התיקים הרפואיים שלנו מספרים עלינו רבות: ממה אנו סובלים, מה מצב הרוח שלנו, מאילו חולשות גופניות ונפשיות אנו סובלים, מה המצב המשפחתי ומקום המגורים, ולא פעם קיים בהם גם מידע נרחב על מצבנו הפיננסי. מתברר שהמידע הזה השמור והמוגן תחת תקנות מחמירות מאןד בבתי החולים ובקופות החולים, עלול לא פעם להיחשף דווקא בגלל אבטחת-היתר שלו.

כך עולה ממחקר מקיף שנערך בהשתתפות אוניברסיטת בן גוריון. במחקר התברר כי תקנות מחמירות לשמירה על חסיון המידע הרפואי, מקשות לעתים קרובות על מטפלים לקבל את המידע שהם זקוקים לו. לכן מתרחש מצב לא טוב שבמסגרתו התחברו רוב חברי הצוות הרפואי שהשתתפו במחקר למערכת רשומות רפואיות אלקטרוניות באמצעות סיסמה שנתן להם חבר אחר בצוות הרפואי, באופן לא ראוי.

רוב מוחלט של המטפלים משתף סיסמאות

החוקרים אספו תשובות לסקר מ-299 בעלי מקצוע בתחום הרפואה, כולל רופאים מתמחים, סטודנטים לרפואה, סטאז'רים ואחיות. צוות המחקר כלל חוקרים מאוניברסיטת בן-גוריון בנגב, מבית הספר לרפואה של אוניברסיטת הרווארד, מאוניברסיטת דיוק, מהמרכז הרפואי של האוניברסיטה העברית ו"הדסה", ומהמרכז הבינתחומי בהרצליה.

התוצאות הראו כי כמעט שלושה רבעים (73 אחוזים) מ-299 המשתתפים הודו שהשתמשו בסיסמה של חבר אחר בצוות הרפואי כדי לגשת למערכת בעבודה. יותר מ-57 אחוזים מהמשתתפים (177 מתוך 299) העריכו שהשתמשו בסיסמה של מישהו אחר 4.75 פעמים בממוצע. באיזו תקופה? יום? שבוע? חודש?

בקבוצת הרופאים המתמחים, כולם (100 אחוזים) אמרו שקיבלו פעם אחת את הסיסמה של חבר צוות אחר, בהסכמתו. בקבוצת הסטודנטים והסטאז'רים, 77 אחוזים ו-83 אחוזים (בהתאמה) השתמשו בהרשאות של מישהו אחר, משום שלדבריהם הם "לא קיבלו שם משתמש".

באופן דומה, 56 אחוזים מהסטודנטים וכמעט 70 אחוזים מהסטאז'רים השיבו שלשם המשתמש שלהם אין הרשאות מתאימות כדי "למלא את חובותיי", ולכן הם נאלצו לבקש את הרשאות הגישה של מישהו אחר. כמו כן חצי מהאחיות שהשתתפו בסקר (57.5 אחוזים) דיווחו שהשתמשו בסיסמה של מישהו אחר.

"כוחה של מערכת אבטחת מידע נמדד בכוחה של החוליה החלשה ביותר בה", אומרת ד"ר פלורינה יוזפובסקי, חוקרת בתחום הפסיכולוגיה ההתפתחותית באוניברסיטת בן-גוריון בנגב וחברה במרכז זלוטובסקי לחקר העצב. לכן, "אפילו פרצה יחידה יכולה להפוך מערכת מידע ללא-יעילה".

"על הצוות הרפואי להעניק טיפול יעיל ובזמן, תוך שמירה על חסיון המטופלים", אומר החוקר הראשי, ד"ר אייל חסידים מהמרכז הרפואי של האוניברסיטה העברית ו"הדסה". "לפעמים זה יכול לגרום להתנגשות בין חובתם לבין מחויבותם לעמוד בתקנות האבטחה".

פחות מידי הרשאות למנהלים (צילום: שאטרסטוק)

יש צורך בשינוי נהלי המערכת

בעקבות המצב שנחשף החוקרים מציעים כמה המלצות: ראשית, השגת הרשאות גישה צריכה להיות פחות קשה ולגזול פחות זמן. לדוגמה, בישראל הצוות הזוטר מחליף סבבים רפואיים על בסיס שבועי, ולכן לעתים קרובות סטודנטים לרפואה, מתמחים ועובדים חדשים אחרים נאלצים להשתמש בהרשאות של עובדים אחרים כדי למלא את חובותיהם בזמן שהם עוברים את תהליך ההרשמה הממושך והקפדני.

החוקרים ממליצים שבתי חולים שאין בהם מספיק עובדים, במיוחד בשעות תורנות, יעבירו משימות אדמיניסטרטיביות ויעניקו גישה מורחבת למערכת לעובדים פרא-רפואיים, לצוות זוטר, למתמחים ולסטודנטים. הבנה של דרישות הצוות הרפואי והרחבת הרשאות הגישה יכולות להוביל להפחתה בשיתוף של סיסמאות ולהגנה טובה יותר על המידע הרפואי.

לבסוף, החוקרים ממליצים להוסיף אפשרות לכל תפקיד במערכת המידע (ה-EMR) שתעניק הרשאות מקסימליות להתחברות בודדת. כשהאפשרות הזו תופעל, הרופא הבכיר ופקיד האבטחה של מידע רפואי מוגן (PHI) יקבלו התרעה על כך. זה יאפשר לצוות הזוטר לקבל החלטות דחופות ומצילות חיים תחת פיקוח רשמי רטרוספקטיבי, מבלי שיצטרכו להתחבר בחשאי ל-EMR.

החוקרים האחרים שהשתתפו במחקר היו: ד"ר אייל חסידים מהמרכז הרפואי של האוניברסיטה העברית ו"הדסה"; ד"ר צפניה קורח מבית הספר לרפואה של אוניברסיטת הרווארד; ד"ר רוני שרברק-חסידים וד"ר אלנה טומיידו מהמרכז הרפואי של האוניברסיטה העברית ו"הדסה"; ד"ר שחר אייל מהמרכז הבינתחומי הרצליה, וד"ר דן אריאלי מאוניברסיטת דיוק.