ISACA Journal | 实现EHR与IoT设备互操作的挑战、安全与治理之路
在世界各地部署各种国家电子健康记录(EHR)的背景下,全球数字健康领域的数据互操作性带来的挑战和风险本应是可以避免的。国际上有一些标准和架构原则可以帮助最小化这一风险和挑战。但是无论是出于无知还是选择,许多国家仍然因为不应用这些原则而付出了沉重代价,导致昂贵的EHR部署和互操作性失败。
尽管超过50%的EHR部署失败了,但更糟糕的是,在2007年至2018年期间,EHR部署不当导致在美国发生了18,000起与EHR相关的患者安全问题,这一统计数字每年都在增长,可能“被严重低估”。其中最严重的错误类型是病史不准确,这是意识到其EHR数据存在错误的美国患者中21%的人所确认的。高质量的医疗保健关乎重大;这些统计数字应该引起患者、医疗保健提供者和数据从业者们的关注。
在EHR部署中应采用基于标准和架构的方法,以最小化数字健康互操作性风险,减少对患者的负面健康影响。
EHR和互操作性
EHR系统的目标是为每个患者提供单一、完整的健康记录和病史。这依赖于数据互操作性,通常通过健康信息交换(HIE)来促进,它提供了跨越EHR中不同卫生系统查看患者医疗历史的集成视图,使医疗服务提供者能够做出更准确的诊断并提供个性化护理。
图1展示了一个健康从业者通过HIE访问患者的皮肤科记录的EHR示例。许多系统(例如,心脏病学家的系统)以这种方式连接到HIE。HIE可以采取多种形式:它们可以是集中式、联合式、混合式、私有或分散式的。图1是集中式HIE架构的一个示例。
数据互操作性对有效的国家医疗保健至关重要,因为它至少促进了六个医疗保健优势:
-
以患者为中心的护理——在不同的医疗保健系统之间实现健康信息的无缝交换,以便患者能够从协调和知情的医疗保健决策中受益。
-
护理的连续性——适用于接受多个医疗保健提供者治疗的患者(如初级保健医生、专科医生、医院或家庭护理机构)。
-
数据准确性和质量——从参考数据和主数据的角度来看
-
运营效率——由于减少了错误和重复
-
研究和公共卫生活动——通过聚合数据源的方式
-
患者参与——使患者能够访问并与自己的健康数据互动,以主动管理他们的健康需求
有效的数据互操作性依赖于基于各种技术、组织和政策考虑的方法。组织必须采用标准化的数据格式、协议和术语,以确保健康信息能够在不同系统之间无缝交换。应建立数据治理实践,以通过数据质量和数据整合的政策和程序,包括数据角色和责任的定义,来实现数据的有效管理。实际上,EHR中断被归咎于缺乏标准和运营流程,就像2009年加拿大安大略省10亿加币的健康丑闻那样。
利益相关者、标准和体系结构
利益相关者、标准和体系结构在实现互操作性方面的作用值得考虑。
利益相关者
数据互操作性面临的一个主要挑战是所涉及的利益相关者数量。典型的利益相关者包括患者、IT供应商、医疗保健提供者、支付方(保险公司)、监管机构、医疗保健组织、公共卫生机构、信息交换、研究机构、标准开发组织、质量和认证机构、制药公司、隐私和安全专家,甚至患者权益团体。协调这些利益相关者可能需要相当大的管理努力。
运营标准
接下来的挑战是让利益相关者同意按照一套全球标准运作,以确保国家和国际卫生运营的一致性。国际一致性对于跨境管理全球事件(如COVID-19大流行)至关重要。
有多种标准和框架可用于支持EHR部署、数据互操作性和相关活动,其中包括:
-
COBIT信息及相关技术控制目标(Control Objectives for Information and Related Technology)
-
国际数据管理协会(DAMA)数据管理知识体系(DMBOK)
-
ITIL信息技术基础架构库
-
国际标准化组织(ISO)/技术委员会215健康信息学
-
ISO 8000数据质量
-
ISO/国际电工委员会(IEC)8183信息技术-人工智能-数据生命周期框架
-
ISO 9000质量管理体系
-
ISO 9241人机系统工效学
-
ISO 13606健康信息学-电子健康记录通信
-
ISO 14971医疗设备-医疗设备风险管理的应用
-
ISO 20000信息技术-服务管理
-
ISO 22301安全与连续性-业务连续性管理系统
-
ISO/IEC 27001信息安全管理系统
-
ISO/IEC 27017云服务安全
-
ISO 31000风险管理标准
-
ISO/IEC 38500信息技术-组织IT治理
-
美国国家标准与技术研究院(NIST)网络安全框架
-
TOGAF开放群组架构框架
这些框架和标准共同促进了EHR和数据整合的战略规划、企业架构、标准化、互操作性、IT治理、变更管理、数据管理、整合、安全、隐私、合规性和供应商管理。
参考数据标准
为促进健康信息的无缝交换并鼓励采纳医疗技术的最佳实践,多个组织和机构制定并维护了一系列参考数据标准。参考数据本质上是数据生态系统中的一组查找代码。例如,500毫克环丙沙星24小时缓释片的RxNorm代码是RX10359383。
健康参考数据标准示例如下:
-
RxNorm:RxNorm描述了临床药物的规范化名称。
-
健康等级七(HL7):HL7是一套广泛认可的标准,支持电子健康信息的交换、整合、共享和检索。
-
临床文档架构(CDA):CDA是一种HL7标准,概述了临床文档(如出院摘要和进度记录)的结构和语义,CDA用于在EHR中共享结构化临床信息。
-
综合临床文档架构(CCDA):CDA的扩展,CCDA规定了一组共同的临床文档类型,以增强EHR系统之间的互操作性。
-
快速医疗互操作性资源(FHIR):FHIR是用于医疗保健信息电子互换的现代HL7标准,FHIR的设计旨在轻量级且易于实现,使其成为现代医疗保健应用的理想选择。
-
医学数字成像和通信(DICOM):DICOM是用于医学图像和相关信息的管理、存储和交换标准,DICOM常应用于放射学和医学成像应用。
-
国际疾病分类(ICD):ICD是疾病和健康状况分类的全球标准,对诊断和医疗保健就诊原因的编码至关重要。
-
逻辑观察标识符名称和代码(LOINC):LOINC是一种用于识别实验室和临床观察(如血液测试和生命体征)的标准,可确保数据交换的一致性和准确性。
-
跨企业文档共享(XDS):作为整合医疗保健企业(IHE)框架内的一个配置文件,XDS定义了跨医疗保健企业(包括医院和诊所)共享临床文档的标准。
主数据解析流程
患者、医疗服务提供者、医疗保险公司和医疗保健机构都是主数据实体的例子。在数字健康生态系统内的各种系统中为相同患者存储不同数据的问题描述了患者数据的实体解析类别数据问题。实体解析是数字健康的关键部分,可以通过各种活动帮助解决它(见图2)。
记录链接(或数据匹配)流程用于识别和合并在不同系统中具有代表同一患者评估概率的患者记录。虽然没有实体解析的标准,但高精度实体解析流程的主要元素是:
-
数据匹配算法 - 除了原始文本映射外,还可以使用诸如Jaccard相似度、Levenshtein距离或Soundex等算法。
-
特征选择 - 确定数据质量、唯一性和区分能力的最佳组合是识别匹配特征的关键。
-
封锁和集群 - 必须确定封锁或集群的标准。
-
可扩展性 - 通过考虑并行处理和分布式计算,可以管理实体解析流程的规模,以有效处理大型数据集。
-
阈值和决策规则 - 必须指定阈值和决策规则,以确定何时应将两个记录视为匹配项。
-
概率匹配 - 应纳入提供两个记录代表同一实体可能性度量的概率匹配技术。
-
处理缺失或不完整数据 - 必须定义处理缺失或不完整数据的方法,例如插补或使用置信度分数。
-
置信度和不确定性 - 必须分配置信度分数以匹配决策,量化与每个匹配相关的不确定性。
-
数据隐私和安全 - 实体解析流程应遵守相关的数据保护法律和法规。
-
评估指标 - 应指定评估指标,如精确度和召回率,以评估误报和漏报的发生率以及实体解析方法的整体性能。
患者实体解析的一种方法是通过主患者索引(MPI)在健康信息交换(HIE)来执行这些元素,这是自20世纪50年代以来一直存在的活动。国家HIE的好处在于,这种方法可以服务于国家健康利益,而不仅仅是区域性甚至是机构层面的利益。像MPI这样的工具对于有效的健康分析至关重要。
数据质量是实体解析的关键成功因素。如果实体数据不干净,则无法执行高质量的匹配。换句话说,成功的实体解析依赖于良好的数据质量。
企业架构和数据架构
正如TOGAF和Zachman等框架所反映的那样,企业架构起源于20世纪60年代,并于80年代成熟。数据架构——根植于Edgar Codd(1970年)和Peter Chen(1976年)的工作——需要消除至少两个假设:
-
每个计算机程序应该与其他程序隔离 - 消除这种范式是可取的,因为它导致了数据的重复。Codd的贡献是将数据的布局与其存储分离。
-
输入和输出是相等的 - 消除这种范式是可取的,因为它导致了数据创建活动被视为需要与数据消费相同的努力和技能,而实际上它们可能大不相同。Chen的贡献强调了数据创建者和数据消费者之间的区别。
数据架构化方法的核心工具已有至少40年的历史。然而,数据互操作性仍然是当今数字健康战略的首要目标之一,也是医疗保健领域一个主要问题(想想当患者更换医生或转诊时,医生之间的纸质文件的物理移动)。良好的数据实践似乎还没有成为医疗保健领域的主流。在美国,“高达75%的医疗通信是通过传真机完成的。……传真机之所以保持至高无上的地位,是因为迄今为止尝试的互操作性还没有达到传真所提供的普遍采用程度。”
互操作性的一个重要特征是医疗保健环境中的系统能够相互通信。TOGAF提供了一个在选择技术时必须发挥作用的架构原则的例子——第21原则:互操作性。该原则的声明是,“软件和硬件应符合促进数据、应用程序和技术互操作性的定义标准”,该声明的基本原理是,“互操作性标准还有助于确保多个供应商对其产品的支持,并促进供应链整合。”这对医疗生态系统中的IT平台的选择具有影响,这是一个可能会被忽视的关键活动,特别是在捐赠者资助的医疗保健场景中,一次只资助一个系统,从而延续了孤立系统开发的模式。
数据生命周期
如今,数据架构关注的是支持数据生命周期的基础设施。数据生命周期管理构成了ISACA数据隐私安全专家(CDPSE)®认证的第3领域,旨在确保隐私活动通过设计融入数据生命周期的每个阶段。数据生命周期的阶段包括:(见图3)
-
数据创建(不仅是数据捕获,还包括一般的数据来源)
-
数据存储
-
数据使用
-
数据传输
-
数据共享
-
数据销毁(或归档)
数据生命周期管理是一个重要范例,因为它确保根据不同阶段的数据管理和数据治理要求来管理数据,以支持组织的基于数据的决策制定和风险缓解实践。
当EHR和物联网设备使用不同的语言时
物联网(IoT)设备在医疗保健中扮演着重要角色,例如为那些无法旅行或旅行困难的患者提供远程监控和护理。有效的远程监控的需要一个安全的架构,使IoT设备的数据能够与EHR数据集成,以进行监控和分析。
EHR和IoT设备不仅在其结构和格式不同时,而且在其元数据不同时,都无法使用相同语言。即使具有相同结构、格式和命名约定的字段,其含义也可能不同。这种区别甚至常常被最善意的数据团队忽略。参考数据标准和主数据流程在很大程度上解决了相同语言问题,但在统一这些语言的努力中,高质量元数据的重要性怎么强调也不为过。
EHR中隐私和安全的悲剧
讨论互操作性时,不能不提到集成的主数据和事务数据的隐私和安全影响。尽管全球EHR的采用受到隐私和安全问题的制约(以及互操作性、成本、培训和变更管理问题的限制),但马来西亚的公立医院却发现了相反的情况:良好的隐私和安全实践对EHR的采用率具有积极影响。换句话说,明显良好的隐私和安全有可能对EHR的采用产生积极影响,甚至可能加速其采用。
患者隐私风险的出现是因为不当的数据访问、松懈的安全实践,以及未能审计对EHR的访问。鉴于EHR中可用的大量敏感数据,包括遗传信息、测试结果,甚至手术数据,对安全和隐私的关注应该是首当其冲的。为了促进网络安全实践,像ISO/IEC 27000这样的标准已经出台了几十年(从2000年的ISO/IEC17799开始)。此外,国家政府网站(例如,加拿大政府)经常提供免费和高质量的网络安全和勒索软件指南。
然而,加拿大安大略省的五家医院及其共享的IT供应商最近成为了勒索软件攻击的受害者,医院运营信息以及患者、员工和专业人员的数据岌岌可危。该攻击是安大略省医院最近遭受的多起安全攻击之一。虽然目前尚不清楚发生了什么,但有迹象表明涉及共享IT供应商,这再次呼吁对IT供应商进行网络尽职调查,是良好网络安全实践的基本要素。
悲剧所在
希望医疗机构能认真对待网络安全,通过资金、技能和系统方面的适当分配来保护患者数据。然而,患者总是能够感受到网络安全资源分配不佳的悲剧,尽管受损害组织的领导层在事件后新闻发布会上可能会发表任何陈词滥调,他们经常不得不自己解决由此产生的问题。
供应商锁定的风险
当医疗保健提供者或组织依赖供应商来访问系统数据时,就会发生EHR中的供应商锁定。供应商锁定对数据互操作性构成重大风险,因为它限制了与其他医疗保健提供者和系统共享和交换患者信息的能力。
EHR系统供应商锁定的风险必须通过进行全面的供应商评估并在签署合同之前详细了解合同来确定。从一开始就必须采用开放标准和互操作性,以实现灵活操作和改善患者护理。
Data Governance: In the Eye of the Beholder 数据治理:仁者见仁智者见智
The term data governance has been more readily used throughout the last five to eight years than in the preceding 20 years. The challenge with the term is that many still confuse data governance with data management.21
在过去五到八年中,“数据治理”一词的使用频率远高于此前二十年。挑战在于,许多人仍然将数据治理与数据管理混淆。
简而言之,数据治理涉及监督与组织数据目标背景下数据角色相一致的的数据管理活动(例如,隐私、安全、数据质量、元数据、主数据),并根据定义的政策、流程、角色和责任进行。图4展示了应受数据治理约束的数据管理活动。
数据治理活动应针对数据生命周期的每个阶段,以确保关键和敏感数据的隐私、安全、质量和合规性。
虽然数据治理至少在两个方面(在图5中语义上和结构上,并反映在图4中)适用于互操作性,但互操作性还需要IT治理和企业治理(在图5中基础性和组织性)才能发挥最大效果。
基础互操作性涉及系统能够相互通信的要求——这是一个关键的IT架构原则。基础互操作性是数据互操作性的关键成功因素,因此IT治理必须确保在健康生态系统中创建IT架构原则并遵守这些原则。此外,企业治理涵盖了除公司治理外的所有级别的组织治理,确保政策和法律的一致性,以实现有效的互操作性。政策对话可能会扩展到省级或国家级。
未来展望
边缘计算、人工智能、区块链和物联网(例如,可穿戴设备)等数字健康趋势是由尚未充分解决的互操作性额外紧迫模式所支持的:
-
关于隐私和安全在促进医疗保健提供者采用方面的作用,2021年的一项研究发现,如果受访者对提供者的隐私和安全更有信心,他们使用数字健康技术的可能性将增加30%。隐私和安全是日益增长的担忧。
-
如图1所示,使用应用程序编程接口(API)使数据交换变得更简单。
-
云继续提供可扩展性和灵活性的好处。此外,主要的云供应商正在提供越来越多的工具,以促进数据处理和分析。
-
鉴于预计各种类型的健康数据将变得可用并可被越来越多的医疗保健参与者访问,数据治理对于确保患者数据的隐私和安全至关重要。
-
尽管目前的重点是互操作性的机制,但越来越多的人正在努力确定如何处理和优化数据,这表明需要由政策、资源、教育和技术解决方案组成的互操作性治理。
尽管这些趋势中的每一个都对数字健康和互操作性有益,但它们都有运营和风险考虑。一个运营考虑是,如果互操作性治理不存在,就建立一个数据治理组织结构。一个风险是,一些云迁移可能会使组织严重依赖其云服务提供商,鉴于不同服务级别的云平台之间缺乏可移植性和互操作性,这增加了供应商锁定的可能性。另一个风险来自API。组织的安全管理模型必须现代化,以防止基于API的安全风险的具体化(例如,减轻API安全风险因素的OWASP列表)。
数字信任的话题尚未进入舞台,因为健康数据共享“只能以信任的速度前进,而现在进展缓慢”。数据泄露等事件几乎不会增加对数字健康的信任。建立和维护数字健康的信任需要强健的网络安全措施,严格遵守数据隐私法规(不仅在法律上,而且在道德上),并不断努力教育患者和医疗保健提供者负责任和安全地使用数字健康技术。
在信任方面存在一些担忧,因为医院——曾经是最值得信赖的机构——的信任度从2019年的89%下降到2020年的83%。这仍然远高于2020年仅为38%的政府信任度,但这种下降趋势对消费者采用数字健康技术产生了负面影响。
走向成功的互操作性
在电子健康记录(EHR)和数字健康的背景下,存在几个主要的互操作性挑战。成功的一个显著驱动因素是利用全球架构框架和标准的巨大影响力。这些框架和标准本身有助于应对互操作性挑战,如知识缺乏、数据不一致和重复、系统和服务管理、大量数据管理以及人为错误,从而减少严重和可能危及生命的行为,并确保在良好的数据治理下可持续的减少。这既适用于人工捕获数据的集成,也适用于机器(物联网IoT)捕获的数据。
关于医疗保健专业人员和患者采用EHR和数字健康技术的挑战,一个适当的、有资源支持的计划来解决隐私合规(和数据伦理)以及数据安全问题是提高两类参与者采用率的关键,这也正是追求数据互操作性的原因。隐私和安全也是信任的关键。由于一些供应商的运营性质可能会阻碍完全互操作性的实现,因此单个患者拥有单一健康记录的梦想目前是不可能实现的。因此,应谨慎地进行供应商尽职调查。
数据治理是将所有这些整合在一起的粘合剂,如果以透明的方式执行,则有助于增强信任。虽然数据治理涉及旨在实现有效的健康数据互操作性的结构、政策和流程,但治理活动在整个健康数据生命周期中分布不均。仅对数据生命周期的一部分进行良好治理几乎与完全没有治理一样糟糕。从无人治理的裂缝中渗透出来的风险可能导致国家悲剧的发生。
总体而言,我们的目标是确保最大限度地减少或完全消除负面的数字健康结果(如与EHR相关的患者安全问题)。
作者:GUY PEARCE,拥有计算机科学和商业学术背景,曾在战略领导、IT治理和企业治理方面担任职务。
翻译:吴梦庭(TIFFANY WU),ISACA微信公众号特邀通讯员
校对:唐雅琪(ANDREA TANG),FIP, CIPP/E, CIPM,ISO 27001 LA,ISACA微信公众号特邀通讯员小组组长