电子病历（Electronic Medical Records, EMRs）的安全是非常重要的，正如总统奥巴马政府准备为国家的医院和医生花费190亿美元去制定数字化病人健康记录的标准流程。这笔款项包括每位医生超过40,000美元的奖励和用于医院的高达数百万美元的支持。这样做的目的是要改善医疗，提高医疗保健交付的效率，并最终降低医疗成本。

　　最近的研究表明，要达到这样的目的，还有很长的路要走——并且，沿着这条路，对于敏感的病人医疗信息，的确有巨大的风险。本月发表于新英格兰医学杂志的一项研究发现，只有 17％的美国医生使用或者最少的功能或者完整的电子记录系统。美国医院对EMRs的采用率很低——仅9％——而以在市区的大医院为主。

　　在2月份发表的称为“在卫生保健部门的数据出血”的一项研究中，达特茅斯学院的塔克商学院的经营管理教授和数字化战略研究中心主任M. Eric Johnson以惊人的详细程度列举了对公司的金融风险和对患者的EMRs的医疗风险。数据泄漏的程度——无意和恶意的——表明医疗欺诈可能超过金融欺诈，并要求除其他措施外，更好地控制医疗健康提供者和承保人对信息的访问，并惩罚违例者。事实上，医学界在历史上就是最大的一群医疗保健欺诈者。

　　由于将纳税人的钱注入了数字化病历中，在推进分层和全面的安全战略中，IT专业人士必须保持警惕。IT安全往往是一个最容易被忽视的领域。

　　位于密西西比州杰克逊的胃肠道协会和内镜中心（Gastrointestinal Associates and Endoscopy Center PA）IT经理Deas说：“不管你在做什么，无论是电子病历还是电子邮件，有一些你必须做的事情：你必须购买设备；你必须购买许可。你可能忽视的地方是安全。你只需将其接入，并希望不会发生任何糟糕的事情。”

　　他说：“如果你用电子邮件系统那样做，你会充斥着病毒。如果你用EMR系统那样做，你最终可以远离很多比那更糟糕的情况。”

　　这就是为什么Deas增加老练的雇员去监视软件，并且当在GI协会增建电子病历时，建立临近独裁老大哥（Big Brother）的安全文化。在密西西比州最大的具有18名医生和 250名员工的肠胃病学集团中，这种做法将它的医疗档案转换成电子病历需要2年时间，这是一个100多万美元的项目。在业务上，自1980年以来，这种做法有大量的记录——在一个70*50英尺的房间中，10排患者图表从地板塞到天花板。下周GI协会标记了一个里程碑：转换一排文件。

　　为了更进一步，Deas已经升级了IT基础设施，研究纸图工作流程和更多的内容。

　　为电子病历补充安全软件

　　这次医疗实践使用通用电气公司的Centricity EMR电子病历系统。Deas使用来自个人电脑和互联网监控软件供应商SpectorSoft公司的Spector 360补充了Centricity内置的安全功能（你可以用鼠标右键单击一个病人记录，看看谁访问过它）。

　　最大的安全漏洞之一是在实践中的调度软件。现在，使用Spector软件，这种做法可以搜索一个病人的名字或者身份标识（ID），而不只是发现谁何时访问了那个记录以及访问了多长时间，而且当记录被访问时，可以看到这个人正在做什么的快照。

　　要提高实践的网络速度，Deas必须“提高WAN的响应时间”，在主办公室和位于70英里远的维克斯堡的远程站点之间，使用10 Mbps地铁E管道取代连接到这次实践中的三个办公室的T1线路，一条50 Mbps的地铁管道连接到附近的密西西比州麦迪逊，该站点也充当医疗中心的灾难恢复站点。使用思科2 GB的骨干早已取代了他到来时发现的“俗气的小交换机”和集线器。

　　“对于EMR，我不知道你可能说多少，以及到底我会做多少。但EMR是一个大的推进，因为之前，在电脑上做的一切是调度。医生并没有真正看到它们那么多。“

　　为使人和流程为EMR协调一致，以下是他的一些提示：

• 限制变更。Deas实行为期3个月的试用期，在此期间，只允许对基本的EMR安装进行关键的变更。他告诫：“你不想过于敏感。变更需要花费时间去实现。”因此，需要对阻碍医生日常工作的短暂中断进行立即变更；任何过程必须等待3个月。

　　“如果我们希望该实践能达到使医生绝对满意的目标，在一开始我们就应当使用16种不同的表单集【视图】。将所有表单集应用到新系统中，这样他们所有人将喜欢这个新系统，因此我们做的这些变更将比他们可能已经做的更小。”

• 是的，你需要一位医生拥护者。Deas说：“医生们会马上向你大吼大叫。对于他们的助理，他们将更严厉。他们不会骂另外的医生。他们将有一次冷静的讨论。”

　　Deas相信他的医生拥护者Ronald P. Kotfila博士，该“高科技家伙”喜欢电脑并自愿参加这份工作，并解决了医生遇到的50％的问题，在该项目上，他充当了驱动力。

• 在你实施以前，绘制你的业务流程。Deas说：“如果你不知道你的工作流程，那你死定了。”你必须了解文件是如何流转的，以至于你知道EMR必须做什么。

　　“我们真正地将大约10人锁在一间会议室里三天的时间。在我们面前有5张图表，因此我们可以看到我们在谈论什么，而且从这刻开始，我们经历了患者被医生转介绍或患者请求预约的整个过程。我们仍然能看见这些流程图。”

　　在设备上的注意：您不需要超高速扫描仪。病历文件长达200页，而且多个部分必须单独输入。“他们很少能每次扫描超过3页。我们得到了每分钟15页的扫描仪。”

• 监控员工的行为并“确保您的组织知道你在做这样的事情。”Deas将这个称为他的“吓唬大家”的安全政策，并没有道歉。他指出，预防问题比惩罚它更重要。例如，他说，GI协会不允许网络聊天，因此他确保员工知道，如果每月Spector 360报告出现了聊天数据，某人将陷入麻烦。他发布了许多“小更正”以保持IT正监视的设备正常运行。

　　Deas说：“这绝对是一个独裁老大哥。如果我发现我的ISP正使用像Spector 360这样的工具，我将勃然大怒，但工作就是工作。没有使用它的合法的商业理由。我们正在处理人们的病历，这是你遇到的最私人的事儿。”

　　Deas说，在这个过程中给他最大冲击的是：“有多少人需要访问这些图表以做他们的工作。”四年前，这个项目雇佣Deas作为顾问，为EMR打下基础。

　　惊喜：在EMR实现以前，除了一些极坏的冒犯者被淘汰以外，没有更坏的东西在运行。但Deas说：“在你检查之前，你不知道。”