Симсон гарфинкель все под контролем: Кто и как следит за тобой
Вид материала | Кодекс |
Компьютеризованные истории болезни: перспективы Компьютеризованные истории болезни: угрозы Другие угрозы Переосмысление медицинского обслуживания и медицинского страхования Маркетинг и кризис познания |
- «Милиция под контролем», 829.91kb.
- -, 190.28kb.
- Тайна героев советского союза, 171.76kb.
- Литература, 129.73kb.
- Временная технология перевозки грузов под таможенным контролем с участием железнодорожного, 106.29kb.
- Новостей тетка и Маня-большая насыпали ворох. Всяких. Кто женился, кто родился, кто, 704.75kb.
- С тех пор мы вместе с тобой всегда … … ты для меня один и я для тебя одна!, 334.62kb.
- Имеющих разрешение центральной государственной ветеринарной службы страны экспортера, 48.12kb.
- Правила игры: 1 тур отборочный. Все вы являетесь его участниками, ответ засчитывается, 59.38kb.
- Пусть будут у нас силы идти до конца по этому пути, 1115.4kb.
Мы можем лишь надеяться.
КОМПЬЮТЕРИЗОВАННЫЕ ИСТОРИИ БОЛЕЗНИ: ПЕРСПЕКТИВЫ
Здравоохранение внедряет компьютеры уже более 20 лет, но это медленный и болезненный процесс. Сегодня мы прошли лишь половину пути. Медицина достигла больших успехов в компьютеризации кодов оплаты счетов, результатов лабораторных исследований и составлении расписания для врачей. Сегодня можно оцифровывать результаты рентгенологических исследований. А в ближайшие годы будут оцифрованы рукописные записи врачей.
Конечной целью процесса компьютеризации является создание медицинского аналога безбумажного офиса — компьютеризованных историй болезни. Согласно концепции, они будут содержать полную медицинскую историю пациента, включая данные о прививках, визитах к врачу, детских болезнях и результатах ежегодного обследования. Записи будут включать информацию об оплате, напоминания о необходимости контрольных осмотров в будущем и примечания. Результаты рентгенологического исследования будут оцифровываться и храниться в истории болезни, так же как и результаты лабораторных исследований.
Стремление к компьютеризации информации о пациентах частично обусловлено необходимостью более эффективно обрабатывать большие объемы информации. Многим госпиталям закон запрещает уничтожать информацию о пациентах. В результате они тратят миллионы на хранение бумажных записей в специальных хранилищах. Эта же самая информация может быть оцифрована и сохранена в объеме всего лишь в нескольких кубических футов с использованием современных технологий хранения. Экономия на площадях для хранения в сочетании со снижением затрат на фотоматериалы и их обработку — одна из причин, по которой госпитали переходят на цифровые рентгенологические системы.
Переход на компьютерные истории болезни поднимает ряд очень сложных технических вопросов. Когда вы впервые приходите на осмотр к врачу, медицинская сестра или ассистент записывают ваше кровяное давление и пульс. Как эта информация должна попадать в компьютер? Каким образом должны оцифровываться записи врача? Когда врач назначает анализы или рентгенологическое исследование, он обычно выписывает направление на листочке бумаги — это быстрее, чем вводить его в компьютер. А когда вы приходите в лабораторию, там еще больше бумаги.
Многие из этих проблем решаются при помощи современных технологий в сочетании с новыми методиками ведения дел. Например, в госпитале, который я посетил в Сиэтле, врач надиктовывает свои записи на магнитофон. После этого они в электронном виде пересылаются в Индию, где имеется дешевая рабочая сила, а английский язык широко распространен. Сотрудники со специальной подготовкой прослушивают запись и набирают ее на компьютере, после чего текст отсылается обратно через компьютерные сети.
Производящая фотопленку японская компания Fuji тем временем разработала электронную пластину, чувствительную к рентгеновским лучам. Она может быть использована со стандартным рентгеновским оборудованием и обеспечивает непосредственную оцифровку рентгенограммы и пересылку ее в компьютер. Эта пластина стоит около тысячи долларов, но ее можно использовать многократно, что дает существенную экономию на фотоматериалах. А поскольку рентгенограммы оцифрованы, они могут храниться на магнитной ленте, что не требует дорогостоящего хранилища с климат-контролем.
Одним из факторов, повышающих стоимость медицинского обслуживания, является большое количество повторных анализов. Анализы повторяются по причине утери предыдущих результатов или потому, что пациент переходит в другое учреждение, а его записи не пересылаются. А 1997 году законотворческая инициатива Кеннеди-Кассебаума о переносимости в здравоохранении [Kennedy-Kassebaum healthcare portability legislation] стала попыткой решить проблему повторных анализов путем принуждения медицинских учреждений к принятию универсального медицинского идентификационного номера [universal healthcare identification number]. Идея законопроекта была проста: если все медицинские учреждения и врачи будут использовать одни и те же идентификационные номера, то меньше шансов, что результаты анализов будут потеряны. Основным аргументом за принятие закона было «упрощение административных процедур». Однако его реализация была временно приостановлена конгрессом, в основном благодаря протестам групп защиты приватности.
Как только медицинские карты будут переведены в компьютерную форму, информация из них может быть использована в совершенно иных целях. Одной из простейших методик является сканирование новых записей в карте пациента при его явке и памятки с напоминанием о необходимости сдачи очередных анализов. Эти памятки напомнят, чтобы женщина сдала мазок Папаниколау (ПАП-мазок) и сняла маммограмму; проинформируют родителей о необходимости провести у детей анализ на содержание свинца; они даже могут напомнить взрослым о необходимости регулярного контроля кровяного давления и уровня холестерина. Напоминания формулируются на английском языке и печатаются на карточке пациента. Когда пациент обращается с заболеванием или приходит на профилактический осмотр, врач видит эти напоминания и во время приема назначает необходимые процедуры.
Когда специалист по информатизации в сфере медицины из Вашингтонского университета доктор Гарольд Голдберг [Dr. Harold Goldberg] впервые предложил идею памяток своим коллегам-врачам, они посмеялись над ней, заявив, что в состоянии запомнить, какие процедуры какому пациенту требуются. Но когда программа была реализована, произошло нечто удивительное: количество анализов, которые необходимо было сдать пациентам резко подскочило.
Сегодня такие напоминания являются стандартной практикой в медицинской индустрии. «Семнадцать различных контрольных исследований подтвердило, что напоминание врачу перед началом приема увеличивает вашу возможность [получить направление на необходимые анализы] на 70%», — говорит Голдберг"132.
КОМПЬЮТЕРИЗОВАННЫЕ ИСТОРИИ БОЛЕЗНИ: УГРОЗЫ
Врачи не строят оптимистичных иллюзий относительно угроз, которые возникают в связи с компьютеризацией историй
болезни. Согласно проведенному в 1993 году Harris-Equifax опросу, 74% врачей считают, что компьютерные системы «почти наверняка ослабят» сохранность медицинской тайны, напротив, 26% считают, что компьютеры «могут обеспечить ббль-шую конфиденциальность».
Проблема проистекает из различия между физической и электронной формой представления. Физической формой являются записи на бумажном носителе. Они могут существовать в данный момент времени лишь в одном месте. Чтобы отправить копию этих записей по факсу, человек должен иметь к ним физический доступ.
Основное преимущество электронных записей заключается в том, что ими легко манипулировать, но эта легкость двоякая. Маловероятно, что анализы крови в электронном виде будут утеряны. Это хорошо для пациентов, особенно тех, которые не любят, чтобы их лишний раз кололи иголкой. Но равным образом компьютерное представление данных дает возможность любопытной медсестре или практиканту подойти к оставленному без присмотра терминалу, набрать имя человека и получить доступ к результатам анализов. А поскольку к компьютерному файлу можно получить доступ одновременно с сотен расположенных по всему госпиталю терминалов, задача контроля становится неимоверно сложной.
В отчете, опубликованном в 1997 году Национальным советом по исследованиям, выделено пять «уровней угроз» информации, хранимой в медицинских компьютерах"133.
1. Инсайдеры (законные пользователи системы), которые совершают «невинные» ошибки, приводящие к случайному разглашению конфиденциальной информации. Это могут быть такие простые ситуации, как посылка результатов лабораторного исследования по факсу на ошибочный номер или передача медсестрой записей одного пациента вместо другого.
2. Инсайдеры, превышающие свои полномочия по доступу к информации. Просмотр является распространенной проблемой во многих электронных системах хранения информации. В Налоговом управлении всегда существовала проблема любопытных служащих, просматривающих налоговую документацию, к которой они имели доступ. Было бы наивным полагать, что госпитали могут так или иначе избежать этой беды.
3. Инсайдеры, которые осуществляют доступ к информации злоумышленно или с целью наживы. Во время предвыборной кампании Демократической партии в 1992 году к одному моему знакомому патологоанатому из Beth Israel Hospital в Бостоне обратился представитель прессы, желавший получить доступ к медицинским данным кандидата Пола Цонгаса [Paul Tsongas]. Репортер предложил неплохие деньги, и менее этичный врач мог бы легко достать нужный файл, не оставив при этом следов.
4. Физический нарушитель, получивший доступ к информации, не имея на то права. Многие госпитали полагаются на физические меры обеспечения безопасности хранимой в компьютерах информации: терминалы размещаются в специальных помещениях или за стойками, куда должен иметь доступ только допущенный персонал. Но журналист мог просто надеть белый халат, фальшивую табличку с именем и получить доступ к данным Цонгаса без посторонней помощи.
5. Обиженные служащие и внешние нарушители, такие как желающие отомстить пациенты или нарушители, планирующие несанкционированный доступ к информации, повреждение систем или прерывание операций. Работающий в НМО врач рассказал мне о проблеме, с которой столкнулась его группа: один из служащих — они предполагали, кто именно, — проникал в компьютер, на котором хранилось расписание работы врачей, и удалял записи о назначенных визитах пациентов. В регистратуре думали, что данное время свободно и назначали его для других; в результате на прием одновременно являлось два или три пациента.
Существует большое количество методик, которые можно использовать для минимизации угрозы несанкционированного доступа. Например, в Beth Israel Hospital файлы некоторых пациентов помечены как VIP. Когда к этим файлам осуществляется доступ (с любой целью), имя осуществившего его сотрудника записывается в журнал; в обязанности специально назначенного человека входит регулярный аудит этих журналов для контроля того, что все попытки доступа законны.
Кто же должен быть отнесен к категории VIP1 В настоящее время госпиталь помечает файлы как VIP, если имеются достаточные основания полагать, что сотрудники госпиталя могут интересоваться информацией о данном человеке. Известные люди и политики являются первыми кандидатами на это.
Но служащие госпиталя и члены их семей также получают данный статус, чтобы сократить число обращений к информации со стороны любопытных (или имеющих самые добрые намерения) коллег. В идеале все, кто хочет получить \//Р-статус, должны получать его. Но на практике Beth Israel Hospital не уведомляет пациентов, что они имеют на это право.
Некоторые компьютерные специалисты видят простое решение проблемы компьютеризованных историй болезни в использовании криптографических методов. Выдайте каждому копию его истории болезни, помещенную на смарт-карту. Для защиты от хищения карты сохраните копию медицинских записей где-нибудь еще и зашифруйте ее, чтобы исключить несанкционированный доступ.
Но врачей беспокоит такой технократический подход к решению проблемы с использованием криптографии. Они опасаются, что в экстренных случаях может оказаться невозможным расшифровать или даже найти медицинские записи человека. Большинство людей, аргументируют они, не желают умирать за свое право на приватность.
ДРУГИЕ УГРОЗЫ
Компьютеризация подвергает приватность и другим рискам, которые только сейчас становятся очевидными. Вспомним услугу по расшифровке диктофонных записей в Индии. Что, если служащий индийской фирмы узнает имя пациента, чью запись он расшифровывает и решит продать эту информацию какой-нибудь бульварной газете в Америке? Даже если предположить, что расследование утечки информации выведет на этого служащего, трудно представить, какое адекватное наказание он может понести.
Но компьютеризация также дает возможность обеспечить пациентам повышенный уровень конфиденциальности. Служащий в Индии не нуждается в имени пациента, чью запись он расшифровывает, — вполне хватит цифрового кода. При этом, вместо того чтобы использовать в качестве кода номер социального страхования, надо брать случайное число, время, в которое пациент был на приеме, или другой код, сгенерированный
госпиталем, пославшим аудиозапись на расшифровку. Обрабатываемая запись будет, по существу, анонимной, по крайней мере с точки зрения сотрудника в Индии.
Возможно, способность компьютеров обезличивать и скрывать информацию является причиной, по которой чуть больше половины (53%) главных администраторов госпиталей считают, что компьютеры действительно обеспечат пациентам ббльшую конфиденциальность. Среди руководителей страховых компаний этот процент больше — 61, по сравнению с 35%, считающими, что компьютеры нарушают конфиденциальность.
В чем причина различия взглядов администраторов и врачей? Возможно, она кроется в том, что администраторы знают возможности информационных технологий, а врачи видят реальное положение вещей. Врачи также знают, что любая технология, затрудняющая доступ персонала госпиталя к медицинской информации, может стоить жизни пациенту. Даже простые обезличивающие коды повышают риск того, что записи двух пациентов могут случайно перепутаться, и это может повлечь тяжкие последствия. Хотели бы вы, чтобы вам оказывали помощь в палате интенсивной терапии, где компьютеры требуют от персонала введения имени и пароля для получения доступа к анализам?
Когда в медицинском центре Вашингтонского университета была внедрена компьютерная система доступа к медицинским данным, каждому врачу и медсестре были выданы имя и пароль. Система была спроектирована таким образом, чтобы каждое обращение персонала к информации протоколировалось в журналах. В системе даже был предусмотрен таймер неактивности, т. е., если кто-то покидал терминал, с которого он вошел в систему, через некоторое время таймер автоматически отключался. Проведенный месяц спустя анализ журналов показал, что единственным человеком, входящим в систему из одной палаты, был старший ординатор. Осмотр терминала показал, что имя и пароль этого врача были написаны на листочке и приклеены к терминалу, поэтому любой находившийся поблизости врач или медсестра могли при необходимости войти в систему под его именем.
Сегодня мы можем представить гораздо более простое и элегантное решение проблемы учета доступа к медицинской информации в учреждениях, вроде этого медицинского центра. Во-первых, обеспечить установку терминалов в защищенных местах, чтобы только авторизованный персонал мог получить доступ к записям пациентов. После чего установить над каждым терминалом небольшую видеокамеру, чтобы записывалось изображение человека, осуществившего доступ. Создание таких систем видеозаписи вполне возможно уже сегодня.
ПЕРЕОСМЫСЛЕНИЕ МЕДИЦИНСКОГО ОБСЛУЖИВАНИЯ И МЕДИЦИНСКОГО СТРАХОВАНИЯ
Большинство американцев считают записи в своих медицинских картах одной из самых критичных составляющих персональной информации. Но для медицинских объединений и страховых компаний медицинская документация всего лишь партитура для сложной игры в «музыкальные стулья»*37. Страховая компания знает, что, если она будет ждать слишком долго, велик шанс того, что данный пациент будет перехвачен другой страховой компанией по причине того, что он или его компания изменили предпочтения, или он потерял работу, или потому, что достиг 65-летнего возраста и теперь попадает под программу Medicare — американскую социальную программу медицинского страхования для пожилых людей. Страховые компании с высокой текучестью клиентов не заинтересованы продвигать профилактическое медицинское обслуживание и закрывают глаза на ранние дешевые в лечении стадии многих заболеваний, надеясь, что когда болезни начнут прогрессировать, пациент уже будет вне их зоны финансовой ответственности.
Если говорить о новых контрактах, то эксперты страховых компаний используют медицинские данные так же, как букмекеры используют спортивные рейтинги, — в качестве оценочных карт при расчете прибыли. Фактически такая оценка является основной работой при страховании жизни и здоровья.
37# Игра, в которой количество играющих на одного больше, чем количество стульев. Когда звучащая музыка обрывается, играющие должны как можно быстрее их занять. Оставшийся без стула является проигравшим.
По сути, процесс экспертизы состоит в оценке соотношения прибыли от уплачиваемого клиентом страхового взноса и вероятных страховых выплат. Процесс нельзя отнести к точным наукам, но результаты тем точнее, чем больше информации соберет страховая компания. И почти не существует ограничений на то, какая информация может быть использована. Сегодня страховая компания считает, что человек с повышенным кровяным давлением или уровнем холестерина относится к группе повышенного риска и соответственно повышает для него страховые ставки; завтра страховая компания начнет изменять ставки ежемесячно, в зависимости от съеденного вами количества пиццы.
Большинство описанных в этой главе проблем могут быть решены путем кардинального изменения системы оплаты медицинского страхования в Соединенных Штатах. Вместо того чтобы привязывать медицинское страхование к занятости (практика, существующая со времени введения контроля над заработной платой и ценообразованием в 1940 году), медицинское страхование должно быть привязано к оседлости и гражданству. Простейший способ положить конец дискриминации в медицинском страховании заключается в принятии единой государственной системы медицинского страхования. Однако сделать это невозможно по причинам политическим, учитывая объем капитала, вращающегося в страховой индустрии, — индустрии, зарабатывающей деньги на азартной игре с жизнями здоровых и болезнями больных людей.
При отсутствии возможности глобальной реорганизации лучшим способом защиты потребителей является сочетание прозрачности и регулирования — прозрачности деятельности страховой индустрии для предотвращения наиболее вопиющих случаев нарушения приватности и регулирования, призванного защитить потребителя в его ежедневных отношениях с медицинскими учреждениями. Без кардинальной смены политики положение будет лишь ухудшаться.
7
Купите прямо сейчас!
Издатель Privacy Journal Роберт Эллис Смит встретился на конференции в Нью-Йорке с вице-президентом одной из крупнейших маркетинговых компаний Америки, человеком, который косвенно повинен в миллиардах непрошеных писем и почтовых карточек, каждую неделю заполняющих дома американцев. Поэтому Смит спросил вице-президента, что американцы могли бы сделать, чтобы остановить поток почтового мусора, с которым они сталкиваются каждый день.
«Такой вещи, как почтовый мусор не существует, есть лишь мусор у людей», — поправил вице-президент Смита, удивленного одновременно искренностью и грубостью ответа.
Заявление вице-президента абсолютно точно, если рассматривать его с позиции продавца. Все эти рекламные предложения в вашем почтовом ящике, телефонные звонки, отрывающие вас от обеда и постоянный «спам», засоряющий вашу электронную почту, являются мусором, если вас не интересует предлагаемый товар или услуга. Для вас это мусор. А для кого-нибудь другого это может быть золотой возможностью.
Давайте теперь попробуем посмотреть на ситуацию с другой стороны — глазами продавца. Если человек не интересуется предлагаемым продуктом или услугой, с точки зрения продавца, — он мусор. Ни один нормальный продавец не хочет рассылать почту, которая отправится в корзину не будучи вскрытой.
Самим фактом своего существования «мусорные потребители» приводят к затратам времени и денег продавца.
Хороший продавец знает, что бесполезно рекламировать собачью еду владельцам кошек. Но маркетинг не относится к точным наукам. Когда сектор экономики, в котором крутится не один миллиард долларов, начинает наполнять конверты и шлепать на них почтовые марки, определенное количество ошибок неизбежно. Хорошие продавцы не любят почтовый мусор, потому что знают — этот мусор непосредственно обращается в недополученную прибыль. Вместо того чтобы злиться на компании, которые вторгаются в вашу жизнь, вы должны чувствовать себя виноватыми перед ними.
Совершенно ясно, что и потребители и продавцы хотят одного — остановить поток почтового мусора и телефонных звонков. Но борьба идет за средства. Все больше потребителей борется за введение ограничений на агрессивную маркетинговую политику. Но маркетинговая индустрия выбирает другой подход. Она использует огромные хранилища персональной информации для оттачивания своих рекламных кампаний. Она использует методики обмана для вытягивания критичной информации о родителях и детях, так что все мы являемся мишенями с самого рождения. Она стремится к тому, чтобы каждая поверхность и каждый момент времени был использован в рекламных целях, чтобы потребители никогда не упускали шанса быть хорошо проинформированными.
Вырвавшийся из-под контроля маркетинг превратился в кампанию, которая оплачивается корпорациями по безостановочному навязчивому преследованию. Эта кампания в конечном счете коснется каждого мужчины, женщины и ребенка на планете. Она должна быть остановлена.
МАРКЕТИНГ И КРИЗИС ПОЗНАНИЯ
Через несколько недель после того, как я купил свой первый дом, я получил почтовую карточку от биржевого брокера из Бостона, предлагавшего мне связаться с ним, чтобы обсудить, куда я могу инвестировать сбережения. Несколько дней спустя я получил карточку от чистильщика каминов, предлагавшему мне назначить время для чистки трубы.
И брокер, и трубочист получили мое имя в Кембридже: информация о сделках с недвижимостью является общедоступной. Оба понесли некоторые затраты на эту маркетинговую акцию — в размере стоимости почтовой марки. И оба сработали впустую: после покупки дома у меня не было свободных денег для игры на бирже, а в моем доме не было камина, так что в нем нечего было чистить.