两个故事引发的思考.docx
《两个故事引发的思考.docx》由会员分享,可在线阅读,更多相关《两个故事引发的思考.docx(8页珍藏版)》请在冰豆网上搜索。
两个故事引发的思考
两个故事引发的思考
由国家卫生计生委、国家中医药管理局联合印发的《关于加强医疗卫生机构统方管理的规定》(以下简称《规定》)已于2015年1月1日起开始施行。
《规定》中分别明确地给出了“统方”以及“为不正当商业目的统方”的明确定义,并且要求地方各级卫生计生行政部门、中医药管理部门和各级各类医疗卫生机构建立健全相关工作制度,加强统方管理,严禁为不正当商业目的统方。
本期圆桌论坛,我们通过两个为不正当商业目的统方的故事引出几个与“防统方”相关的问题,并邀请业内专家就这些问题谈谈他们对“防统方”工作的思考。
文成县某医院信息科的一名普通工作人员虞某,在偶然机会下发现可以通过调试软件直接进入医院数据库,于是他利用职务之便偷偷记录下登录密码,掌握到了本院的统方数据。
在短短两年时间里,共有20多名药商给他送了107万余元好处费。
甚至在他落网后,仍有药商陆续给他的账户打款1万余元。
原杭州市某医院的医生李某,从医院辞职后到一家科技有限公司担任副总经理,他的工作内容实质上相当于医药代表。
只不过,李某比普通的医药代表更有“头脑”,他想到了在医院安插“内线”,用钱搞到“统方”再转给其他的医药代表或者直接留作自己公司行贿用。
在不到一年的时间内,他就先后收买到六名不同医院的“内线”。
“防统方”是偏重于管理范畴的工作还是技术范畴的工作呢?
专家会如何看待这个问题?
原因为何?
“防统方”不仅仅是涉及信息中心或是某个部门的工作,而是一个全员工程。
对于信息中心来讲,数据安全一直是受到大家关注的,医院“防统方”这项工作是信息安全的重要内容。
因此,从医院信息系统收集数据、管理数据以及各个管理部门应用数据的角度来讲,信息中心是协助医院管理利用技术手段实现数据收集、统计和分析的重要部门。
去年,国家卫生计生委、国家中医药管理局联合印发的《关于加强医疗卫生机构统方管理的规定》(以下简称《规定》)中明确了统方定义,是指医疗卫生机构及科室或医疗卫生人员根据工作需要,通过一定的方式和途径,统计医疗卫生机构、科室及医疗卫生人员使用药品、医用耗材的用量信息。
可见,相比较原来仅限于药品、医生个人等比较狭义的定义,实际上医院所有的业务和管理数据都要进行保护。
因此,“防统方”不仅仅是涉及信息中心或是某个部门的工作,而是一个全员工程。
个人认为“防统方”工作在《规定》中被提升到了一个新的高度。
多年来医务人员出于不正当商业目的,统计、提供医疗卫生机构、科室及医疗卫生人员使用有关药品、医用耗材的用量信息之风屡禁不止。
国家卫生计生委印发《关于加强医疗卫生机构统方管理的规定》的通知,要求医院自查、互查,整理不正之风,维护正常工作秩序。
个人认为“防统方”工作更偏重于管理,应以技术配合管理,以管理支持技术的模式推进。
“防统方”工作确实应该真抓落实了,患者就医得不到确切的治疗,检验、用药、治疗方案非从患者疾病出发,大处方比比皆是,医院的形象遭到玷污,医患关系空前紧张,一触即发。
信息技术在“防统方”方面有用武之地,但不可能智能到滴水不漏,管理部门的严惩力度和教育是落实此项工作的根本。
而彻底根治非法统方行为需切断利益链条,提升医务人员的待遇。
个人认为“防统方”是偏重于管理范畴的工作。
由于能接触到统计处方工作的环节非常多,因此“防统方”不是单纯依靠技术手段就能够解决的问题。
从药品使用的流程上分析,至少要涉及到四个方面的管理问题:
(1)药事部门;
(2)医生;(3)药商和医药代表;(4)数据管理部门。
信息系统的价值在于数据,而数据的应用方式包含采集、存储、共享、应用,其目标是指导后续行为,例如医疗、经营。
由于利益的驱动,医疗信息系统中的某些数据成为了敏感的数据,大致包含两类:
(1)涉及患者隐私的信息(个人基本信息、疾病信息);
(2)与商业有关的运营信息(用药统计、耗材统计等)。
因为目的不同,对这些敏感信息的操作,也就有了合法和非法之分。
“统方”是对药品和耗材使用量的一种统计行为,在没有数据库前,就以手工形式存在。
合法的统方行为是医院业务管理的需要,非法的统方行为则是以获利为目的,通过非法途径对药品与耗材使用量与个人回扣建立关系的统计行为。
“防统方”确切地说,防的是非法统方行为。
在防非法统方的工作中,管理重于技术。
目前非法统方的原始数据源基本都是医院数据库,但是其非法统方行为却不一定来源于对医院数据库的直接操作,期间存在各种二次操作的可能。
例如,合法业务统方需求、各级医疗管理部门、各种课题研究需要以及互联网的医疗应用等都会导致医院数据的合法外流,而对于这些外流数据的管理也需要关注,因此防统方工作实际上不单单是医院自身或是其一个部门的工作,更不是医院上了防统方系统就能解决的,应该对防统方工作进行业务梳理,确定本院各级部门对数据的管理职责,同时明确外部风险所在。
尽管防统方工作不能解决医疗体制带来的问题,但也不能说信息部门就可以不作为。
因为信息系统的核心价值在于数据,数据的安全管理始终是信息中心的重要工作之一,所有针对数据的非法操作都是信息安全防范的工作重点。
“防止针对数据库的非法统方行为”是数据安全管理的一部分,把此项工作纳入信息安全体系的全局管理之中,应从管理到技术统筹考虑,做好信息安全管理体系的建设工作。
统方应该分成院内正常工作量统计和违规统计两种,其中出于商业目的的违规统方必定是错误甚至是违纪违法的行为。
在目前的社会大环境下,由于相关部门对药品耗材的定价存在不合理性,造成临床灰色收入客观存在的事实,违规统方在这样的背景下应运而生。
要特别注意的是,违规统方不是在医院信息系统推广使用以后才出现的,手工违规统方的情况之前就已存在,信息系统的出现只是提供了更简便快捷的方式。
纪检部门为“防统方”也采取了一系列的措施,个人认为这项工作的重点还是在管理上,只有从源头上杜绝了违规统方存在的根源,才有可能完全防止违规统方。
统方原指医疗卫生机构及科室或医疗卫生人员根据工作需要,通过一定的方式和途径,统计医疗卫生机构、科室及医疗卫生人员使用药品、医用耗材的用量信息。
但在不正当商业目的驱动下,将这些信息为医药营销人员统计提供便利,此为不正当统方,也就是人们常说的“统方”。
近些年网络媒体不时有报道某某医院统方信息,更有医药营销人员将药品及医疗耗材营销环节中灰色利益链进行曝光。
回扣对医生群体具有较大的诱惑力,个别医疗人员的灰色回扣利益远超其合法收入,早已是医疗界公开的秘密。
长期以来医生为了获取药品等回扣而开大处方、过度医疗等导致医疗资源的浪费,同时药品流通环节的不规范又导致了药品虚高,给药品回扣等留下了操作空间。
我国医疗保健中药占比一直处在一个较高水平,导致沉重的财政及医保基金负担。
统方既是一个管理问题又是一个技术问题,是医疗改革过程中一个重要的现实障碍。
药品、耗材流通环节高额差价是回扣产生的重要原因,没有回扣就没有统方。
在医疗机构的防统方管理工作中应该以管理为主,技术手段为辅,如果没有很好的管理制度和制度的落实,再好的技术手段也只是一个摆设。
“防统方”工作所涉及到的部门比较多,从管理的角度如何进行把控和协调?
从药品使用角度分析,由医生发起,经由药剂科,最后数据存储于数据中心。
如果有人想要获取这些数据,一般会考虑从药品的实际管理部门和数据的实际管理部门获取。
药品管理部门主要有两个途径,一个是基层操作人员,另一个是管理人员。
基层操作人员可以通过梳理纸质处方获得统方数据;管理人员则能接触到系统中的相关数据。
数据管理部门的环节主要有:
(1)数据操作人员,包括信息系统运维人员,他们能接触到信息系统的数据和账号;
(2)数据的管理人员,例如,数据管理员、系统管理员等,这些人员能接触到后台数据;(3)厂商及医院内部的系统开发人员。
除了这两方面之外,还可能有外部人员入侵网络,窃取数据。
综上所述,通过对这些环节的分析,管控的方向也就随之清晰了。
纪检部门是“防统方”的重要环节,管理力度、落实程度、检查深度决定此项工作深入程度,起到统领全局的领导作用。
制度先行,应制订符合实际,切实可行的管理制度,网络安全管理制度(包括主机、网络、系统、数据安全等)、医院信息系统保密协议、信息科工作职责(包括科室、主任、科员的工作职责)、统方管理制度、保密工作制度及责任追究(包括科员及厂家人员)等等。
各个环节严格执行管理制度,管理部门定期检查、临时抽查落实情况,结合各部门工作特点组织学习和教育,让操作者与管理者的理念达成一致,使遵纪守法成为自觉行为。
《规定》从政策层面指出,防统方工作需要整体规划与管理。
(1)明确职责和任务。
首先,要重视医院数据保护工作,其次,要把医院信息系统、信息监控系统能做到的和不能做到的部分划分出来,并与相关管理部门甚至医院领导沟通,明确信息中心以及各部门的职责和任务。
(2)合理划分边界。
医院的重要数据会在哪些部门使用,哪些部门应该把这些数据进行保护等要明确。
信息中心可以协助医院管理部门对医院信息系统产生的数据进行梳理,为医院管理提供依据,仅仅依靠信息中心的技术手段是不行的。
(3)西城区卫生局开展了医院间的互查工作,由院领导牵头各相关部门参加,重点是交流防统方管理经验,以便完善各医院的数据保护管理机制和相关措施。
在“防统方”涉及的部门中,纪检部门是从管理的角度承担起重要的责任,而信息中心和药剂科作为接触数据和接触实物的两大重要部门,也必须从自身人防、技防两方面做好工作。
对于重点部门、重点人员,应首先从思想动态入手,做好警示教育,并且常抓不懈;其次,从管理规范入手,对敏感数据查询有明确的制度和规定,逐级审批;第三,从技术手段入手,关注数据异动,严格操作流程;第四,从数据监控入手,发现苗头及时制止并严肃处理。
对于药商和医生,还是要从制度、教育和流通环节上进行掌控。
做好防非法统方工作,需从信息安全体系入手,制度联动、技术联动。
在管理上:
划分边界、明确职责。
(1)确定关键指标的责任科室、纪检负责审计和追责。
防非法统方工作是一项全局管理工作,与此项工作的各方关系人,都有责任有义务防范本部门管理范畴的非法统方行为,并且应该有明确的主体管理部门。
纪检部门作为廉政建设的管理主导部门实际承担着监督管理职责。
信息中心则是技术提供部门,通过防统方系统对数据库特征表、特征字段等行为进行分析和记录,为纪检部门设定权限,提供审计信息供其监督,规避信息中心自建自审的不合理。
(2)明确数据提取审批流程,数据保管需业务科室责任共担。
例如:
医政部门和药事部门对业务所需敏感数据的提取和保管负有相应的管理职责,没有职能部门的审核和签字,信息中心不对外提供任何敏感数据,同时将文档归档以备追溯。
防统方实质是防回扣,医疗卫生机构只有严格按照《规定》中的要求逐条执行,才能有效杜绝统方。
药品的采购由管理人员和药剂科人员共同向药品公司采购完成;出入库基本由药剂科相关人员完成;药品处方由医生和药剂人员共同完成;所有的药品流向信息记录都在信息中心。
所以,信息中心对药品的信息掌握更全面、更快捷。
只有医疗卫生机构中主管领导重视,纪检部门经常在各个医疗环节中检查薄弱环节,加强相关人员法制教育,再配合技术手段才能有效制止统方。
信息中心管理好信息安全,严格按照用户权限分级管理,利用相关技术监管和配套法律法规让统方人员不能非法统方,不敢非法统方。
从信息中心的角度来讲,应该如何开展“防统方”这项工作呢?
根据《规定》所提出的要求,信息中心在防统方工作中能做什么是我们需要思考的问题。
个人认为应该把防统方这项工作的重视程度上升到对数据安全和信息保护高度。
一直以来,信息安全中所提到的数据保护、权限管理等问题都是大家所关注的,包括三级甲等医院信息安全等级保护工作也提出了具体要求。
信息中心在这项工作中要做好技术支持,在医院信息系统建设中我们关注痕迹管理,同时也要考虑不影响正常业务运行,使其能够真正发挥作用。
仅仅依靠技术手段是不够的,还需要各个部门健全相关制度。
我认为防统方工作要在业务层面、管理层面和技术层面齐抓共管才能取得良好的效果。
信息科在统方方面是敏感科室,来自各方的诱惑和压力最大,应尽最大努力促进管理统方的到位程度。
首先洁身自好,不辱使命。
再以等保安全要求为基准,从梳理信息系统权限入手,严格查询功能的分配。
内外网传递数据信息在规定时限内由中间件服务器导出导入,信息科专业人员负责操作,将数据出口限定在最小范围。
网络加装防火墙、杀毒程序等软硬件设施。
数据库审计及防统方软件助力信息科在技术方面的实时管控。
从统方数据链条的角度看,信息中心有五个方面的工作可以做:
(1)对业务系统的操作人员进行权限控制,并通过系统对操作人员的每一次操作做记录;
(2)对IT运维人员管理,通过账号权限和后台记录形成管控;(3)对系统管理员的管理,通过堡垒主机记录相关操作行为;(4)对研发人员的管控,制定数据操作流程与规范,并利用数据库审计系统进行审计,加强对数据操作的控制;(5)外部人员的管控,通过网络边界保护与数据库审计等技术手段,做到及时发现,及时处理。
对于防统方工作,信息中心可以根据信息安全等级保护的相关规范标准作参考。
具体到实施的技术方案上需要做到:
整体构建、重点防范。
首先身份识别很重要:
(1)敏感资源识别:
含有敏感数据的表、字段;需监管的数据库包括正式库、测试库、备份库、数据中心。
(2)设备身份识别与授权(边界划分、防火墙策略):
终端准入,访问控制。
(3)有效身份识别与授权:
内部身份认证用以识别业务科室(程序)、信息中心(高权限);外部身份认证用以识别厂商人员(高权限)、黑客(盗用、利用漏洞入侵)。
授权工作要做到逐级、分层、分立且防盗用。
其次,要对非法行为识别,例如:
SQL语句中包含医生、药品、用量、时间段即属于高危行为,需判别。
审计监管工作要做到:
事前――制定规则,对高危行为进行限制;事中――授权与判别,预警与通知。
事后――审计与追踪,提供证据。
需要特别提出的是,信息中心的工作也是有局限性的,例如:
中间件,B/S架构,只能监测到IP;远程服务中防火墙配置进行限制,堡垒主机的远程操作可以录屏;本地的数据库操作的监管,需结合机房监控管理;外部数据库:
上报数据、互联网数据、正常业务流出的数据的再利用;传输过程的失密等。
而值得我们注意的事项,个人认为是对于系统规则需要持续维护和管理。
信息中心应该从以下三个方面开展“防统方”的工作:
(1)严格管理数据库权限及相关数据库。
各级用户权限按工作需要分配相应权限以防止权限过大;定期更换数据库及备份数据库密码防止密码丢失;加强信息中心人员法制观念教育和数据安全教育,防止从信息中心信息泄密导致统方。
(2)加强数据监管技术。
应用防统方管理软件、相关数据库访问审计软件等监管非法HIS数据统计,做到事前阻断、审计非法统方。
(3)加强流动人员管控。
大多医院信息中心有合作伙伴、开发商等业务合作,这类人员流动性大不受医院管控,应对流动人员访问数据库进行临时授权。
信息中心是数据的管理部门,也是防违规统方的第一战场。
信息中心人员首先应该有强烈的责任心,对医院业务负责、对医院数据负责、也是对自己负责,严厉拒绝外在诱惑;其次,要积极配合相关部门的监督和检查,主动为防违规统方工作献计献策;第三,需要从数据安全角度,用严密的管理制度和技术手段保障数据不外泄。
升级会员 