IME - INTERDISZCIPLINÁRIS MAGYAR EGÉSZSÉGÜGY

Tudományos folyóirat - Az egészségügyi vezetők szaklapja

   +36-30/459-9353       ime@nullimeonline.hu

   +36-30/459-9353

   ime@nullimeonline.hu

Az egészségügyi szoftverek minősítésének kérdései

  • Cikk címe: Az egészségügyi szoftverek minősítésének kérdései
  • Szerzők: Rippel Endre, Király Zoltán
  • Intézmények: CERTOP Termék- és Rendszertanúsító Ház
  • Évfolyam: VII. évfolyam
  • Lapszám: 2008. / 4
  • Hónap: május
  • Oldal: 46-49
  • Terjedelem: 4
  • Rovat: INFOKOMMUNIKÁCIÓ
  • Alrovat: MÓDSZERTAN, DÖNTÉS ELŐKÉSZÍTÉS

Absztrakt:

A terméktanúsítás koncepciója az Európai Unión belül már 1985-ben megfogalmazódott. Az alapvető követelményeket előíró Európai Közösségi direktívák tartalmazzák az alkalmazási területet és az elvárt biztonsági szinteket. A termékeknek az előírt követelményeknek való megfelelését a gyártóknak igazolniuk kell, ezt elvárják mind a vevők, mind a hatóságok. Ez a folyamat napjainkra elérte az informatikai piacot is, és a hazai gyakorlata is megalapozottnak tekinthető. Az egészségügyi informatikában a szoftverminőségi, megfelelőség tanúsítási, a különböző rendszerek összekapcsolási követelményei, a metaadatok egységesítési előírásai, valamint az adatvédelmi, adatbiztonsági elvárások szigorúbbak (erősebbek) lesznek, mint a többi közszektorban.

A cikk további részleteihez előfizetői regisztráció és belépés szükséges! Belépéshez kattintson ide
INFOKOMMUNIKÁCIÓ MÓDSZERTAN Az egészségügyi szoftverek minősítésének kérdései Rippel Endre, Király Zoltán, CERTOP Termék- és Rendszertanúsító Ház A terméktanúsítás koncepciója az Európai Unión belül már 1985-ben megfogalmazódott. Az alapvető követelményeket előíró Európai Közösségi direktívák tartalmazzák az alkalmazási területet és az elvárt biztonsági szinteket. A termékeknek az előírt követelményeknek való megfelelését a gyártóknak igazolniuk kell, ezt elvárják mind a vevők, mind a hatóságok. Ez a folyamat napjainkra elérte az informatikai piacot is, és a hazai gyakorlata is megalapozottnak tekinthető. Az egészségügyi informatikában a szoftverminőségi, megfelelőség tanúsítási, a különböző rendszerek összekapcsolási követelményei, a metaadatok egységesítési előírásai, valamint az adatvédelmi, adatbiztonsági elvárások szigorúbbak (erősebbek) lesznek, mint a többi közszektorban. NEMZETKÖZI ÉS A HAZAI KÖRKÉP A közszolgáltatások elektronikus kiszolgálása, az elektronikus közigazgatás, az egészségügy, az oktatás és a közszféra többi területét is érintő informatikai megoldások egységesített, szabványosított megoldásai kerülnek előtérbe. A megalkotott követelményrendszereket az alkalmazásokba az érintett szolgáltatók teljes mértékben beépítik, majd független féllel felülvizsgáltatják, igazoltatják. Nem szabad megfeledkezni a tartalom-archiválásról, amelyről hazánkban is jogszabályban rendelkeztek, és minősítést írtak elő. Ide sorolható továbbá az információszolgáltatás, biztonság, és a közigazgatási adatvagyon-menedzsmentje, informatikai szolgáltatás menedzsment, amelyekhez ugyancsak rendelkezésre állnak már előírások, normatívák és nemzetközi szabványok. Az EU elvárásai magas színvonalú szolgáltatásokat várnak el, amelyek serkentőleg hathatnak a hazai e-Közigazgatás fejlődésére, a szolgáltatásokhoz való csatlakozási lehetőségek növelik a minőségi színvonalat. Az IT (Információtechnológia) biztonsági elvárásainak a növekedő kockázatok mellett is eleget kell tenni. Az elfogadható kockázati szint megtartásához szervezési- és informatikai eszközök széleskörű felhasználására van szükség, ez már néhány országban tapasztalható. KÖZEGÉSZSÉGÜGYI INFORMATIKA Az egészségügy piacgazdasági átalakulása jelentősen befolyásolja az informatikai szolgáltatások összehangolá- 46 IME VII. ÉVFOLYAM 4. SZÁM 2008. MÁJUS sát, egységes formák kidolgozását, biztonságos kommunikációs csatornák kialakítását. A betegfinanszírozás, az intézményfenntartás és az egészségügyi szolgáltatások elszámolásának kapcsolódási pontjai nem egyértelműek. A betegfinanszírozás társadalom-biztosítási és/vagy magánbiztosítási alapon történő kezelése jelentősen befolyásolja az informatikai szolgáltatások összehangolását. Az egészségügyi szolgáltatások elszámolásánál a számla kiadása és a kapcsolódó elszámolások, ennek következtében az egészségügyi informatikai rendszerek piacának gyors növekedése fog bekövetkezni, amely azonos színvonalon csak megfelelő minőségű alkalmazásokkal biztosítható. Ehhez előzetesen meg kell határozni a követelményrendszereket, amelyeket valamennyi termékben rendszeresen ellenőrizni kell. Az egészségügyi informatikában a szoftverminőségi, megfelelőség tanúsítási, a különböző rendszerek összekapcsolási követelményei, a metaadatok egységesítési előírásai, valamint az adatvédelmi, adatbiztonsági elvárások szigorúbbak (erősebbek) lesznek, mint a többi közszektorban. AKKREDITÁLÁS, A KIJELÖLÉS HÁTTERE Az akkreditálás annak hivatalos elismerése, hogy egy szervezet alkalmas bizonyos tevékenységek (vizsgálatok, tanúsítás, ellenőrzés) elvégzésére. Az akkreditálás célja az egységes európai elvekre épülő akkreditálási rendszerekben elismerést nyert szervezetek iránti bizalom növelése, a vizsgálati, tanúsítási és ellenőrzési tevékenység megbízhatóságának emelése, a vizsgálati eredmények és tanúsítványok kölcsönös elfogadásának elősegítése, ezáltal megteremtve az ismételt vizsgálatok kiküszöbölését és a kereskedelem műszaki akadályainak elhárítását. A nemzetközi megállapodások megfelelőség tanúsítására vonatkozó cikkelyei végrehajtásának érdekében az Országgyűlés a laboratóriumok, a tanúsító és az ellenőrző szervezetek akkreditálásáról szóló 1995. évi XXIX. törvényben határozott az európai és a nemzetközi gyakorlatnak megfelelő nemzeti akkreditálási rendszer kialakításáról és a Nemzeti Akkreditáló Testület (a továbbiakban: NAT) létrehozásáról. Az akkreditálás alapját a NAT-ra és az akkreditálandó tanúsító szervezetekre vonatkozóan az MSZ EN 45000 és az MSZ EN ISO/IEC 17000 szabványsorozatok, a nemzetközi és európai akkreditálási útmutatók, valamint a NAT által kiadott szakma-specifikus követelmények alkotják. INFOKOMMUNIKÁCIÓ MÓDSZERTAN Az akkreditálási eljárások lefolytatását a szakterületileg illetékes szakmai akkreditáló bizottságok irányításával tevékenykedő független külső minősítők, szakértők és a NAT munkatársai végzik. Az eljárás folyamán a kérelmezőnek a szakmai alkalmasságán túlmenően igazolnia kell, hogy hatékony minőségirányítási rendszert működtet. A kérelmező minősítése a benyújtott minőségirányítási dokumentáció és helyszíni szemlék alapján történik a vonatkozó eljárásrendben leírtak szerint. Sikeres minősítés után az illetékes Szakmai Akkreditáló Bizottság (SZAB) dönt az akkreditáció megadásáról / fenntartásáról. Az informatikai termékek esetében a független és a pártatlan fél általi minősítés adja a rendszerekkel kapcsolatos elvárások teljesítését. • • • dolást legalább strukturált és szöveges kereséssel támogatni kell. Ha egy adott fogalomkörre létezik ágazati kódrendszer (terminológia), akkor a kódolt mezőkben az ágazatban használatos kódrendszerek mindenkor érvényes változatát kell használni, olyan módon, hogy a használt kódnak a rögzítés idején érvényes jelentése meghatározható legyen. Egyéni kódrendszerek az ágazati kódok mellett kiegészítésként használhatók. Visszakeresési, statisztikai funkciók a kódolt adatok alapján, megadott szűrési feltételeknek megfelelő ellátási esetek, illetve betegek adatainak kigyűjtése. Az interneten térítésmentesen elérhető tudásforrások, különösen az ágazati programok által támogatott adatforrások elérése. Elektronikus levelek küldése, fogadása. Az államigazgatási szervek jogszabályban rendezhetik, hogy második szintű szűrést is bevezetnek-e a tanúsító szervekkel kapcsolatosan, illetve további követelményeket is meghatározhatnak. A kijelölést a rendelet alapján lehet kérelmezni, ahol rögzíteni kell a függetlenséggel, pártatlansággal kapcsolatos követelményeknek való megfelelést, rendelkezni kell a rendelet tárgya szerinti, valamely Akkreditáló Testület által kiállított akkreditálási okirattal, valamint az előírt szakmai és informatikai képzettségű alkalmazottakkal. • MINÔSÍTÉSI KÖVETELMÉNYEK Kommunikációs alapkövetelmények Funkcionális alapkövetelmények • • • • • • Az ellátó egységben megjelenő betegek személyi adatainak törzs-adatbázisban való rögzítése, a már rögzített betegek visszakeresése, szűrhető beteglisták készítése, adott beteg adataiban bekövetkező változások naplózott, idősoros követése. Adott megjelenési/ellátási eset adminisztratív adatainak rögzítése: megjelenés (érkezés, távozás) időpontja, és körülményei. Az adott ellátási eset orvosi alapadatainak szabad vagy strukturált szöveges rögzítése az adott szakterület szakmai szabályai szerint (panaszok, kórelőzmény, klinikai státusz, leletek, gyógyszerek, allergia, alkalmazott vagy előírt terápia, utasítás, további kezelések, vizsgálatok előírása stb.), adott betegre vonatkozó idősoros visszakereshetősége. Az orvosi diagnózis rögzítése (nem azonos a BNO kategóriarendszerével; olyan orvosi szaknyelven megfogalmazott kijelentés, amely az orvosnak a beteg állapotára vonatkozó ismeretét tömören összefoglalja. Lehet pl. valamely tünet vagy valamely betegség gyanúja, ha pontosabb ismeret nem áll rendelkezésre). A betegség és az elvégzett beavatkozások kódjainak rögzítése, amelyet az ellátási esemény lezárása után kell meghatározni (kivéve, ha jogszabályi előírás alapján „iránydiagnózis“-ra vonatkozó kódot kell megadni). A kó- Technikai, infrastrukturális alapkövetelmények, teljesítménykövetelmények • • • • • • Olyan informatikai infrastruktúrát kell kialakítani, hogy a rendszer válaszideje a betegellátás folyamatát számottevően ne akadályozza. Az informatikai infrastruktúrát úgy kell kialakítani, hogy az előírt biztonsági követelmények megvalósulásához szükséges műszaki feltételek ne hiányozzanak. Az egészségügyi ellátó-helynek rendelkeznie kell a feladatok ellátásához a szükséges sávszélességű internet kapcsolattal. A heti 5x3 óránál kevesebb időben működő rendelők esetében az internet kapcsolatot nem kell a rendelés helyszínén biztosítani, de a rendelést végző orvos részére bizonyos funkciót tetszőleges helyszínen lehetővé kell tenni. Háziorvosi ellátás esetén – amennyiben a rendelőben műszaki okok miatt ez nem oldható meg, a település más pontján (pl. a háziorvos otthonában) is kialakítható, de ebben az esetben az off-line adatátvitelt (pl. pendrive, CD stb.) biztosítani kell. Amennyiben internet kapcsolat az adott településen egyáltalán nem létesíthető, átmeneti mentesség adható, de legalább heti rendszerességgel internet hozzáférést és elektronikus levelezési lehetőséget a legközelebbi erre alkalmas településen a háziorvos számára biztosítani kell. A szolgáltatóknak alkalmasnak kell lenniük a jogszabály alapján kötelező jelentések elektronikus formátumban való előállítására és továbbítására. Sok-munkahelyes intézményekben (kórház, rendelőintézet) lokális hálózatot kell működtetni. A hálózaton keresztül elegendő számú kiszolgáló helyen internet hozzáférést kell biztosítani, úgy, hogy a funkcionális követelmények minden orvosra vonatkozóan teljesüljenek. A finanszírozási és szakmai jelentések (kötelezően bejelentendő betegségek) számára szükséges outputok au- IME VII. ÉVFOLYAM 4. SZÁM 2008. MÁJUS 47 INFOKOMMUNIKÁCIÓ MÓDSZERTAN • • tomatikus előállítása. A finanszírozási jelentésekre vonatkozó részletes specifikációt a jogszabályok adta kereteken belül a minősítési követelmény-jegyzék határozza meg. Valamennyi orvosi-egészségügyi adatot kezelő rendszernek képesnek kell lennie arra, hogy az adatokat más szoftver számára olvasható valamilyen szabványos adatformában kimentse (pl. txt file, dbf, xml formátum stb.). A kimentett adatoknak értelmezhetőnek kell lennie, a kimeneti adatformátumhoz pontos leírást kell adni. A közfinanszírozásban részvevő szolgáltatók számára az adatexport formátumát és az adattartalmat a mindenkori ágazati szabványok, vagy ennek hiányában a finanszírozó szoftver-minősítési feltételeként előírt követelmények szerint kell biztosítani. Valamennyi orvosi-egészségügyi adatot kezelő rendszernek képesnek kell lennie arra, hogy a benne tárolt adatokról a beteg kérésére, a róla szóló adatokról nyomtatott másolati példányt állítson elő. Biztonsági alapkövetelmények • • • • • • • 48 Valamennyi orvosi-egészségügyi adatot kezelő rendszernek képesnek kell lennie arra, hogy a benne tárolt egészségügyi adatokat a jogszabályban előírt ideig megőrizze. Az adatmegőrzés történhet elektronikus vagy nyomtatott formában. Elektronikus tárolás esetén gondoskodni kell arról, hogy az archív adatok a mindenkor aktuálisan használt rendszerbe visszaolvashatóak legyenek. Az egészségügyi adat csak úgy törölhető, hogy a törlés körülményei (időpont, törlés oka, törlést végző személy) naplózásra kerülnek, és a törlés előtti állapot visszaállítható legyen. Az egészségügyi adatokon történő minden módosítás, törlés azonosított felhasználóhoz köthető legyen, a módosítások idősorosan visszakövethetők legyenek. A rendszer fizikai és logikai védelmét az adott környezetben reális veszélyeztetettségnek megfelelően úgy kell kialakítani, hogy a hatályos adatvédelmi jogszabályok előírásai teljesüljenek. Az adatvesztés elkerülése érdekében az adatokról rendszeresen másolatot kell készíteni. A másolatot úgy kell elhelyezni, hogy ugyanazon műszaki hiba következtében az eredeti adat és a másolat ne sérülhessen egyszerre. A másolatot (mentést) olyan gyakorisággal kell végezni, hogy az utolsó mentést követő módosítások rekonstruálhatók legyenek, ha adatvesztés miatt a másolatot vissza kell állítani. Amennyiben a rendszerek biztonsága megkívánja, az általános kommunikációs funkciókat (internet-böngészés, levelezés) és az egészségügyi adatok kezelését fizikailag elkülönített rendszerekkel lehet megvalósítani. IME VII. ÉVFOLYAM 4. SZÁM 2008. MÁJUS TANÚSÍTÁS A szoftverek megfelelőség vizsgálatát – felügyeleti szervek által jóváhagyott – a minősítési eljárás szerint kell megvalósítani. Figyelembe véve a jelenleg érvényes előírásokat az informatikai termékek tanúsítása területén, az alábbi két fő lépésben valósulhat meg a tanúsítás. Az első lépés az előaudit (helyzetfelmérés), ahol az auditorok, szakértők megismerik, feltérképezik a minősítésre előkészített rendszert, valamint teljes körűen áttekintik a kapcsolódó dokumentációkat, hogy megfelelnek-e a vonatkozó jogszabályoknak, azaz a kötelező érvényű normatíváknak. A szoftverek átvizsgálása során bemutatásra kerülnek a különböző felhasználói funkciókkal kapcsolatos követelmények. Eredményeképpen egy úgynevezett „Vizsgálati jelentés” készül, amely tartalmazza a vizsgált szoftverrel és a dokumentációkkal kapcsolatos megállapításokat, tapasztalatokat, erősségeket, gyengeségeket, észrevételeket, hiányosságokat. A második lépésben, a minősítő auditon már ténylegesen tesztelésre kerül a rendszer valamennyi – a rendeletekben előírt – funkciója, biztonsági követelménye, a kapcsolódó dokumentációk teljes körű átvizsgálása az eljárás során folyamatosan megtörténik. A funkciók teljes körű, sikeres tesztelését követően kerül sor egy átfogó tesztelésre, amely kiterjed a teljes folyamatra. Ha sikeresen megtörtént a rendszer teljes körű tesztelése, sor kerülhet a záró tesztelésre, ahol a kialakított szoftvert működési környezetében vizsgálják át a tanúsító szervezet auditorai, szakértői. Az eljárás segítséget nyújt a szervezeteknek a rejtett hibák, eltérések kiküszöbölésére. A sikeres minősítő eljárás után kerül kiállításra a tanúsítvány. A tanúsítás biztosítja, hogy a vizsgált informatikai termék • • • • • • megfelel a működési területéhez kapcsolódó összes vonatkozó jogszabálynak, rendeletnek, előírásnak, elismertséget jelent, megfelel a nemzetközi szabványokban támasztott követelményeknek, az együttműködő rendszerek szabványos kommunikációs csatornákat használjanak, az együttműködő rendszerek egységes adatformákat használjanak, az együttműködők bizalma megerősödhet, a piaci kapcsolatai javulhatnak és csökkenthetik az érdekelt felek kockázatát. FEJLESZTÉSI LEHETÔSÉGEK Információbiztonság Irányítási Rendszer (IBIR) MSZ ISO/IEC 27001:2006 tanúsítása A rendszer bevezetése lehetőséget biztosít az érintettek számára, hogy a kapcsolataikat megerősítsék a partnereikkel, a szolgáltatók és a jelentős adatvagyont kezelők a INFOKOMMUNIKÁCIÓ MÓDSZERTAN szervezetüket érintő feltárt kockázatokat folyamatosan figyeljék és csökkentsék, a különböző igények kielégítéséből adódóan az együttműködő rendszereik biztonsága folyamatosan növekedjen. MSZ ISO/IEC 15408:2003 szabványcsalád tanúsításának bevezetése A szabványcsalád az informatikai termékek és szoftverek közös biztonsági követelményrendszerét fogalmazza meg. A szabványcsalád teljes körű kiterjesztésével lehetőség nyílna az egészségbiztosítás területén együttműködő rendszerek közös biztonsági szintjének megteremtésére. Az egészségbiztosítás területén személyes és bizalmas adatok kerülnek kezelésre, tárolásra; az illetéktelen hozzáférések miatt jelentős veszteségek, jogi következmények merülhetnek fel. Szoftvertermékek minőségi követelményei 1991-ben jelent meg az első verziója, majd folyamatos változáson ment keresztül, míg elérte a jelenleg érvényes állapotát az ISO/IEC 9126 szabvány, amely 4 részből áll, és részletesen megfogalmazza a vizsgálandó jellemzőket. Meghatározza a szoftvertermékek esetében alkalmazandó minőségi modellt (a belső és külső minőséget, illetve a használat közbeni minőséget). A szoftverek minőségi jellemzőinek meghatározásakor a szoftver teljes életciklusát kell figyelembe venni, amely felöleli a termék működését a használatba vételtől a továbbfejlesztéseken, változtatásokon, javításokon keresztül a szoftver használatának megszűnéséig. A szabvány lehetőséget ad arra vonatkozóan, hogy a belső és külső minőséget hat szempont alapján vizsgálják: funkcionalitás, megbízhatóság, használhatóság, hatékonyság, karbantarthatóság, hordozhatóság. A használat közbeni minőség szempontjai között megtalálhatóak: eredményesség, termelékenység, biztonság, elégedettség. A megfelelő mérési módszerek kiválasztása segíti az összetett, teljes mélységű, valamennyi részletre kiterjedő kép kialakítását a szoftverről. A különböző értékű tényezők definiálása érdekében célszerű minden érdekelt felet bevonni; külső szakértői vélemények segítenek a mérések igazolásában. Ezen lépések megtétele elengedhetetlen a megfelelő elégedettség elérése szempontjából. A megfelelő mérési módszerek kiválasztása támogatja a fejlesztési folyamatok megfelelő irányú továbbfejlesztését, így biztosítható a magas értékek elérése. Az egészségügyi informatikai rendszerek területén létező nemzetközi és hazai szabványok alkalmazásával jelentősen növelhető a minőség a szakterületekhez kapcsolódó szoftver fejlesztések területén. Mérföldkőnek számító vizsgálati eredmények – óriási előrelépés a világszerte vezető halálokként számon tartott szív- és érrendszeri betegségek ellen folytatott harcban Az Amerikai Kardiológus Társaság éves kongresszusán nyilvánosságra hozott ONTARGET vizsgálat eredményei új perspektívát nyitottak meg a magas vérnyomás következtében kialakuló kardiovaszkuláris szövődmények – például agyér trombózis vagy szívroham – kezelésében. A nemzetközi jelentőségű vizsgálat keretében 5 éven keresztül több mint 25 000 – köztük több száz magyar – beteg megfigyelése zajlott. Az eredmények alátámasztották, hogy a tanulmányozott terápia nemcsak jobban tolerálható a betegek számára, de megelőzheti minden ötödik szív- és érrendszeri esemény bekövetkezését. Mi az az ONTARGET vizsgálati program? Az ONTARGET a legnagyobb randomizált klinikai vizsgálat, amely egy angiotenzin II receptor blokkoló (ARB) szívés érrendszeri védőhatását kutatta. Az angiotenzin II egy hatékony érszűkítő anyag, amely emeli a vérnyomást és számos olyan érfali folyamatban vesz részt, amelyek a kardiovaszkuláris szövődmények kialakulásának kockázatát fokozzák. Ennek a receptornak a hatásait blokkolja a program keretében tanulmányozott hatóanyag. A vizsgálatban 25 620 magas kardiovaszkuláris rizikójú, nem magas vérnyomásos, illetve kontrollált magas vérnyomásos beteg megfigyelése zajlott 5 éven keresztül. A vizsgálat mintegy 40 ország – köztük Magyarország – 700 vizsgálati centrumában folyt. A hazai vizsgálatot, amelyben országszerte 20 centrumban kezelt 600 beteg vett részt, az Országos Kardiológiai Intézet professzora, Dr. Keltai Mátyás vezette. A befejezését követően több mint 100 000 betegév adatai kerültek feldolgozásra. A program keretében összegyűlt kiemelkedően nagyszámú adat olyan kérdéseket válaszol meg, amelyekre addig még nem volt tudományos bizonyíték. TÉ IME VII. ÉVFOLYAM 4. SZÁM 2008. MÁJUS 49