刘倩竹

专注于医疗领域16年，包括9年临床医生（心血管专业）和7年医学信息技术应用（EMR、CDSS、BI、AI、大数据）。全面掌握专业临床场景和科室协作流程，擅长需求挖掘和分析、资源定位和匹配、产品创新和管理。结合卫生政策和专业指南，为客户成功提供产品应用方案和流程管理方案，包括单个产品不同场景下应用方案和多个产品同一场景下联合应用方案，确保客户端产品优势最大化实现。在产品定位、开发、本地化、实施、上线、运维、转化、运营、管理等方面拥有丰富的可追溯案例，包括在线学习课程、临床决策支持工具、医院信息系统、医学数据库、数据分析应用平台和人工智能模型。2016年加入InterSystems，担任临床解决方案总监。

前言

着手书写“数据应用方案分享”系列文章的初衷是，希望从终端用户的视角阐述我们所期待的数据应用方式及其可能为医疗领域带来的获益，为医学信息工作者提供参考。在这个系列中，笔者会以临床常见疾病和流程为例，用真实的数据录入、获取、展现和使用场景说明需求；尤其是如何细致、精准的构建数据源头，以确保现代医学信息技术“有数可用”、“数用必达”。其中肯定有思虑不周全或逻辑不严谨之处，望各位读者按需审阅，取其精华、弃其糟粕。此外，本系列更多在于探讨数据应用的“可能性”，而非“可行性”。文中部分图片尚处于设想模拟阶段，并非真实系统图片，请知悉。

随着信息技术的发生发展，许多领域包括工业、商业、金融、军事、运输等均引入了复杂的信息软件/系统，并逐步发现这些系统中存在的某些问题可能会导致非常严重的后果。因此，各国政府和相关行业学会均已制定信息技术安全标准或类似条例，以期在信息软件/系统生产、实施和应用过程中，最大化避免错误的发生。

据报道，与医学信息技术（Healthcare Information Technology, HIT）相关的错误多年来一直被低估，因为医疗环境复杂多变，参与错误发生的因素众多且难以辨别。本文以国际上运行较为成熟的《英国医学信息技术安全评估标准》为例，着重解析和分享与电子病历应用相关的可能风险及其评估模型。

在医学相关软件可能造成潜在风险的认知和大力推进国家电子健康记录的目标下，英国国家医疗服务体系（NHS）于2018年正式出台并执行两个与HIT相关的标准——一是《HIT系统生产标准》（DCB0129），另一个是《HIT系统部署应用标准》（DCB0160）。前者为HIT提供方进行指导，后者为HIT使用方提供参考。随后，欧洲其他国家和澳大利亚也相继加入遵循该标准的行列，并致力于融合各国需求和经验制定国际版HIT安全标准。

需要说明的是，这里的安全风险并非特指数据安全和隐私泄露，而是强调由于HIT设计和应用错误导致的可能带来患者伤害的风险，例如：错误的诊断提示、错误的医嘱显示、错误的就诊预约等等。

HIT安全管理流程

HIT的安全管理需要提供方和使用方合作完成，基本步骤包括识别、评估、上报、分析、确定和反馈等。如下图所示，在HIT产品的研发和测试过程中，提供方即需要开始收集和解决与该产品相关的潜在风险，形成“风险库”（包括风险的具体内容、可能原因和应对方案）；在HIT产品的上线和应用过程中，使用方接棒进行潜在风险的探寻和定义，并及时与提供方沟通以便在风险类别和解决策略上达成共识。

建议成立HIT安全管理小组，小组需要囊括来自双方的技术人员和临床人员，这样可以全面、准确的执行和完成流程中的所有步骤。

HIT安全管理流程图

风险和风险库

为了各位读者更好的理解和应用本文的安全管理方案，这里有必要再次重申“风险”和“风险库”的定义。

“风险”是指潜在的、可能导致患者伤害（包括身体伤害和精神伤害）的情况和行为。但是需要强调的是，真正的危险并非来自于“风险”本身，而是当这个“风险”与其他因素联合出现并作用于患者时，可能带来的不同种类的伤害。当然，也有可能在多种因素合并存在时，“风险”反而不会造成任何伤害了（但这并不能说明该“风险”不是“风险”）。

追溯人们对“风险”的认知过程，“风险”可以被划分为三大类型：

1）诊疗过程中，医务人员与HIT的错误交互。例如：医务人员忽略了电子病历中的一些重要检验检查结果，导致患者诊治延误，从而出现患者伤害。这个例子的前提是，电子病历以正确和符合共识的方式显示了所有检验检查结果，且医务人员已经接受培训并知晓在电子病历中查阅该结果。这类风险虽然有HIT参与，但是其错误的发生与HIT本身并无关联。针对这类“风险”，最有效的方法是加强医务人员行为规范，并且培训其与HIT的交互熟练度和准确性。

2）实施过程中，HIT的错误部署。这类风险有两个典型场景：例1，技术人员在实施HIT时错误的关闭了医务人员查阅检验检查结果的权限，导致医务人员无法第一时间获知患者信息，从而延误诊疗。例2，根据医疗机构要求，检验检查结果在电子病历中的显示从原先直接显示于主页面调整为在侧方菜单中单独显示，医务人员在这种变更的初期，需要花费更多时间找到所需结果或者不知道如何查阅结果，从而导致诊疗延误。无论哪种场景，都是“人”的因素占据主导，因此依然要对技术人员和医务人员加强培训，以减少错误发生。

3）应用过程中，HIT的错误行为。例如：某个电子病历系统在运行过程中未能将检验检查结果按时按需显示在既定页面，导致医务人员无法查阅，从而延误诊疗。其他类似的错误有：患者信息显示错误，与第三方软件/系统数据传输错误，提供错误的临床决策支持或药品医嘱计算错误，等等。这类“风险”由HIT负全责，且只能通过改进HIT的工作方式来解决。

“风险库”是上述所有已知“风险”的总和，每个“风险”有自己的特定编号，并配以该“风险”发生的所有已知原因和避免“风险”的所有已知方案。通常情况下，“风险库”是正向扩大的，因为总会有新的场景出现，带来新的“风险”；但是在某些情况下，“风险库”中的“风险”也可能被永久删除，例如“无纸化”真正全面实现的时候，所有与打印相关的HIT风险将被永久从库中移除。

风险评估

无论是HIT内测中发现的“风险”还是HIT使用中识别的“风险”，都需要经过评估才能确定其：

1）是否真的“风险”；

2）是哪一类“风险”；

3）“风险”的严重性和可能性；

4）“风险”的应对方案。

这里的1、2和4在上文中已经涉及，不再赘述，本章节着重探讨“风险”的严重性和可能性。

一个“风险”出现是云淡风轻还是谈虎色变取决于它的严重性和可能性，通常以这个“风险”将会带来多么严重的、何种频次的患者伤害作为衡量标准。仍然以上文中的检验检查结果未能及时查阅为例，如果这个结果是血红蛋白突然的降低，提示患者可能存在急性失血，由于医生未能及时获知结果、未能及时给予输血治疗，患者严重失血致死。这肯定是一个严重性极高的“风险”，但是它发生的可能性有多高呢？

首先，绝大多数情况下，医生凭借临床表现和体征应该已经判断出该患者存在出血性疾病；

其次，医生会特别关注这个患者血红蛋白结果，甚至在电子病历尚未显示结果前就已经通过电话从检验科获知了这个结果；

再次，输血和其他补液治疗不会必须等到血红蛋白结果出具才开始进行。

综合上述情况，即便这是一个严重性最高级别的“风险”，其发生频次也非常低，不能仅以一面衡量和定义该“风险”。

“风险”的严重性和可能性根据各家HIT提供方和使用方的规则和经验制定，通常各分5级，并根据两个评级结果综合得出最终的风险评级。

小结

之所以将HIT的安全管理列入“数据应用方案分享”是为了引起医学信息工作者和使用者的重视，在实际临床场景中有意识的收集这些隐患，并提前解决或做好应对措施。成立管理小组，定义“风险”的严重性、可能性，创建和更新“风险库”是HIT安全管理的重要前提。具体流程、标准和规范，可以根据HIT提供方和医疗机构的需求单独设定或调整。