您所在的位置:首页 > i医疗 > 专家观察 >  《互联网医院管理办法》技术解读与思考
《互联网医院管理办法》技术解读与思考
  • 2020-05-14 14:25
  • 作者:张春芳 黄江平 孟晓
  • 来源:中国软件评测中心

随着人民群众多层次、多元化的医疗健康需求变化,中央出台了一系列促进互联网医疗发展的文件以深化供给侧医改,提高人民健康水平。由此,互联网医院建设迎来了新的发展高潮。本文将基于《互联网医院管理办法(试行)》,对互联网医院建设应实现的技术要点从七个方面进行解读研究,并给出相应的建议,助力互联网医院建设落地。

1

政策引导让互联网医院开启“加速跑”

自2014年开始,在我国多个地区相继对互联网医院进行了探索,但由于受到政策、医疗体制、技术、患者接受程度等因素的影响,互联网医院并没有进入快速发展阶段。经由实验试点期、严厉监管期之后,2018年国务院连续发布了促进互联网医疗发展的一系列文件,倡导公共服务的均等化、普惠化、便捷化,让百姓少跑腿、数据多跑路,让群众能在家门口享受优质医疗服务。为贯彻落实党中央、国务院有关要求,国家卫生健康委于2018年7月研究制定了《互联网诊疗管理办法(试行)》《互联网医院管理办法(试行)》和《远程医疗服务管理规范(试行)》。至此,互联网医院迎来了新的发展机遇。

同时,随着时代和技术的进步,社会对互联网医院也有了新的需求,同时医院本身也在寻求新的业务发展模式。科技的进步尤其是云计算、5G、人工智能的应用,给互联网医院的发展带来了“天时、地利、人和”的局面。尤其是2020年新冠肺炎疫情的出现,进一步催化互联网医院迎来了新的发展高潮。

2

互联网医院的七个技术要求

基于《互联网医院管理办法(试行)》(以下简称《办法》)及其附录《互联网医院基本标准(试行)》(以下简称《标准》),本文将互联网医院应实现的技术要求概括为七个方面:功能性要求、合规性要求、互联互通要求、数据安全要求、业务连续性要求、服务可追溯性要求、规章制度要求。

另外,《互联网诊疗管理办法(试行)》中规定的互联网诊疗是针对医院内部诊疗模式的定义,而互联网医院是互联网诊疗的进一步延伸,是独立的医疗机构,因此互联网诊疗的信息系统同样也可参考本文建议进行建设。

2.1 功能要求解读

《办法》和《标准》对互联网医院信息系统应具备的功能进行了指导性要求,如规定要实现远程会诊、远程门诊、远程病理诊断、远程医学影像诊断和远程心电诊断等功能。各医院的建设可根据实际需求进行个性化配置,但至少应合理配置医生端和患者端功能模块,以支持基本诊疗流程,包括但不限于以下功能要求:

1)患者实名认证:患者注册时应对患者进行实名认证,便于确认患者真实身份,核实其就诊记录,判断是否属于可服务对象;

2)就诊资源查询:应支持患者对自身可就诊的科室、时间、医生等资源进行查询,以确认可享受的服务范围;

3)支持预约/挂号:应支持患者根据自身病情预约/挂号就诊的医生和科室,预约/挂号时应支持患者既往病史、病历等信息输入,操作成功后宜进行适当提示,如微信、短信等;

4)病历资料开放:应支持患者在线查询其历史检查检验结果和资料、诊断治疗方案和建议、处方和医嘱等信息;

5)在线支付:应支持患者线上支付其就诊期间产生的费用,如挂号费、处方费等;

6)药品配送:应提供药品配送管理流程,支持患者在线选择药品配送方式;

7)病历档案调阅:应支持医生通过一定的方式调阅就诊患者的电子病历和健康档案,比如可以通过《医院/区域卫生信息互联互通标准化成熟度测评》中要求的共享文档和交互服务的方式;

8)在线诊疗:应支持医生和患者通过即时通讯(图文、音视频)的方式开展在线诊疗活动;

9)建立电子病历:应支持在就诊过程中生成符合电子病历基本规范等要求的患者电子病历,包括处方、医嘱、诊疗方案等;

10)远程诊断:应支持病理、医学影像、心电的远程诊断,将诊断结果告知患者和申请医师;

11)其他:比如可增加财务对账、数据统计、药品管理、订单管理等辅助诊疗过程顺利进行的功能模块,使系统使用更流畅;增加家庭医生签约等功能,使系统功能更丰富。

2.2 合规性要求解读

《办法》中对互联网医院信息系统的合规性要求可总结为以下六个方面:

1)诊疗疾病种类限定:依据《办法》第十九条、第二十条,应对在线诊疗疾病类型进行限定,只能对互联网医院已申报的常见病和慢性病进行诊疗;如果在实体医疗机构就诊时,需通过互联网医院进行会诊,会诊医师可不受此限制;

2)复诊范围限定:依据《办法》第十九条,应在患者预约/挂号时进行限制,只能为复诊患者进行诊疗,应提供相应的确认手段明确复诊患者的范围,可通过调阅患者的电子病历和健康档案的方式确认患者的既往诊断情况。诊疗结束后应将互联网诊疗记录归档到患者的电子病历中。

3)开具药品种类限定:依据《办法》第二十条,应对开具药品进行限制,不得开具麻醉药品、精神类药品以及用药风险较高的药品处方,应提供药品类别识别及禁止开具这类药品的功能,可通过后台配置白名单等方式实现;

4)儿童就诊限定:依据《办法》第二十条,应对低龄儿童(6岁以下)患者进行约束,只有在确认患儿有监护人和专业医师陪伴的情况下才能开具儿童用药处方,如提供该服务,则应提供相应的确认机制,如上传监护人身份证、患儿户口本信息等;

5)患者知情同意:依据《办法》第十八条,应提供患者知情同意机制,通过明显的方式对患者进行风险提示,如弹出对话框等方式,患者同意后才能进行后续诊疗活动,且限制再次确认风险内容点击次数不能多于4次等,这也和中央网信办关于APP违法违规收集使用个人信息专项治理的要求相一致。

6)处方审核机制:根据《标准》中“人员”章节第三条,处方应由专职药师进行审核,比如可根据药品的危险级别设置审方规则。

2.3 互联互通要求解读

《办法》中对互联网医院信息系统与各方互联互通的要求可以总结为五个方面:

1)与上级监管平台互联互通:依据《办法》第六条、第三十条,上级监管平台应对管辖范围内互联网医院运行情况进行监控,因此,互联网医院信息系统应提供满足监管平台数据规范的数据,并具备传递这些数据的接口,以供上级监管平台对医务工作者、电子处方、在线支付情况、诊疗情况、患者就诊数量、患者隐私保护和信息安全等信息进行监控;

2)不良事件上报:依据《办法》第二十二条,互联网医院信息系统应具备医疗服务不良事件和药品不良事件的上报接口;

3)与其他医疗机构的互联互通:依据《办法》第二十六条,有医联体或实现区域内互通的,可按照《区域卫生信息互联互通标准化成熟度测评》中要求的共享文档和交互服务的方式实现患者信息的互通和共享;

4)与实体医院系统的互联互通:依据《标准》的“房屋和设备设施”章节的第四条,应实现与HIS、PACS/RIS、LIS等实体医院系统互联,线上的诊断、处方、医嘱等信息应归档至患者线下的电子病历中,同时线上可以确认患者线下的电子病历记录,可通过将互联网系统接入《医院信息互联互通标准化成熟度测评》中要求的总线以实现互联;

5)与第三方平台的互联互通:依据《办法》第二十条,如果连接第三方服务,比如处方外配、第三方检验、第三方体检等,也应制定数据传输标准并提供与相应系统的数据传输接口。

2.4 数据安全要求解读

互联网医院将诊疗活动延伸至互联网端,而互联网是一个开放的环境,因此数据安全工作尤其重要。《办法》第十五条和《标准》“房屋和设备设施”章节的第六条都明确规定互联网医院信息系统应通过第三级信息安全等级保护测评,应注意测评对象需涵盖互联网医院所有相关信息系统,且应按规定每年定时完成复测。在此基础上,《办法》中还特别强调了数据安全尤其是个人信息的重要性,本文认为应从数据全生命周期的六个阶段落实数据安全策略:

1)数据采集:应仅采集患者诊疗必需的个人信息(如患者姓名、性别、年龄、病史等),与诊疗无关的个人信息应当禁止被业务系统或其组件采集,采集所得的个人信息应按照法律法规要求妥善保管和使用。这也与《网络安全法》第四十一条的要求一致;

2)数据传输:采用校验技术或密码技术保证重要数据在传输过程中的完整性,采用密码技术保证重要数据在传输过程中的保密性,加密算法的选择应考虑应用场景、传输方式、数据规模、效率要求等因素;

3)数据存储:存储医疗数据的服务器不得存放在境外;敏感数据存储时采用密码技术保证数据在存储过程中的保密性、完整性;对数据库进行定期风险扫描和实时状态监控;重要数据存储实施内外网划分;数据定期备份并提供异地备份功能等;

4)数据使用:根据访问内容重要程度不同,制定不同的身份鉴别机制,实现访问权限最小化等机制;在展示数据时,应对敏感信息尤其是个人敏感信息进行适当的脱敏处理,降低数据泄露风险;在导出数据时,应保留完整的审计记录;如测试环境需使用生产环境数据,建议对数据进行脱敏处理;

5)数据删除:数据超出显示期限或用户要求删除个人信息时,应保证数据在互联网信息系统中不可检索和访问;

6)数据销毁:移动终端不应存储敏感数据,数据使用后,要采用及时有效的销毁策略,以降低数据泄露风险;数据的存储期限超出相关法律规定时,应采用不可恢复的方式对数据介质进行销毁处理。

除以上在数据各生命周期阶段的措施,还应建立应急响应组织架构并根据重要程度、阶段制定不同级别的应急策略等,避免数据泄露影响的扩大化和严重化。

2.5 业务连续性要求解读

《办法》中对互联网信息系统业务连续性的要求可总结为以下三个方面:

1)基础设施保障:依据《标准》中的“房屋和设备设施”章节,应从备用链路、系统以及供电等方面对基础设施进行强化,如下:

第一类是保障处理系统的可用性:承载互联网医院运行的服务器和音视频系统应不少于2套,数据库服务器和应用服务器要相互独立等。可以通过系统和设备的冗余来实现,比如服务器可以采用热备份、负载均衡、集群等部署模式进行冗余。

第二类是保障网络的可用性:要保证充足的带宽,不低于10Mbps;应保证网络供应商至少为2家或以上;可以采用互联网专线、VPN等措施保证网络的可用性和安全性。

第三类是保障供电的不间断性:互联网医院的机房应当具备双路供电或紧急发电设施(如柴油发电机),至少应具备UPS短期备用电源,避免当一路电源发生故障时对诊疗活动造成中断影响,从而保障系统的稳定性和不间断性。

 2)人员保障:依据《标准》中的“人员”章节第二条,应安排专人对信息系统进行维护,提供安全可用的信息系统,实现集中管控,包括对各类设备运行状况进行集中监测,对各类审计数据进行汇总和集中分析,对安全策略、恶意代码、补丁升级等进行集中管理,对各类安全事件进行识别报警和分析等措施;

3)规章制度保障:依据《标准》中的“规章制度”章节,应进行及时有效的运维管理,建立全面的运维管理制度,并实施定期安全巡检,及时对发现的问题进行整改。

2.6 服务可追溯性要求解读

《办法》中要求互联网医院应实现服务全程可追溯,具体可以总结为以下两个方面:

1)审计日志:依据《标准》中的“房屋和设备设施”章节第四条,互联网信息系统应配备审计服务器,能够对所有操作进行全程留痕,日志保存期限须符合《网络安全法》的要求,不少于6个月,有条件的医院可以保留音视频录像材料以供回溯;

2)电子签名:依据《办法》中的第十六条、第二十条,应支持在线诊断、处方对医院人员进行电子签名认证,可通过CA证书方式实现,从而保障医疗行为的可追溯性。

2.7 规章制度要求解读

《标准》中的“规章制度”章节对互联网医院应建立的制度进行了较为详细的规定,可总结为以下三类制度:

第一类是运营管理相关的制度:应包括互联网医院的组织架构、职责,医务人员的注册管理、与第三方的如药品、检查检验的合作制度等方面。重点注意要严格把控医务人员资质审核等;

第二类是诊疗行为相关的制度:应包括医务人员的工作制度、电子处方管理、医疗质量管理、远程医疗服务规范等方面。重点注意规范医务人员在线权限和医疗尺度,并制定良好的绩效考核制度调动其积极性。

第三类是支撑管理相关的制度:包括互联网医院的IT系统运维、数据安全管理、投诉处理、热线服务、培训考核等方面。在线诊疗是互联网医院的特点,制度要以维护其稳定性为目标,尤其要注意完善各类突发事件的应急预案。

规章制度应保持持续的迭代式构建过程,为互联网医院构建与运营保驾护航。

3

互联网医院发展的思考和建议

3.1对把控互联网医院建设情况符标性的建议

互联网医院管理办法对互联网医院建设和准入进行了较为全面的要求,机构向监管单位申请时,应在可行性报告中对以上内容进行体现,但如何对这些内容进行核实和确认,对监管部门来说也是比较大的压力和挑战。

因此,建议引入第三方专业力量参与“事前把关”和“事中规范”,全面评估互联网医院的合规性和有效性。

在审批阶段(事前),为了保证互联网医院准入确认的严谨性和准确性,可以引入第三方检测的方式,对申请机构是否满足《办法》和《标准》的要求进行确认,通过检测的报告可以作为申请互联网医院牌照的材料之一。目前上海已经采用这种方式进行推进,且已有二十余家互联网医院通过了测评。

在运营阶段(事中),由于管理规范的更新完善,以及业务系统的更改等因素,可以制定定期检测机制对互联网医院进行规范性检测,并由第三方检测机构出具检测报告,比如在金融行业就有周期性的非金检测。

3.2关于《办法》中待实践完善事项的思考

互联网医院发展形势是良好的,互联网医疗也将会成为传统医疗的有效补充,线上线下相结合的方式也是未来医疗行业的发展趋势,但是目前处于观望和迷茫状态的医院和相关机构还比较多,而且互联网医院的《办法》和《标准》中还存在一些不够完善的地方,比如:

1)《办法》中的第十七条,有第三方机构参与时,未明确第三方机构对数据的处理权限、是否允许其存储医疗数据等;

2)《办法》中的第十八条,要求患者知情同意,但没有明确规定具体的应用场景;

3)《办法》中的第二十六条,要求实现数据资源共享,但未明确具体需共享哪些内容的数据信息等。

互联网医院的管理办法还需要经过应用实践解决目前遇到的矛盾和问题,建议出台与其配套的细则要求,将表述进一步清晰化。业界人士齐心努力,平衡医疗资源,解决互联网医疗服务的公平性、普及性以及商业的可持续性,让互联网医院进一步落地、可行、发展。

转载请注明出处:HC3i数字医疗
【责任编辑:xiasz TEL:(010)68476606】

标签:互联网医院  技术  
  • 分享到: