנה טובה יותר על המידע הרפואי.
לבסוף, החוקרים ממליצים להוסיף אפשרות לכל תפקיד ב-EMR המעניקה הרשאות מקסימליות להתחברות בודדת. כשהאפשרות הזו תופעל, הרופא הבכיר ופקיד האבטחה של מידע רפואי מוגן (PHI) יקבלו התרעה על כך. זה יאפשר לצוות הזוטר לקבל החלטות דחופות ומצילות חיים תחת פיקוח רשמי רטרוספקטיבי, מבלי שיצטרכו להתחבר בחשאי ל-EMR.
החוקרים האחרים שהשתתפו במחקר היו: ד"ר אייל חסידים, מהמרכז הרפואי של האוניברסיטה העברית ו"הדסה"; ד"ר צפניה קורח, מבית הספר לרפואה של אוניברסיטת הרווארד; ד"ר רוני שרברק-חסידים וד"ר אלנה טומיידו, מהמרכז הרפואי של האוניברסיטה העברית ו"הדסה"; ד"ר שחר אייל, מהמרכז הבינתחומי הרצליה; וד"ר דן אריאלי, מאוניברסיטת דיוק.