С появлением передовых технологий учреждения здравоохранения начали активно внедрять цифровые технологии для трансформации и улучшения взаимоотношений с пациентами. Применяя такие инновации, как искусственный интеллект, VR, 3D-печать, генная обработка и многие другие, организации меняют свои подходы к оказанию медицинской помощи и увеличивают продолжительность нашей жизни.
Однако внедряя современное ПО, медперсонал всё чаще использует персональные данные больных, опираясь на состояние здоровья и записи о предыдущих заболеваниях. Поэтому при разработке цифровых программ-ассистентов необходимо точно убедиться в том, что они соответствуют стандартам и не причинят вреда.
Среди наиболее важных нормативных актов в здравоохранении выделяется HIPAA — Закон о мобильности и подотчётности медицинского страхования. Чтобы защитить конфиденциальные сведения пациентов, каждый разработчик стремится обеспечить соответствие ИТ-решений стандартам HIPAA.
В статье рассказываем о технологиях, которые используются в здравоохранении, о нормах HIPAA, а также о роли тестирования.
Использование цифровых ИТ-продуктов в здравоохранении
Медицинские учреждения внедряют инновации, чтобы оптимизировать рабочие процессы, диагностировать и контролировать заболевания, а также разрабатывать персонализированные схемы лечения.
Давайте рассмотрим наиболее востребованные цифровые ИТ-решения в сфере электронного здравоохранения.
Интернет медицинских вещей (IoMT)
Удалённый мониторинг состояния пациента с хроническими заболеваниями, отслеживание выдачи лекарств, сбор данных с носимых мобильных медицинских устройств больных — несколько примеров использования Интернета медицинских вещей.
Внедрение IoMT приносит ряд преимуществ:
- Повышение качества обслуживания клиентов. Устройства IoMT облегчают самообслуживание пациентов и позволяют свести к минимуму необходимость в личном посещении.
- Персонализированная диагностика и терапия. Благодаря IoMT врачи получают больше данных о состоянии здоровья больных и их жизненных показателях, что невозможно при кратковременном визите. Получив необходимые сведения, доктор может поставить более точный диагноз и разработать индивидуальный план лечения.
- Расширение возможностей пациента. Теперь пациенты могут не ждать ежегодного осмотра, а следить за своим здоровьем в режиме реального времени. Для этого понадобятся носимые IoMT-продукты: «умные» часы, весы, датчики и другие устройства.
Искусственный интеллект (ИИ)
Компания Frost & Sulliva прогнозирует, что 60% мировых больниц будут использовать искусственный интеллект к 2025 году.
В сфере здравоохранения ИИ позволяет определить на ранней стадии такие заболевания, как рак, диабетическая ретинопатия, болезни сердца, а также повысить точность диагностики. Более того, ИИ способен самостоятельно анализировать данные, полученные с помощью рентгена и МРТ.
ИИ ускоряет процесс разработки препаратов, что значительно сокращает время выхода нового лекарства на рынок и снижает связанные с ним затраты.
Виртуальная реальность (VR)
VR всё чаще используется для лечения широкого спектра психологических заболеваний: стресса, депрессии, тревоги, деменции и других.
Использование VR-технологий может выходить за рамки простого виртуального осмотра и позволить проводить различные медицинские процедуры дистанционно (например, хирургические операции с помощью робототехники).
Ещё одно применения VR в здравоохранении — обучение медицинских работников и студентов. Используя VR, они могут моделировать разные ситуации, выполнять клинические процедуры и операции, изучать анатомию и физиологию в условиях полного погружения. Это поможет приобрести навыки, необходимые для более качественного обслуживания пациентов.
Телемедицина и удалённый мониторинг пациентов (RPM)
RPM собирает и передаёт данные о здоровье человека в целях принятия клинических решений, а телемедицина обеспечивает предоставление медицинских услуг и консультаций на расстоянии.
Они предоставляют доступ к медпомощи и лечению для пациентов, приживающих в сельских и отдалённых регионах, где отсутствуют медучреждения.
К основным аспектам телемедицины относятся:
- Видеоконференции. Позволяют проводить виртуальные консультации с пациентами.
- Дистанционный мониторинг. Обеспечивает отслеживание жизненно важных показателей и параметров здоровья людей с помощью специальных датчиков и носимых устройств. Они передают данные медицинским работникам в режиме реального времени, что позволяет своевременно составлять индивидуальные планы лечения.
- Мобильное здравоохранение (mHealth). Приложения помогают контролировать здоровье, получать доступ к необходимой информации и общаться с врачами.
3D-биопринтинг
Еще одним технологическим достижением в электронном здравоохранении является 3D-биопринтинг. Он позволяет создавать протезы, органы, импланты, а также медицинские решения, которых ранее не существовало (например, шины для трахеи).
Врачи используют 3D-печать для подготовки к хирургическим операциям, чтобы изучать точные копии органов пациентов.
Электронные медицинские карты (ЭМК)
Современные ЭМК разработаны с учётом требований совместимости, что обеспечивает беспрепятственный обмен информацией о пациенте между различными учреждениями здравоохранения.
Более того, ЭМК предоставляют огромное количество данных, которые можно использовать для исследований и управления здоровьем населения. Например, алгоритмы ИИ могут извлекать ценные сведения, что позволит принимать более обоснованные решения и улучшать план лечения пациентов.
Основные принципы HIPAA
Поскольку здравоохранение относится к опасным для жизни отраслям, оно не допускает ошибок. Даже незначительный дефект (ошибка в рецепте, неточная настройка оборудования) может привести к серьёзным последствиям для здоровья человека. Не говоря уже о неблагоприятных ситуациях, которые могут возникнуть при низком качестве программного обеспечения и несоблюдении требований.
Подтверждение соответствия ИТ-продукта нормам HIPAA — важный этап оценки работоспособности ПО индустрии электронного здравоохранения (eHealth). Нарушение правил ведёт к значительным штрафам (например, в 2022 году штраф за мелкое нарушение достиг 60 973 долларов). Интересно, что в последние годы также выросло количество судебных дел о нарушениях норм.
При этом информация о предприятиях в США, где в результате утечек данных пострадали 500 и более человек, попадает на Портал о нарушениях (Breach Notification Portal), или «Стену позора». Это сильно снижает репутацию бизнеса и подрывает доверие к его программным продуктам со стороны пользователей.
Так как персональные данные граждан подвержены кибератакам, бизнесы должны уделять первостепенное внимание их защите. Журнал HIPAA подтверждает, что преступления участились в последнее время. В 2022 году примерно 50 миллионов жителей США пострадали от утечки медицинских сведений.
Источник: HIPAA Journal 2023
В рамках юридических норм в области eHealth каждая организация и её партнеры обязуются действовать исключительно в рамках законодательства. Каким же правилам должны соответствовать ИТ-продукты из данной сферы?
Компаниям, хранящим и использующим конфиденциальные данные, в своей деятельности нужно придерживаться технических, физических и административных гарантий. Кроме этого, стоит анализировать риски и изучать способы предотвращения последствий утечки информации.
Технические гарантии
Сегодня основной причиной нарушения безопасности данных выступают атаки и киберинциденты в области информационных технологий. Несмотря на то, что организации лучше подготовлены к выявлению незаконного использования данных, число кибератак продолжает расти. К 2022 году этот показатель достиг 707 происшествий за год.
Правила, предназначенные для защиты охраняемой цифровой информации о состоянии здоровья (ОИСЗ), предполагают обязательное шифрование данных независимо от того, остаются ли они в хранилище, передаются только внутри компании или попадают за пределы внутренних серверов межсетевого экрана организации. В этом случае даже если данные окажутся в руках мошенников, они не смогут прочитать, расшифровать и использовать их.
HIPAA предлагает такие механизмы защиты, как:
- Контроль доступа — предоставление доступа к ОИСЗ только авторизованным лицам и предотвращение несанкционированного вмешательства.
- Контроль аудита — регистрация всех действий, связанных с ОИСЗ, например, удаление или изменение данных в электронной медицинской карте.
- Целостность — обеспечение сохранности информации и недопущение её удаления неавторизованными пользователями.
- Аутентификация лица или организации — проверка того, что процесс идентификации выполняется без ошибок.
- Безопасность передачи данных — проверка шифрования и надёжности способов доставки ОИСЗ.
Физические гарантии
Все используемые устройства для доступа к личной информации должны соответствовать нормам безопасности. Компании выбирают различные сценарии хранения данных. Хорошая защита предотвращает использование потенциально уязвимых незапрашиваемых данных. При этом не имеет значения, идёт речь о локальных, облачных или арендованных серверах.
Таким образом, меры защиты материалов HIPAA включают в себя четыре положения:
- Контроль доступа к оборудованию — ограничение физического доступа к ОИСЗ.
- Использование рабочей станции — устранение потенциального негативного влияния и рисков безопасности, связанных с особенностями окружения рабочей станции.
- Защита рабочего оборудования — обеспечение физической защиты всех рабочих станций, имеющих доступ к ОИСЗ.
- Контроль устройств и носителей — проверка передачи, удаления и повторного использования электронных носителей, содержащих ОИСЗ.
Административные гарантии
Ещё одним важным пунктом в списке требований HIPAA является регулирование рисков. Этот фактор находится под самым тщательным контролем.
Специалисты HIPAA рекомендуют придерживаться стандартов, позволяющих оценить существующие меры безопасности и проанализировать возможные угрозы.
Проверка качества нормам HIPAA
Эволюция любого ИТ-продукта с течением времен ускоряется. В условиях ожесточённой конкуренции на рынке и высоких ожиданий со стороны клиентов компании делают всё возможное, чтобы сократить время выхода надёжного ПО.
В контексте программного обеспечения для eHealth, предприятиям следует уделять особое внимание предотвращению потенциальных сбоев. Комплексное обеспечение качества поможет наладить бесперебойную работу и обеспечить соответствие требованиям безопасности.
Так как основная цель HIPAA ― гарантировать конфиденциальность данных и доверие конечного пользователя к ИТ-решению, тестирование безопасности лежит в его основе. В свою очередь, тестирование на проникновение помогает QA-экспертам имитировать действия хакеров, чтобы обнаружить узкие места в системе и снизить вероятность кибератак в будущем.
Чтобы гарантировать безошибочную работу приложения и удовлетворить конечных пользователей, нужно обеспечить его соответствие стандартам HIPAA, а также проверить его комплексно. Так как каждый проект уникален, то QA-подход формируется индивидуально, исходя из целей и задач, стоящих перед бизнесом.
Инженеры-тестировщики определяют, какие аспекты качества нужно проверить и на каком этапе жизненного цикла ПО. Далее формируется подробный план, в который может входить функциональное тестирование, тестирование на совместимость, тестирование производительности, безопасности, а также другие тесты. Таким образом, можно быть уверенным в качестве программного обеспечения уже на этапе ввода его в эксплуатацию.
Заключение
В отрасли здравоохранения именно высокая ответственность разработчиков ПО перед пользователями и выполнение норм безопасности являются гарантом эффективной работы и развития медицинского программного обеспечения.
По нормам HIPAA, любой программный продукт должен быть выполнен в соответствии с техническими, физическими и административными мерами безопасности, а также получать непрерывное обслуживание.
Чтобы гарантировать своевременный выпуск ИТ-продуктов с должным уровнем качества, компаниям, работающим с решениями для eHealth-индустрии, следует рассматривать тестирование программного обеспечения как обязательный этап цикла разработки ПО. При этом комплексное решение по QA поможет как достичь желаемых результатов компаниям, так и удовлетворить потребности конечных пользователей.
Свяжитесь с нами, чтобы получить консультацию по обеспечению качества программных решений из области электронного здравоохранения.