当谈到帮助医疗单位遵守保护病人病历的安全性和保密性法规时,软件可能正是所需的医生。
最有名、最苛刻的要求是,健康保险携带和责任法案(HIPAA),其中要求医疗机构实施最小特权原则。
从理论上讲,这个原则很简单:要尽可能多的限制访问PHI,同时还要保证功能的正常运转。但是,这个方法在复杂的医疗体系IT系统中很难实施,最大的变数就是在这个领域工作的人们。
流程管理软件和医疗保健:非常匹配
医疗机构的信息处理流程非常适合流程管理软件方法,尤其是实现和维护HIPAA遵从。"要如何收集病人的信息,把它放入系统中,就会影响其他用户使用这个信息。用户使用这些信息,会在遵从和效率问题上产生什么样的影响呢?"医疗保健协会资深研究员,MIT Solan管理学院高级讲师,Steven J. Spear说。
医疗IT系统可以通过技术访问控制来支持HIPAA遵从,但是,他们仍然会对PHI隐私构成威胁。"设计一个复杂的系统意味着,可能会忽略一些事情,不经意间产生一会漏洞,"Spear说,它最近出版了《高速度优势:市场领导者如何利用卓越的经营击败竞争对手》(麦格劳-希尔教育出版集团, 2010)一书。"动态的,即使最完美的时刻,变化也会出现的非常快,系统随着时间的推移也会出现瑕疵,"他继续说。"尽管它具有复杂性和动态性,但是你要如何管理系统,才能确保病人的隐私不被侵犯?"
系统可以通过开发的方式限制复杂性,Spear说。增加功能,而不是平坦式的设计,额外的开发可以划分,以便能分开,但是要明白他们是如何关联的。
即使简单的系统,也会有不断变化的需求,在某些时候,它不会按预期运行。"那些复杂的系统非常成功,不仅仅是经过非常仔细的设计,还要看它是否与期待的相反,"Spear说。"要尽快看,以便他们能理解问题并执行。"
系统异常行为意味着有一些脆弱,如果长时间忽略它,那么该漏洞会成为一个严重的问题。当然,这对任何IT系统来说,都是真实的,但是,在医疗机构的风险会被放大,IT通常不是普通用户工作的核心。"医疗机构(以信息流程为主)比工作的处罚少,流程信息就是他们创造的价值,"Spear说。
明确的沟通是关键
医疗机构最重要的是,确定系统内部信息是如何处理的 — 也就是说,它是如何传播、存储等,和用户明确的沟通系统应该如何运作。尤其是医疗机构,对系统异常行为的容忍度很低。他们应该在系统无法运行时,为用户提供一种快速报告问题的方式。Spear称它为"预防业务流程",并补充说:"对很多小事都要做出响应,给IT人员增加了很多压力,但是,会这些小事做出响应,会辟免一些大的错误。如果你不处理这些问题,就会因为这些差错而告终。"
此外,他还说,每一个系统都要指定一个雇员作为"主人";这样,人们就可以帮忙报告出现的异常和问题。
同样重要的是,当流程没有做任何事情,以帮助实现HIPAA遵从或者满足其他重要的目标时,需要识别一些系统敏感的异常行为。
"医疗机构需要有查看进程、识别不可预料的变数、灵活地对进程进行改变的能力,"Christine Leyden说,他是保健认证的主要评审官,教育机构的URAC(以前称为"利用审查认证委员会",现在用各单词的首字母作为简称)。由于各种人群的参与,会带来很多的变数: 居民的医疗保健人员、患者和家属,需要访问PHI的其他医疗机构的代表。
"最大的挑战是想超越提供护理的内壁,思考信息要如何发布的社会上,"Leyden说。信息处理的所有关键利益相关者都应该明白信息共享的指导方针,使他们能更好的做出明智的决定。Leyden反复说,他们需要灵活性,授权确定他们是否需要对流程进行更改。
反馈产生差别
认识到只做出改变是不够的。反馈系统必须符合用户正常的工作流。Spear回想起一个医疗机构的例子,让工作人员记录,可能会妨碍病人的安全。例如,如果在平时,护士就很难找到药,那么在繁忙的时候,非常着急用药时,更是难上加难。然而,流程要报告这个问题只需要10~15分钟。"让护士花十分钟记录病人的不便之处"。
Steve Krueger是MAK和Associates的创始人,这是一家质量和法规的咨询机构,就雇员反馈渠道的需要达成一致。变更管理工具和测量可以帮助医疗健康机构确定,流程执行时发生了什么事情,实际预期目标是否实现了。 "成功的公司会有一个合适的程序,不仅能满足[HIPAA]需求,还能改善流程。"
信息发布:广州名易软件有限公司 http://www.myidp.net
|