در خصوص برنامه کشوری نسخه الکترونیک و با توجه به ضرورت رعایت حقوق بیماران و کادر درمان، انجمن علمی روان‌پزشکان ایران موارد زیر را جهت بررسی و اصلاح اعلام می‌کند. لازم به ذکر است که نسخه‌نویسی و پرونده‌ی الکترونیک علاوه بر مزایای متعدد، دارای تهدیدهایی است که بی‌توجهی به آنها می‌تواند آسیبی جدی به فرایند ارائه‌ی خدمات سلامت وارد آورد.

منافات فرایند نسخه‌نویسی برخط اجباری با آزادی و حق انتخاب بیماران

بیماران حق دارند که اطلاعات خود را از سامانه‌ی نسخه‌نویسی برخط خارج کنند یا مشخص کنند که کدام اطلاعات و سوابق در این سیستم قرار بگیرد یا کدام پزشک یا مؤسسه‌ی درمانی اجازه دسترسی به این اطلاعات داشته باشد. همچنین حق دارند که این دسترسی‌ها را هر وقت که تمایل داشتند تغییر دهند.

مشکلات امنیت سامانه

۱. عدم استفاده از احراز هویت چندعاملی

متأسفانه اکنون ورود به برخی سامانه‌های واسط نسخه‌نویسی بدون استفاده از احراز هویت چندعاملی (multi-factor authentication) انجام می‌شود. این نوع ورود به سامانه تقریباً منسوخ شده و به‌شدت ناامن است.

۲. اخذ گذرواژه و نام کاربری سازمان بیمه‌گر توسط برنامه‌های واسط

برخی از برنامه‌های واسط هنگام ورود پزشک به سامانه، نام کاربری و گذرواژه‌ی مربوط به سازمان بیمه خدمات درمانی را از او اخذ می‌کنند و با این کار به‌راحتی به همه‌ی اطلاعات بیماران دسترسی خواهند داشت.

۳. استفاده از صفحات ورود غیر HTTPS و غیر استاندارد

برخی از درگاه‌های ورود از رمزنگاری استفاده نمی‌کنند که باعث می‌شود اطلاعات بیماران و رمز پزشکان به‌راحتی قابل مشاهده باشد. همچنین برخی صفحات ورود فاقد کنترلگرهای امنیتی (مانند کپچا، قفل شدن صفحه به دنبال چند بار تلاش ناموفق برای ورود و بروز رفتار متفاوت در زمینه‌ی علل مختلف ورود ناموفق) هستند.

۴. عدم انقضای خودکار نشست‌ها

در صورتی که فردی فراموش کند از حساب کاربری خود خارج شود، پس از گذشت زمانی از عدم فعالیت ضروری است نشست وی منقضی شود (automatic session expiration) تا کسی نتواند به اطلاعات دیگران دسترسی پیدا کند. همچنین اکنون امکان ورود به سامانه به‌طور هم‌زمان از طریق چند نشست وجود دارد که این می‌تواند امنیت سیستم را کاهش دهد. هم‌چنین کنترلی روی نشست‌ها وجود ندارد؛ لازم است این امکان فراهم شود که کاربر بتواند فهرست نشست‌ها را مشاهده کند و به هر کدام که مایل بود پایان دهد. در حال حاضر کاربران اگر متوجه شوند کسی وارد حساب کاربری ایشان شده نمی‌توانند آن نشست را به‌سرعت حذف کنند.

۵. امکان غیرفعال‌سازی ارسال پیامک به پزشکان

درصورتی‌که فردی وارد سامانه‌ی یک پزشک شود می‌تواند ارسال پیامک به پزشک را غیرفعال کند. به‌این‌ترتیب پزشک از فعالیت‌های غیرقانونی فرد مطلع نخواهد شد.

۶. عدم ارسال پیامک ورود به پزشک

در حین ورود پزشکان به سامانه، پیامکی به آنها ارسال نمی‌شود. بنابراین اگر کسی وارد حساب کاربری پزشک شود وی مطلع نخواهد شد.

۷. امکان ایجاد حساب کاربری برای پزشکان از سوی مؤسسات پزشکی بدون تأیید سیستمی پزشک

هر مؤسسه‌ی پزشکی می‌تواند بدون اجازه‌ی پزشک با در اختیار داشتن اطلاعات وی حساب کاربری بسازد. ضروری است پیش از آن‌که مؤسسه‌ای بخواهد برای پزشکی حساب کاربری ایجاد کند کد تأییدی به شماره‌ی همراه او ارسال شود.

۸.. عدم وجود امکان حذف حساب‌های کاربری توسط پزشک

اگر مؤسسه‌ای برای پزشکی حساب کاربری ایجاد کند پزشک نمی‌تواند آن حساب را حذف یا غیرفعال کند و تنها خود مؤسسه قادر به حذف آن حساب است. اگر مؤسسه همکاری نکند برای پزشکان مشکلات فراوانی ایجاد خواهد شد.

۹. عدم شفافیت در چگونگی دسترسی شرکت‌های واسط از طریق واسط‌های برنامه‌نویسی کاربردی (Application Programming Interface)

متأسفانه مشخص و شفاف نیست که این شرکت‌ها به چه اطلاعاتی دسترسی دارند و تبادل اطلاعات بین سرورهای (servers) این شرکت‌ها و سازمان‌های بیمه‌گر چگونه انجام می‌شود.

۱۰. امکان ذخیره‌سازی داده‌ها و اطلاعات در سرورهای شرکت‌های واسط

اطلاعات نباید از طریق سرور (server) برنامه‌های واسط منتقل شود، بلکه باید سامانه‌ی پزشک مستقیماً به سرور سازمان بیمه‌گر متصل و اطلاعات بین این دو منتقل شود.

نامه نسخه نویسی الکترونیک.pdf