CC BY
133
УДК 519.711
И. М. Космачёва
ТЕХНОЛОГИЧЕСКАЯ СХЕМА КОНТРОЛЯ ОБРАБОТКИ МЕДИЦИНСКИХ ДАННЫХ
I. M. Kosmacheva
TECHNOLOGICAL SCHEME OF CONTROL OF THE MEDICAL DATA PROCESSING
Предлагаются подходы по совершенствованию процесса принятия решений в медицинской сфере. Принимаемые решения влияют на качество оказания медицинских услуг и вероятность возникновения негативных событий: врачебных ошибок, несвоевременного оказания медицинской помощи, утечки врачебной информации. Описанная технология обработки и анализа медицинской информации позволит повысить оперативность и качество принимаемых решений, сэкономить время, минимизировать риск пропуска важной информации о пациенте, особенно вследствие отсутствия опыта у молодых специалистов. На ее основе возможна модернизация и частичная автоматизация процедуры оценки качества медицинской помощи.
Ключевые слова: медицинские данные, обработка информации, контроль, технологическая схема.
The approaches to perfection of the decision-making process in medical sphere are offered. Made decisions influence quality of rendering of medical services and probability of occurrence of negative events: medical mistakes, untimely rendering of medical aid, outflow of the medical information.
The described technology of processing and the analysis of the medical information will allow to raise efficiency and quality of the accepted decisions, to save time, to minimize risk of the miss of the important information on the patient, especially owing to absence of experience of young experts. On its basis modernization and partial automation of the procedure of estimation of quality of medical aid is possible.
Key words: medical data, information processing, control, technological scheme.
Введение
В практической деятельности врачу приходится сталкиваться с большими массивами данных, которые необходимо уметь вовремя и правильно интерпретировать, не пропуская важной информации, соблюдая при этом права пациента в плане сохранения в тайне информации о состоянии его здоровья. Основные требования к качеству медицинской услуги заключаются в том, что пациент должен получить своевременно оптимальный комплекс медицинской помощи и при этом должны быть соблюдены права пациента на защиту его персональных данных (ПДн). В соответствии со ст. 19 Федерального закона «О персональных данных», оператор при обработке ПДн обязан принимать необходимые организационные и технические меры для их защиты от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.
Внедрение компьютерных систем управления медицинским обслуживанием способствует обеспечению своевременности и эффективности лечебных и диагностических мероприятий, повышению качества принимаемых решений, минимизации вероятности бесконтрольного доступа к данным пациента и злонамеренного их использования, но разработка эффективной технологии обработки медицинских данных остается актуальной задачей.
В медицине появляется все больше нового разнородного высокотехнологичного оборудования (диагностическое, лабораторное), встраиваемого в автоматизированные системы обработки медицинских данных. Это обусловливает необходимость построения новых технологий по обработке данных, обеспечивающих их достоверность, доступность, целостность и конфиденциальность.
Анализ развития информационных технологий в медицине показывает, что большая часть программного обеспечения в медицине реализует функции, связанные, как правило, с поиском и редактированием нужной информации, представлением ее пользователям в удобной форме, подготовкой итоговых отчетов, с использованием стандартных средств математической статистики.
Большое значение имеет анализ редких медицинских данных, выделяющихся из общей массы и не согласующихся с привычной картиной. Эти данные представляют интерес и нуждаются в более тщательном анализе, перепроверке, т. к. они могут указывать как на врачебные ошибки или фальсификации, так и на сложные случаи во врачебной практике, требующие нестандартных подходов со стороны медперсонала. Автоматическое выявление таких данных возможно на основе расчета коэффициента уникальности [1]. Значение коэффициента сравнивается с пороговым значением, а медицинские данные пациента получают соответствующую категорию (типичные или нет). Динамика клинических признаков во времени заставляет пересчитывать его, т. к. уникальность набора значений некоторых признаков может сохраняться лишь ограниченное, иногда непродолжительное время.
Технологическая схема обработки медицинской информации персонального характера (рис. 1), позволяет оперативно производить перепроверку данных пациентов, регистрировать ошибки, назначать консультации специалистов, предупреждать возможные нарушения, злоупотребления его конфиденциальной информацией и регистрировать нестандартные ситуации в медицинской практике, которые могут иметь научный и практический интерес.
Запрос набора данных
Понизить рейтинг пользователя
Нпольз
Выдать сообщение Повысить
лечащему врачу Провести рейтинг опасности
о возникновении перепроверку для пациента Япац
нестандартной клинической данных
ситуации
Раз-
решить
доступ
1. Предупредить пользователя
о соблюдении мер предосторожности
2. Записать в паспорт пациента реквизиты пользователя
Сохранить информацию о редком сочетании значений диагностических признаков
Запись в паспорт пациента реквизитов пользователя
1. Организовать дополнительную консультацию специалистов.
2. Отобрать карту пациента на экспертизу.
3. Записать в паспорт пациента реквизиты новых пользователей
Разрешить
доступ
1. Предупреждение пользователя о соблюдении мер предосторожности.
2. Повышение Япольз.
3. Записать в паспорт пациента реквизитов пользователя.
4. Уведомление уполномоченного —по безопасности.
5. Доступ разрешить.
Рис. 1. Технологическая схема контроля обработки медицинских данных
Предлагаемая технология имеет практическое значение для совершенствования процедуры проведения экспертизы качества медицинской помощи, позволяя экономить время и осуществлять направленные проверки по отобранным случаям, а также минимизировать вероятность пропуска важной информации о пациенте медицинскими работниками, в частности по причине отсутствия опыта у молодых специалистов.
При оказании медицинских услуг качество и эффективность определяются в соответствии со стандартами или методиками. В понятие стандарта входит обязательное применение определенного объема исследований при диагностике каждого заболевания и назначение наиболее эффективных при данной патологии лекарственных препаратов и лечебных манипуляций.
Это означает, что существует зависимость между характером используемой информации и целью обращения пациента к врачу, состоянием его здоровья.
Включение в схему блока анализа встречаемости используемого набора данных поможет выявлять нестандартные запросы данных о пациенте. Такой анализ можно осуществить с использованием технологии Data Mining, которая доступна в современных СУБД, через использование, в частности, алгоритма поиска ассоциаций [2]. Метод поиска ассоциативных связей и последовательных шаблонов позволяет выявлять причинно-следственные связи и находить зависимости, согласно которым из события A следуют B, выявлять подозрительные случаи на основе таких шаблонов (рис. 2).
[ 1 вариант развития ■
Действие 3
Действие 4
Действие 1
Действие 2
-- J **| Действие 5 1 2 вариант развития i
__/ \____________
I Риск высокий
Рис. 2. Анализ наступления события в информационной системе ПДн (ИСПДн)
На практике подобные сочетания данных принадлежат, как правило, к одному из следующих типов:
— необычные значения, каким-либо образом отличающиеся от нормы;
— подозрительная взаимозависимость между наблюдениями;
— заметные изменения в поведении сторон, участвующих в операции.
Технологии Data Mining позволяют автоматизировать процесс выявления закономерностей в огромных объемах информации. В настоящее время наиболее мощные технологии в области Data Mining предоставляют такие корпорации, как Microsoft (Microsoft SQL Server Analysis Services) и Oracle (Oracle Data Mining). К недостаткам пакетов, в которых есть поддержка технологии Data Mining, можно отнести то, что они формируют ассоциативные правила, но не производят их разделения. Программные продукты выводят все сформированные правила пользователю, что в значительной мере затрудняет восприятие человеком информации. Определение полезных правил - трудоемкий процесс, который полностью может быть выполнен только экспертом в области задачи, для которой формировались правила. Частично, с определенной степенью уверенности, это можно сделать с помощью некоторых характеристик правил: поддержки, достоверности и улучшения.
Поддержка (support) - показывает, какое количество транзакций поддерживает данное правило.
г. I DF=xuy I
Suppx^ y = Suppf = —|D— •
Все характеристики вычисляются с использованием Dх - подмножества всех транзакций, в которые входит набор х.
Достоверность (confidence) - показывает вероятность того, что из наличия в транзакции набора Х следует наличие в ней набора У.
Cmfx
=1 df =xu y ] = 1 SuPPxu y 1 ^y 1 Dx 1 1 SuPPx 1
Улучшение (improvement) - показывает, полезнее ли правило случайного угадывания.
= 1 df =xu y 1 = 1 SuPPxu y 1
тРГ
1 Dx 1 •1 Dy 1 1 SuPPx 1 •1 SuPPy 1
Выделенные распространенные запросы (шаблоны, правила) данных могут в дальнейшем быть привязаны к тому или иному заболеванию, в диагностике которого они обязательно ис-
пользуются, для сопоставления на заключительном этапе лечебного процесса назначенного лечения принятым стандартам. Запросы, условия которых не представлены в сформированном таким образом справочнике, необходимо в целях безопасности подвергнуть дополнительному анализу, а отнесенный к нестандартному запросу набор данных о пациенте должен служить поводом для понижения рейтинга пользователя, страхования пациента от информационных рисков или врачебной ошибки.
Представим схематично информационные потоки, циркулирующие в медицинской информационной системе, на рис. 3.
Отчет
1.2
Оценить популярность набора данных
Популярные
данные
Популярные наборы
Популярные
наборы
11
' Набор данных
Данные пациента
1.7
Установить соответствие
медицинской услуги
требованиям и нормам
Запросить/редактировать данные о пациенте
1.3
Оценить уникальность и конфиденциальность набора
Медицинские стандарты
Стандарты
Условие запроса
Коэффициент
Коэффициент , уникальности
Диагноз/назначенное
лечение
1.4 ^ пользователя и пациента Г 1.5 > Режим доступа ( 1.6 ^
Рассчитать рейтинг опасности пользователя и пациента Определить доступ к данным пациента Обработать данные
Уникальные
наборы
Уникальные данные
Коэффициент
конфиденциальности
Статистика обращений
Конфиденциальные
наборы
П_
Журнал обращений к данным пациента
Информация об обработке данных
Медицинские
данные
Медицинская
карта
Рис. 3. Диаграмма потоков данных для процесса определения качества оказания медицинских услуг
Конфиденциальную информацию составляет объединение фрагментов данных, тогда как отдельно, сами по себе, фрагменты медицинской информации тайны могут не составлять. Многие из этих фрагментов могут обрабатываться по отдельности, представляя собой информацию, не ассоциированную однозначно с тем или иным человеком, что позволяет обеспечить врачебную тайну. В ходе анализа технологических процессов обработки ПДн специалистами [3] выработаны рекомендации по снижению уровня конфиденциальности данных, обрабатываемых в ИСПДн. Для этого можно использовать:
— абстрагирование ПДн - сделать их менее точными, например путем группирования общих характеристик;
— скрытие ПДн - удалить всю или часть записи ПДн;
— замена ПДн - переставить поля одной записи ПДн с теми же самыми полями другой аналогичной записи;
— замена данных средним значением - заменить выбранные данные средним значением для группы ПДн;
— разделение ПДн на части - использование таблиц перекрестных ссылок;
— маскирование ПДн - замена одних символов в ПДн другими.
В целях дополнительной защиты персональных данных пациентов технологическую схему (см. рис. 1) можно усовершенствовать включением в нее дополнительного ограничения на предоставление данных, заключающегося в том, что при обработке медицинские данные запрашиваются с тем или иным уровнем полноты Т, задаваемым врачом (или пациентом) и учитывающим особенности решаемой задачей. Так, если для принятия решения достаточно знать только, что тот или иной показатель в норме, без уточнения его числового значения, то данные предоставляются в усеченном виде. Если какую-то информацию «закрыл» пользователь, то врач сможет ее открыть: при этом изменяется рейтинг Лпольз, а пользователь информируется об этом факте.
Для мониторинга действий пользователей и выявления реального или возможного нарушения политики безопасности системы предназначен аудит безопасности. Данные мониторинга используются при выборе и реализации управляющих воздействий для восстановления допустимого уровня безопасности. Аудит заключается в регистрации и анализе данных о различных типах событий, происходящих в системе и так или иначе влияющих на состояние безопасности компьютерной системы.
Средства активного аудита строятся в архитектуре менеджер/агент. Основными агентскими компонентами являются компоненты извлечения регистрационной информации. Анализ, принятие решений - функции менеджеров.
Решатель должен уметь:
1. Ранжировать подозрительную (опасную) активность.
Применительно к задаче обеспечения конфиденциальности данных под подозрительной активностью понимается поведение пользователя или компонента информационной системы, классифицированное как злоумышленное (в соответствии с заранее определенной политикой безопасности) или нетипичное (согласно принятым критериям).
Под опасной активностью понимается поведение пользователя или компонента информационной системы, во время которого используется чувствительная для пациента информация (информация о наличии социально значимого заболевания у пациента, например).
2. Реагировать в соответствии с рангом нарушения.
Подозрительная активность требует активных ответных мер: предупреждение пациента, блокирование запроса данных, пересмотр правил доступа к данным.
Опасная активность требует пассивных ответных мер: наблюдение, предупреждение о соблюдении защитных мер, сообщение службе безопасности, запись в журнал событий.
Для ответной реакции может использоваться база правил, которая формируется с помощью технологий Data Mining или экспертно и постоянно обновляется. Правила для установления типа принимаемых мер в ответ на тот или иной тип активности пользователя имеют вид «Если {условие}, то {действие}».
В качестве условий используются события, представленные в таблице или их сочетания. Список не полон и может быть дополнен или изменен.
Примерный список отслеживаемых событий в компьютерной системе
Тип события Описание
A1 Попытка доступа несуществующего пользователя в базу данных
A2 Попытка доступа пользователя к данным в необычное время (нерабочее)
A3 Попытка доступа к данным пользователя с просроченным паролем
A4 Попытка доступа пользователя к недоступным для него данным (ресурсам)
A5 Попытка доступа пользователя к данным с чужого терминала
A6 Множественные попытки доступа под различными учетными записями с одного и того же терминала
A7 Модификация параметров защиты (изменения в системе управления доступом, например)
A8 Чтение данных пациента, не пользующегося в данный момент медицинскими услугами
A9 Увеличение количества пользователей, имевших доступ к данным пациента
A10 Копирование данных пациента, не находящегося в активной фазе получения медицинских услуг
Администратор системы управляет процессом обработки данных через:
— изменение настроек параметров мониторинга;
— изменение состава хранимых данных результатов мониторинга;
— определение правил ответной реакции.
В результате происходящих событий формируется база данных результатов мониторинга. На основе полученных данных мониторинга и значения коэффициента выбирается определенная реакция в соответствии с правилами, которые могут изменяться администратором по мере необходимости. Информация о характере активности пользователя используется для динамического изменения прав доступа и определения формы записи в журнале событий. Протоколирование действий может либо стать более подробным в отношении действий какого-то пользователя (или пользователя, работающего с записями какого-то пациента), либо, наоборот, стать менее подробным. Доступ к информации пользователей может быть определен как:
1. Общий (безусловно предоставляемый каждому пользователю, каждому врачу).
2. Зависимый от события (управляемый событием).
События, которые контролируются во время мониторинга, могут определяться, например, таким списком:
— данные пациента предоставляются в другое учреждение;
— по данным пациента проводится экспертиза качества медицинских услуг;
— данные пациента передаются в архив (запрашиваются из архива);
— данные пациента запрашиваются с целью подготовки отчета;
— данные пациента запрашиваются с целью использования в учебном процессе или для научных целей;
— данные пациента затребовал врач, который не осуществляет лечение пациента в настоящий момент.
3. Зависимый от содержания данных.
4. Частотно-зависимый (например, доступ разрешен пользователю только один или определенное число раз для проведения какой-то разовой акции, например телеконсультации).
5. Зависимый от полномочий.
Помимо угрозы утечки персональных данных, ущерб от которой может быть значителен не для всех пациентов, для медицинских баз актуальны угрозы модификации информации и навязывания ложной с целью проведения разного рода мошеннических действий, ущерб от которых может быть огромным для пациентов, страховых или медицинских организаций.
Развитие массовых видов страхования автоматически приводит к активизации криминального бизнеса - страховому мошенничеству, убытки от которого за рубежом составляют десятки миллиардов долларов. Мировая практика показывает, что из всех видов страхования мошенничество наиболее развито в медицинском страховании. Распространённые методы мошенничества при оказании медицинских услуг - это перепродажа лекарств по завышенным ценам, подмена препаратов в стационаре на более дешевые, завышение стоимости услуг, навязывание ненужных обследований, анализов, препаратов, предложение неоформляемых услуг пациентам. Все эти виды нарушений можно снизить при должном контроле, который будет осуществляться с использованием различных информационных технологий: штрих-коды на препаратах, биометрические данные пациентов для идентификации того, кому эти препараты назначены и получены. С целью снижения количества обманов можно применять биометрическое оборудование в пунктах первой помощи и в лабораториях. С его помощью можно снимать отпечатки пальцев, по которым затем пациент будет идентифицироваться. Таким образом, необходима сложная автоматизированная система, регистрирующая действия персонала в ходе оказания медицинских услуг, а на основе хранимой в ней информации можно устанавливать факты нарушений.
Для того чтобы вовремя выявить обман, очень важно определить его признаки. Американские специалисты при изучении уголовных дел о мошенничестве в страховании выделили ряд характерных [4] признаков. В США страховые компании создают ИС, содержащие базы данных о типовых случаях мошенничества и о гражданах, замеченных в совершении подобных преступлений.
Признаки, косвенно указывающие на возможность мошеннических действий в медицинском страховании:
— усиленное и продолжительное медицинское лечение при незначительных телесных увечьях;
— не связанные друг с другом страхователи, подавшие заявления на выплату, ходят на лечение к одному и тому же врачу;
— медицинские отчеты заполнены не полностью или недостоверно;
— страхователь лечится у нового врача, вместо того чтобы обратиться к своему постоянному врачу;
— разные работники здравоохранения предписывают застрахованным лицам фактически одинаковое лечение;
— застрахованные пациенты проходят курс лечения, при этом продолжая работать;
— рентгеновские снимки и результаты анализов по диагнозу не предоставляются;
— назначение пациентам не оптимального лечения, а дорогого, избыточного.
В медицинских системах методы Data Mining рационально использовать для выявления ситуаций, свидетельствующих о нарушениях, которые могут носить не массовый характер и использовать различные сценарии.
Заключение
Таким образом, предложенная технология обработки медицинских данных пациента может быть положена в основу проектируемых автоматизированных систем, связанных с контролем качества оказываемых услуг в реальном режиме времени, в которых реализуется динамическое управление доступом, анализируется соблюдение медицинских стандартов и методик лечения с использованием технологий выявления скрытых закономерностей в данных.
СПИСОК ЛИТЕРАТУРЫ
1. Попов Г. А., Космачева И. М. Модель идентификации личности на основе медицинской информации // Вестн. Астрахан. гос. техн. ун-та. - 2007. - № 1 (36). - С. 92-97.
2. Технологии анализа данных: Data Mining, Visual Mining, Text Mining, OLAP / А. А. Баргесян, М. С. Куприянов, В. В. Степаненко, И. И. Холод. - СПб.: БХВ-Петербург, 2007. - 384 с.
3. Защита персональных данных. http://www.iso27000.ru/chitalnyi-zai/zaschita-personalnyh-dannyh/zaschita-personalnyh-dannyh.
4. Страховое мошенничество за рубежом / http: //www.mrggroup.ru/docs/komitet/issled/inter_strah_mash.doc.
Статья поступила в редакцию 28.09.2011
ИНФОРМАЦИЯ ОБ АВТОРЕ
Космачёва Ирина Михайловна - Астраханский государственный технический университет; старший преподаватель кафедры «Информационная безопасность»; e.popova@astu.org.
Kosmacheva Irina Mikhailovna - Astrakhan State Technical University; Senior Teacher of the Department "Information Security"; e.popova@astu.org.
