Jihomoravský kraj

Projekt budování nemocničních datových skladů
pro hodnocení objemu a výsledků péče

Zdroje dat a architektura systému

Obecná architektura systému

Datový sklad

Navržený systém je postaven na architektuře datového skladu, provozovaného uvnitř nemocnice. Komponenty systému jsou umístěny na infrastruktuře spravované nemocnicí a primární data nejsou přenášena jinam. Celý systém je postaven na zdarma dostupných technologiích, které nemocnici negenerují další vícenáklady na pořízení nebo provoz. Centrálním prvkem datového skladu je databáze, postavená na technologii MySQL. Dále se používají skripty a nástroje vytvořené v programovacích jazycích PHP nebo Java. Je podporován běh na operačních systémech Windows i Linux. Přesná specifikace požadavků na infrastrukturu je uvedena v příloze tohoto dokumentu.

Data sbíraná v tomto systému jsou zcela neosobní, tedy neobsahují identifikace žádných osob (pacientů, zaměstnanců nebo externích subjektů) ani žádné další osobní nebo jiné citlivé údaje. Data se do systému předávají formou jednorázových exportů textových souborů dle zadaného datového rozhraní, zajištěného pracovníky nemocnice, nikoliv přímým přístupem do informačních systémů nebo jiných databází. Rozsah sbíraných dat je uveden v dokumentaci k projektu; v průběhu zpracování různých analytických studií se ovšem může měnit. Přístup do nemocnice se řídí pravidly a bezpečnostní politikou nemocnice, dodavatel systému je povinen dodržovat veškeré požadavky na zabezpečení dat a informačních systémů nemocnice. Přístup do infrastruktury nemocnice je podmíněn platnou smlouvou mezi dodavatelem a nemocnicí a vytváří se pro předem definovaného pracovníka dodavatele. Technicky je obvykle chráněn pomocí VPN připojení a má vyhrazený přístup pouze k vybranému serveru s provozovaným systémem. Typická architektura řešení je zachycena následujícím diagramem:

Jednotlivé komponenty a datové zdroje, které jsou integrovány do podoby výstupů a analýz v rámci datového skladu, jsou zobrazeny na následujícím diagramu.

Princip fungování sítě a nakládání s daty v projektu

Architektura systému I-COP je postavena na síti zapojených nemocnic Jihomoravského kraje. Ve vnitřní síti každé z nich je zprovozněna aplikace, která zajišťuje zpracování a nevratnou de-identifikaci nemocničních dat. Výsledným produktem je datový sklad, který obsahuje integrovaná nemocniční data do podoby vhodné pro další analytické zpracování.

Základním datovým zdrojem jsou administrativní data nemocnic, která tyto nemocnice vykazují zdravotním pojišťovnám, tzv. k-dávky, doplněné o případné další datové zdroje (nemocniční preskripce, PSČ bydliště pacientů). Nemocniční data jsou procesována na vlastním serveru každé partnerské nemocnice zvlášť, všechny nemocnice mají tedy pod kontrolou svá vlastní data. Spojování dat za účelem vzájemného srovnávání center projekt neumožňuje. Na zmíněném serveru také probíhá spojení administrativních dat onkologických pacientů s diagnostickými záznamy, které daná nemocnice hlásí např. do Národního onkologického registru (NOR) nebo jiných centrálních registrů.  Všechny operace s daty se týkají výhradně záznamů pacientů léčených v dané nemocnici a probíhají výhradně na interních serverech dle bezpečnostních protokolů dané nemocnice.

Software I-COP, vyvinutý na Masarykově Univerzitě (MU), pod dohledem pověřeného IT experta nemocnice tato data v interní databázi nemocnice transformuje a provádí jejich anonymizaci (nevratnou de-identifikaci): čísla pojištěnců jsou nahrazena šifrou, vzniklou jednosměrnou hešovací funkcí (SHA) s tajným heslem (salt). Všechny ostatní osobní údaje v databázi pro analýzy jsou nevratně smazány. Výsledná de-identifikovaná data jsou přesunuta do oddělené části databáze, která je přístupná pověřenému pracovníkovi LF MU a ve které se již žádná osobní data nevyskytují. Veškeré analýzy jsou prováděny pouze nad anonymizovanými a agregovanými daty.

Veškerá práce s primárními daty, obsahujícími osobní údaje, probíhá v rámci servisu a údržby systému I-COP na serveru nemocnice. Systém je nastaven tak, aby přístup k osobním údajům měl pod kontrolou pouze a jedině pověřený pracovník nemocnice. Ve všech fázích procesu práce s daty je aplikována řada opatření (smluvních, organizačních i technických) pro zajištění bezpečnosti, zvláště u osobních dat, ale i všech ostatních citlivých nemocničních dat: šifrování přístupů, oddělené účty a přístupová práva, hesla pro šifrování čísel pojištěnců, bezpečné mazání atd. Přístupy do nemocnic jsou vždy řízeny bezpečnostní politikou každé jednotlivé nemocnice a jsou dodržovány její požadavky a standardy.

Ochrana primárních dat je zajištěna robustními mechanismy, mj. smluvně (včetně podmínky naprosté mlčenlivosti všech pracovníků dodavatele), jak je obvyklé v případech, kdy dodavatel spravuje a provozuje v nemocnici systém pracující s čísly pojištěnců, jako například nemocniční informační systém či jiné provozní systémy v nemocnicích. Nastavený model práce zde plně odpovídá tomuto plošně aplikovanému modelu. Osobní data nikdy neopouští server nemocnice a bezprostředně po jejich transformaci jsou pro analyticky využívanou databázi bezpečně a nevratně smazána.

Jelikož principem projektu je poskytovat nemocnicím zejména referenční srovnání formou předpřipravených reportů, jsou de-identifikovaná data nemocnice přenášena do referenčního datového skladu na serveru spravovaném LF MU. Na tomto serveru se nikdy nevyskytovala a nevyskytují žádná osobní data pacientů a záznamy slouží k poskytování agregovaných podkladů pro analytická zpracování referenčních hodnot pro všechny zapojené nemocnice. Na tento server jsou uplatňována interní pravidla LF MU pro zabezpečení citlivých dat, která jsou v souladu s certifikací ISO 27000. Také veškeré výstupy z tohoto datového skladu jsou řízeny a evidovány technickými prostředky. Ztotožnění identity jedince není z agregovaných referenčních dat možné.

Platí tedy, že žádná data, obsahující osobní údaje, neopouštějí za žádných okolností server nemocnice a LF MU přistupuje k tomu systému na základě uzavřené smlouvy analogicky k provozovatelům podobných informačních systémů v nemocnicích, za dodržení bezpečnostních požadavků nemocnice. Kompletní dokumentace systému I-COP je k dispozici jako samostatný dokument, kde je podrobně popsán princip, metody a opatření pro práci s daty a jejich ochranu.

Používané datové zdroje z nemocnice

Pro základní hodnocení nemocničních dat v oblasti onkologie jsou uvnitř nemocnic zpracovávány dva hlavní datové zdroje: data předávaná pojišťovnám (administrativní data nemocnice, „k-dávky“) a záznamy hlášené do Národního onkologického registru (NOR) o pacientech léčených v dané nemocnici. Dále jsou používány doplňující interní datové zdroje, jako jsou údaje o nemocničních preskripcích, data z nemocničního informačního systému s PSČ bydliště pacientů, různé číselníky apod. Jejich popis je popsán v následujících částech.

Administrativní data nemocnic

Nemocniční informační systémy (NIS) obsahují řadu cenných informací, jejich přímé a jednotné využití pro analýzy však bývá problematické. Různé nemocnice bohužel provozují rozdílné NIS, které obvykle neobsahují data ve strukturované podobě. Navíc data z NIS nejsou vždy snadno dostupná za rozumných nákladů pro jejich provozovatele. Proto projekt I-COP využívá jako zdroj administrativních dat interní výkazy plátcům zdravotní péče, tzv. k-dávky. Tyto výkazy jsou povinné, dostupné v nemocnici za několik let zpětně a zcela nezávislé na konkrétním NIS.

Technicky vzato jsou k-dávky obyčejné textové soubory (viz následující obrázek) s definovanou strukturou, která je dána metodikou a datovým rozhraním Všeobecné zdravotní pojišťovny (VZP) [https://www.vzp.cz/poskytovatele/vyuctovani-zdravotni-pece/metodika-vyuctovani-aktualni-stav]. Tato struktura je ovšem proměnná v čase, s čímž je nutné počítat při jejich zpracování. V k-dávkách lze nalézt zejména údaje o provedených výkonech a o podaných přípravcích v rámci hospitalizační i ambulantní péče.

Struktura interně analyzovaných administrativních dat nemocnice je hierarchická. Na nejvyšší úrovni je tzv. hlavička dávky, která popisuje nemocnici a období, za která jsou data předávána. Pod ní jsou evidovány jednotlivé doklady – výkazy o formě poskytnuté péče pacientovi. Základními doklady jsou 01 – Vyúčtování výkonů v ambulantní péči, 02 – Vyúčtování výkonů v ústavní péči, 03 Zvlášť účtované léčivé přípravky a ZP, 06 – Poukaz na vyšetření a ošetření a 10 – Recept. Na nejnižší úrovni jsou pak jednotlivé řádky dokladů – konkrétní detailní údaje o poskytnuté péči, zejména provedené výkony a aplikovaná/vydaná léčiva a materiál.

Zpracovány jsou vždy doklady, které byly vykázány danou nemocnicí a případně její ústavní lékárnou. U ní platí, že jsou zde vykázány všechny recepty v této lékárně vydané. Mohou zde být proto recepty pacientů, které byly předepsány v jiném zdravotnickém zařízení (tyto jsou ze zpracování dále vyřazeny). Naopak, pokud si pacient nemocnice předepsaný recept vyzvedne v jiné lékárně, tuto informaci se z těchto dat nedozvíme. Pro tento účel je vhodnější datový zdroj nemocniční preskripce.

V zásadě lze konstatovat, že k-dávky popisují kompletně proces péče o konkrétního pacienta v daném zdravotnickém zařízení, byť spíše s ohledem na provozní stránku péče a se zanedbáním některých konkrétních detailů.

Nemocniční preskripce

Nemocniční preskripce jsou záznamem o předepsání léčiva nebo zdravotnického materiálu pacientovi lékařem nemocnice. K jeho evidenci se obvykle používá samostatný modul NIS – evidence nemocničních preskripcí. Obsahuje údaje o všech receptech, které lékaři této nemocnice pacientům předepsali, bez ohledu na to zda a ve které lékárně si léčivo nebo materiál vyzvedli. V tomto případě tedy nedochází ke ztrátám dat o předepsaných léčivech, jak tomu hrozí v případě dokladů Recepty z datového rozhraní VZP.