最新消息:欢迎您,亲爱的读者!您可以通过QQ号或新浪、腾信微博账号直接在评论处登录,发表评论并选择转发到微博、QQ空间。

【可靠电子签名专栏】电子病历新规上路一年,部署可靠电子签名“三步走”

技术产业 HIT 3135浏览 评论

来源:HIT专家网     记者:孙鹏

【编者按】从2017年4月1日至今,《电子病历应用管理规范(试行)》(简称:新《规范》)正式实施已满一年。新《规范》对医院无纸化提出了更高、更全面的要求,其中涵盖从电子病历产生、使用、存储到归档、共享的全流程无纸化要求,并首次以行业规范的角度明确:“可靠的电子签名与手写签名或盖章具有同等的法律效力。”在新《规范》引导下,医疗信息化业界对于可靠电子签名的部署有了更为清晰的认识和路径。

在《电子病历应用管理规范(试行)》(以下简称:新《规范》)实施迎来1周年之际,关于电子病历系统应用的现状再度引发业界高度关注和热议。在3月下旬举办的2018中华医院信息网络大会(CHINC)上,电子病历系统应用相关话题成为了会议焦点之一,其中很重要的一个话题便是,国内电子病历系统的应用水平总体偏低,可信电子病历的建设依然任重道远。

对此,在医疗行业信息安全领域深耕多年、已占据医疗行业电子签名领域过半市场份额的北京数字认证股份有限公司(以下简称:数字认证)针对不同场景需求,提出了包括电子病历电子签名可信电子病案管理移动云签名等在内的一系列解决方案,并在2018CHINC期间进行了集中展示,直接“瞄准”医院无纸化、电子签名安全合规等问题。而且,数字认证专门结合新《规范》要求以及多年的实践经验,同时针对目前医疗机构在实施电子签名过程中所面临的难点问题,整理成《医疗机构可靠电子签名实施攻略》,总结出“三步走”的规划部署与实施路径。

shuzirenzheng2

实施可靠电子签名第一步:做足准备工作

在数字认证看来,实施可靠电子签名“第一步”攻略就是准备工作

一方面要明确电子签名应用组成。数字认证认为,面向医院提供电子签名服务需要部署电子签名系统与医院HIS、EMR、LIS等信息系统进行集成,才能完成各个业务环节的电子签名应用。其中,电子签名系统包括签名验签系统、电子签章系统、时间戳系统、证书服务系统。电子签名环节依次包括操作人员身份识别、电子病历生成、电子病历归档、电子病历复制、电子病历封存、电子病历共享。

另一方面是签发数字证书。数字证书用于标识个人身份,需要第三方电子认证服务机构审核数字证书申请人身份,通过后签发数字证书,其有效期为一年,到期需更新。在医院场景,为了满足对工作连续性的要求,可通过证书服务系统进行自动更新。同时,医疗机构还可根据应用场景不同,选择不同数字证书介质,如USBKey、蓝牙key、手机等。

第二步:针对签名不同场景、环节具体实施

为确保电子病历的安全、合法与可管理,电子签名应覆盖医疗业务中的全流程、全角色以及全场景。那么,针对电子病历电子签名的各个场景和环节,具体应做怎样的部署?这就是数字认证实施可靠电子签名“第二步”攻略

bjca4

第一是电子病历生成环节。对于医务人员而言,为了保证电子病历的真实性、完整性、行为可追溯性,在编写完成电子病历后,需要对电子病历进行电子签名并加盖时间戳,其中关键点包括数字证书访问PIN码确认、电子签名认证以及电子签名存储。对于患者而言,为了确保知情同意书的真实性、完整性、行为可追溯性,需要由患者或患者家属阅读知情同意书并予以确认后,执行电子签名并加盖时间戳。

第二是电子病历归档环节。患者出院后,为确保归档电子病历的真实完整、合法可信,在进行电子病历归档的过程中需要对所包含电子签名进行验证,通过后再对确认归档的电子病历进行单位电子签名并加盖时间戳。同时,为了便于日后浏览,数字认证建议,归档电子病历可以版式化文件格式存储来固定格式和内容。

第三是电子病历复制环节。为了保证复制电子病历的真实完整、责任可追溯,在复制前要对电子病历所包含的电子签名进行验证,通过后再对复制的电子病历进行单位电子签名并加盖时间戳。

第四是电子病历封存环节。为了确保封存电子病历的真实完整、合法可信,要在复制环节的基础上进行封存环节,封存时需要医患双方或双方代理人共同进行电子签名并加盖时间戳。

第五是电子病历共享关节。为了保障电子病历电子病历来源可信、共享过程不被篡改,电子病历共享涉及发送医院和接收医院,发送方在共享电子病历前需执行电子签名及签名验证,接收方使用共享电子病历前需验证共享电子病历的签名数据有效性。

第三步:三方协作分工实施

实施可靠电子签名作为一个系统工作,离不开医疗机构、电子病历厂商以及第三方CA机构的协作。

对于医疗机构来说,实施电子病历签名时,首先要配备专门人员负责电子病历系统电子签名工作,并做好数字证书载体的管理;其次是医疗业务主管部门对电子签名的使用流程进行规划和制定,并确认电子签名的使用效果;再次是建立、健全电子签名管理、数字证书使用的相关制度和规程,包括人员操作、系统维护和变更的管理规程、应急预案等;最后是准备电子签名服务系统稳定运行的机房环境。

电子病历厂商在实施电子签名集成时,一方面在电子签名集成过程中,需要根据各业务环节电子签名功能要求,对电子病历系统的客户端、服务端进行配置应用接口,调整数据库;另一方面,电子病历系统要协调好电子签名数据与电子病历数据的对应关系,并妥善保存;第三方面是在电子病历系统集成测试、上线实施的过程中,配合医疗机构对集成效果加以确认,并留存集成和测试报告等过程文档。

对于第三方电子认证服务机构来说,在实施电子签名功能时,需要以下工作内容:一是提供数字证书的全生命周期管理服务,实现医疗机构数字证书的自助管理;二是为证书密钥安全,需每年更新数字证书;为减少对业务的影响,需提供自动更新方式;三是为电子病历系统开发商提供DEMO、接口、测试证书等集成资料;四是妥善保存包含数字证书、原文Hash值、签名值、时间戳值等重要日志信息;五是为电子病历系统开发商电子签名集成工作提供技术支持;六是配合医疗机构对集成效果进行检查和确认。

【责任编辑:孙鹏】

 

您必须 登录 才能发表评论!