使用社会凭证安全地访问患者电子健康记录门户:示范试点研究

介绍

背景

提供者和患者在复杂和分散的卫生保健环境中工作。在不同的卫生保健机构(如初级保健诊所、专科诊所、医院和精神科机构)之间提供和接受护理的挑战要求信息交换和访问不同组织的信息系统。电子健康记录(EHR)软件越来越多地被医院和卫生保健实体采用。促进提供者和病人参与提供保健服务，以确保保健的质量和安全至关重要[1，2]。此外，政府的激励计划和法规影响了医疗保健组织实施患者准入[3.]。随着对电子病历访问需求的增加，用户帐户凭证管理已成为一个日益突出的问题。微软的一项研究发现，平均每个用户拥有25个不同的账户，在3.9个网站上共享6.6个密码。4]。研究还发现，用户平均每天输入8个密码。此外，McAfee的一项调查显示，平均每个消费者要处理23个需要密码的网络账户。5]。同一项调查显示，每个用户平均有13个唯一的密码，31%的用户只使用2到3个密码，以便他们很容易记住。大约52%的人表示，把密码写下来(无论是在纸上还是数字上)是最常见的记忆方式。

正如一篇引用万事达卡和牛津大学联合研究的新闻报道所说明的那样，忘记密码是一个问题。6]。研究发现，25%的消费者每天重置一次密码，33%的网络购物购物车在结账时因为密码问题而被放弃。此外，另一项研究显示，78%的受访者在过去90天内要求重置个人生活密码，57%的受访者在过去90天内要求重置工作密码[7]。同一项研究还发现，超过三分之一的受访者的个人生活密码超过20个，近20%的受访者的工作密码超过10个。

另一个增加与访问相关的摩擦的因素是，一些网站需要强密码(通常至少8个字符，带数字，大写或小写，通常还有一个特殊字符)，并且可能还需要定期更改密码，尽管最近美国国家标准与技术研究院(NIST)建议反对复杂性和密码过期，支持长密码。8]。NIST建议将多因素身份验证(MFA)与不会过期的密码短语结合使用，除非有理由相信密码或密码短语已经泄露。8]。

在美国，电子病历患者门户网站的数量正在上升，这主要是因为美国的电子健康记录激励计划和有意义的使用[9以及患者在网上预约、与医疗服务提供者沟通、要求预约和重新配药以及查看检查结果的愿望[10-12]。例如，2019年一项探索血液学患者对患者门户的愿望的研究发现，很大一部分患者(>75%)希望能够联系他们的医生，并获得实验室检查、成像结果、预约、个人数据、当前药物清单、用药史和向其他医生报告的能力。10]。很大一部分患者(>75%)还希望能够预约、设置预约提醒、请求补药、更改个人数据以及访问药物和疾病信息[10]。在2019冠状病毒病大流行期间，患者门户网站已成为患者根据所需护理水平进行自我分类和自我安排预约的一种方式[13]和获得疫苗[14]。

在美国和卫生系统同样分散的国家，对于个人或其家庭来说，将他们的卫生保健记录分散在多个设施中会造成分散[15，16并且没有在电子病历中向医疗保健提供者或个人提供全面的信息。患者通常面临的问题是，他们接受医疗保健服务的每个机构都有多个登录凭据。

虽然从多个来源获取和汇总患者数据的方法正在迅速发展，但一般有三种方法[17]。有直接交换，在这种交换中，卫生保健提供者组织(HPO)发送和接收信息以协调护理;有基于查询的交换，一个HPO向另一个HPO查询特定患者的信息;有以消费者为中介的交换，在这种交换中，患者可以指导和控制其信息的聚合和使用。专有数据交换(通常在EHR供应商的技术生态系统中)允许在使用同一EHR供应商的hpo之间交换数据。Epic的《Care Everywhere》便是一个例子快乐的在一起(18和Cerner的HealtheLife(19]。这些是患者门户，允许患者通过一次登录查看使用同一EHR供应商的不同hpo之间的所有EHR数据。但是，例如，如果患者在Epic系统中有EHR数据，而在Cerner系统中有另一组数据，则患者将不得不使用2个不同的EHR患者门户，每个门户都有自己的登录凭据和密码复杂度要求。这使得获取个人健康信息变得很麻烦，而且需要记住多个密码。联邦凭据将允许患者通过一次登录获得源数据。

健康信息交换允许提供者共享健康信息，尽管他们可能使用不同的电子病历系统和其他数据共享倡议，如CommonWell健康联盟[20.有可能允许患者从患者门户网站或个人健康记录(PHR)进行自我注册，并跨多个hpo访问他们的所有EHR数据，而不管使用的是哪种EHR系统。同样，这在一定程度上减轻了额外凭证管理的负担;然而，使用患者熟悉并经常使用的联合身份可以进一步减少这种情况。

快速医疗互操作性资源(FHIR)应用程序上的可替代医疗应用、可重用技术(SMART) [21允许以患者为导向的电子病历数据共享。在每个门户成功认证后，FHIR上的SMART应用程序从每个参与HPO访问EHR数据，并允许下载或与第三方共享。两个例子是苹果健康应用[22]，这是一个智能的FHIR解决方案的代表，它允许患者将电子病历数据下载到移动设备上，而Sync for Science应用程序[23]，这是一个试点项目，旨在为美国国立卫生研究院赞助的“我们所有人”研究项目的直接志愿者群体展示共享病人电子病历数据的能力[24]。同样，尽管这些解决方案有可能减少患者的密码负担，但如果他们需要自己的唯一凭据，则可能会增加负担，并且在首次在FHIR应用程序上设置SMART时，患者可能仍然需要为每个EHR门户处理不同的登录凭据，除非他们支持联合登录凭据。在理想情况下，可以将相同的联合凭据用于EHR门户并访问FHIR应用程序上的SMART。

在移动设备上减少与密码相关的摩擦的常见方法是使用生物特征属性，如指纹或面部识别来访问。从表面上看，这些方法使访问更简单;然而，一个潜在的问题是，在初始配置时需要登录凭据，软件升级或设备重置可能会擦除缓存的密码，并提示用户输入可能已经忘记的凭据，特别是如果它是许多不经常使用的凭据之一。

单点登录(SSO)方法依赖于安全的联邦身份和相关凭据，可以减少与EHR数据访问相关的摩擦[8，25，26]。这种方法在非卫生保健领域越来越普遍，如图1，显示了使用Facebook、Google或Twitter等社交凭证访问报纸门户网站和视频会议的情况。正如这些示例所示，SSO允许用户使用单个凭据访问不同组织之间的资源。与联邦标识一起使用的SSO基于多个不同的组织，这些组织同意一组通用的实践、策略和协议来管理单个标识。此身份被信任以访问参与组织中的服务和设备[27]。在2017年的一份报告中，NIST指出，联邦架构具有显着的优势，包括增强用户体验，由于需要更少的身份验证器而降低成本，数据最小化和任务实现，因为组织可以专注于他们的任务，而不是身份管理业务。8]。

‎ 查看此图

由于基于web的sso正在成为一种常见的技术，允许用户使用社交媒体帐户轻松地自我注册和登录基于web的资源，NIST和国家卫生技术协调员办公室(ONC)选择雪松-西奈医疗中心(CSMC)试点使用联合身份访问多个独立hpo的EHR数据，为患者和提供者提供帮助经验教训文档。对飞行员的主要要求如下:

• 使用基于有效身份验证流程的联合验证身份，在≥2个不同的卫生系统中为EHR访问实现SSO
• 允许使用假名身份
• 使用MFA
• 采用增强隐私的技术
• 与NIST和ONC代表合作，制定一份经验教训文件，为未来在美国医疗保健领域部署联邦身份解决方案提供信息

除了实现联邦身份管理解决方案所需的严格的软件开发工作之外，其他类型的障碍包括:

1. 技术标准:这包括每个联邦合作伙伴的基础设施组件之间的互操作性，以及标准的选择(例如OpenID Connect、OAuth 2和安全断言标记语言)和特定于供应商的标准实现。
2. 治理:这需要接受一个信任框架，在这个框架中，联邦的成员同意各自的角色和责任，确定可以交换什么类型的信息，需要什么保障措施，以及争议解决程序。
3. 法律:有专门针对健康记录交换的州和联邦法律，包括对安全和隐私控制的要求。对于这个试验，我们的软件必须适应患者代理(通常是护理人员或家庭成员)的使用，我们进行了几次安全和隐私审查，以尽量减少患者标识符的风险。
4. 组织约束:包括影响试点部署的组织优先级、人员配置和预算。

客观的

该项目的目标是在现实环境中证明，在采用联合身份访问患者EHR时，克服软件和非软件障碍是可能的，并招募实际患者来测试这一概念。

为该试点项目的实际测试选择的用例是从美国急症护理医院到美国住院康复机构的住院患者转换。这一直是人们关注的焦点。28因为其固有的弱势群体-出院后需要高水平护理的个人-有发病和死亡的风险，导致再入院的情况太多。由于许多患者和提供者必须访问≥2个不同的电子健康档案系统以获取信息和维持护理的连续性，使得信息获取的缺乏变得更加复杂。

因此，本研究的主要目的是实现EHR的单一联邦身份登录(Single- file)，以方便患者通过联邦身份和SSO访问多个医疗机构不同系统上的EHR数据，同时两个EHR门户可见。许多电子病历的实现主要依赖于密码作为主要的安全控制;然而，这些凭证可能在不知情的情况下被盗。当患者通过Single-FILE访问EHR数据时，Single-FILE包含2个功能，以最大限度地降低这种风险。当患者登录到Single-FILE时，一次性密码(OTP)被发送到患者之前在EHR记录中注册的电话号码，以确认用户名和密码登录的合法性。

在本文中，我们描述了我们用来开发和实现单一文件web门户的技术方法。然后，我们介绍了与注册并使用该门户网站并提供反馈的患者进行访谈的方法和结果。最后，我们总结了从该试点项目中吸取的经验教训，这些经验教训在当前项目之外具有广泛的适用性。

方法

安全及私隐

赞助商的主要要求之一是我们到达的任何架构都必须是隐私保护的，所以我们的方法是避免在Single-FILE中存储任何直接的患者标识符、人口统计数据或其他EHR数据。信息安全也是一个重要的考虑因素，因此项目团队举办了多次设计研讨会，由外部信息安全顾问和CSMC首席隐私官参加。这些都是由NIST和ONC工作人员的设计审查研讨会补充的。当开发完成时，在Single-FILE组件上执行自动安全性扫描，并且通过2个独立的手动渗透测试来增强这些扫描，并且修正了漏洞。

除安全扫描和渗透测试外，NIST还要求我们使用隐私风险评估方法(PRAM) [29结果和补救措施由我们的首席隐私官审查和批准。PRAM是对系统的整体系统审查，需要分析系统中每个数据元素的路径，并评估以确定数据元素泄露的可能性以及泄露可能造成的危害。对于泄露和损害风险很大的数据元素，必须在投入使用之前实施缓解控制。我们与CSMC首席隐私官进行了合作，她表示，这种结构化的方法相对新颖，她(以及她的同行)的大部分关注点仍然是遵守法规，而不是对系统进行全面、结构化的分析，以发现潜在的隐私风险。

技术方法

虽然我们为患者提供了一种方法来自行注册一个由Single-FILE管理的帐户，但我们也允许患者选择一个社会身份作为联邦身份使用。在任何一种情况下，我们都将标识绑定到相应的EHR标识。

绑定社会身份要求社会身份是合法的，并且遵循OAuth 2协议[30.，病人必须成功地输入他们的社会身份凭证。在这个项目中，Facebook和Google被选为社会身份提供者(IdPs)。如图2，患者访问Single-FILE门户网站，并在选择IdP后，被重定向到所选IdP的登录屏幕。成功登录后，IdP返回一个授权令牌作为社会身份有效的证据。

‎ 查看此图

下一步是将社会身份绑定到患者的EHR记录。提示患者在Single-FILE门户上输入他们的EHR门户凭据，在成功登录到EHR患者门户后，将检索以前在EHR中记录的患者电话号码(通常是在患者入院并创建EHR记录时)。由于存在恶意行为者可能知道患者的社交和EHR凭据的风险，因此将OTP发送到存储在EHR中的电话号码(语音或SMS文本消息，取决于电话类型)。一旦患者承认了OTP，其社会身份就与EHR身份绑定在一起了。从本质上讲，手机被用作令牌病人可以控制并作为额外的认证因素。

Single-FILE门户安装在Amazon Web Services实例上，身份服务器作为Docker容器安装在每个HPO上。31]，这是一种将软件与所有环境依赖项(代码、系统工具、系统库和设置)一起打包的方式，以便所有内容都包含在一个准备执行的软件包中。这确保了无论开发设置和开发设置之间存在差异，软件都将运行。Docker容器(1)部署在每个HPO的网络边界内，并提供Single-FILE门户网站与每个HPO的EHR系统之间的连接;(2)通过仅包含最少必要的患者信息来保护隐私;(3)提供一种确保Single-FILE软件不被恶意行为者更改的方法。

Single-FILE在从CSMC出院并进入加州康复研究所(Cal Rehab)的患者中进行了部署和测试。CSMC和Cal Rehab都使用Epic作为他们的EHR供应商;然而，这个概念可以很容易地扩展到其他EHR供应商。

参与者和设置

我们的研究涉及在加利福尼亚州洛杉矶(CSMC)的一家急性护理医院接受治疗的患者，这些患者出院后立即住进了同样位于加利福尼亚州洛杉矶的一家住院康复医院(Cal Rehab)。急性护理医院CSMC为洛杉矶社区提供886张许可床位，每个临床专业有2100名医生，2800名护士，以及数千名其他卫生保健专业人员，员工和志愿者。CSMC每年约有90,000次急诊科就诊，50,000次住院，17,000次住院和13,000次门诊手术。卫生系统是一个学术医疗中心，有医学、护理、药学、公共卫生、临床和基础科学的学员。加州康复中心是一家拥有138张床位的住院物理医学和康复医院，位于洛杉矶。它是CSMC，加州大学洛杉矶分校卫生系统和Select Medical之间的合作伙伴关系。加州康复中心的病人对脊髓损伤、脑损伤、骨科手术和中风等疾病有强烈的康复需求，他们与物理医学和康复医生以及物理和职业以及语言病理学家一起工作。

联邦身份对患者电子病历访问的真实世界评估

患者招募及访谈

为了确定潜在的符合测试Single-FILE的患者，我们确定了最近入院的康复医院(Cal Rehab)同意研究的患者。病人在进入加州康复中心时被询问他们是否有兴趣同意研究，并且每天生成一份同意研究的病人名单。监督康复医院研究活动的一名调查员(PR)获得了这份名单和最近入院的病人名单。在接近患者之前，我们进行了一个简短的图表回顾，以检查他们在加州康复中心住院之前是否曾在急症护理医院(CSMC)住院，以及他们是否尚未从加州康复中心出院，因为一些康复住院时间很短。最初，我们的目标是招募现有患者门户网站的患者;然而，由于住院康复医院的患者群体倾向于老年人，而这一人群不太可能有患者门户[32]，我们将我们的资格标准扩展到在两个地点都住过的患者，但不要求患者有患者门户。一名定性研究者(MSK)在加州康复中心接触患者和护理人员(如果患者无法沟通)，并讨论研究目标和程序。如果患者和护理人员(或两者)同意参与，我们将与患者和护理人员一起在CSMC和Cal Rehab建立患者门户登录(如果需要)，并在Single-FILE门户中进行注册。随后，我们使用半结构化访谈指南进行了简短的15到20分钟的面对面访谈，其中包括简短的人口调查问卷。指南中的主题包括简短描述患者的病情和在急症和出院后的经历、从一家医院转到另一家医院的经历、以前使用过的患者门户网站、患者门户网站的首选功能，以及使用互联网访问健康信息。人口调查问卷的问题包括性别、种族、民族、教育水平、婚姻状况、健康状况、使用互联网管理医疗保健的兴趣程度(高、有的、没有、不知道或需要更多信息)和健康素养(问题:“你对自己填写医疗表格有多大信心?”)回答:“一点也不，有一点，有一点，相当多，非常多”)。我们还在患者入组后30天致电他们，以了解他们对Single-FILE的使用情况。

定性分析

采用框架分析和开放编码对定性数据进行分析。该方法包括对数据进行转录，彻底阅读每个转录本，使用分析框架的开放编码开发对数据进行编码，应用分析框架或代码本，使用框架矩阵绘制数据图表，以及解释数据。

结果

实现的障碍

作为在现实世界试点实施Single-FILE的一部分，需要与我们的实施伙伴Cal Rehab进行合作和协调。这些都记录在经验教训由ONC发布的文件，可分为4大类。

技术标准

这个特定的试点仅限于使用独立Epic实现的2个站点。我们遇到了延迟，因为Single-FILE使用的应用程序编程接口(api)依赖于早期版本中未实现的Epic版本的功能。在项目开始时，我们预计Cal Rehab会升级到当前版本的Epic;然而，他们做了一个商业决定，跳过下一个升级，将项目推迟了12个多月。

此外，在我们的案例中，CSMC和Cal Rehab都使用Epic作为EHR供应商。如果加州戒毒所使用的是另一家供应商，那么就必须修改web服务调用。在进行试点时，基于FHIR的集成进展迅速，正如后面讨论的那样，使用FHIR需要进行患者身份验证，并且绑定消除了特定于EHR供应商的软件，并提供了基于标准的API。

治理

对于任何可接受的联邦身份，参与各方必须能够相信其他各方遵守相同的安全和隐私标准。信任框架文件阐明了各方的责任。我们的工作表明，对于我们的(CSMC)环境，信任框架的想法对我们的卫生系统领导者来说是新颖的，我们的首席隐私官指出，这可能适用于其他卫生系统。

法律

通过代理访问EHR是无法自行访问其EHR数据的患者的要求。虽然这不是实现的主要挑战，但我们还必须确保我们符合一些联邦和州法规，以帮助确保患者信息的隐私和机密性。安全扫描、渗透测试和PRAM审查提供了一个高水平的保证，我们将满足州和联邦的隐私和机密性标准。

操作

决策所需的专门知识和权力在组织内部是划分的，在组织之间是不同的，执行人员不一定知道或能够影响政策决策。此外，实施目标和时间表受到组织优先事项的严重影响。如前所述，Single-FILE平台架构依赖于特定的Epic web服务调用;但是，Cal Rehab落后了1个版本，并且不支持所需的web服务调用。加州康复中心决定跳过升级，等到下一个版本，推迟实施大约1年。

由于安全和接口配置由同一组织内不同的竖井团队控制，还会遇到其他延迟;因此，在进行配置更改和故障排除会话以确定问题时存在延迟。另一个复杂因素是EHR基础设施的部分外包，这进一步阻碍了故障排除和最终配置的调优。

SSO可接受性

在加州康复中心共采访了8名患者及其护理人员。大多数患者没有至少一个网站的现有门户登录。注册患者门户网站和Single-FILE大约需要60到90分钟。这包括解释项目和获得签字同意所需的时间。患者的人口学特征见表1．入组的患者主要是白人(7/ 8,88%)和非西班牙裔(5/ 8,62%)。一半的病人或他们的护理人员报告说病人有公平健康。大多数患者和他们的护理人员报告说高或一些使用互联网管理健康的兴趣程度。卫生素养水平分布在整个范围内，25%(2/8)的患者及其护理人员卫生素养水平较低，38%(3/8)报告有一定程度的卫生素养，25%(2/8)报告有一定程度的卫生素养相当多或极卫生知识普及程度高。

大约四分之三的患者和护理人员报告已经使用Epic患者门户网站(MyChart)。患者门户最常见的用途包括能够跟踪或更改即将到来的预约，审查实验室或测试结果，或直接联系临床医生。一名病人说，他使用该门户网站查看了就诊记录，并解释了以下内容:

我喜欢能突然出现，安排约会，检查约会，更改约会。看看所有为我做过的测试，或者推荐信，以及所有的测试。我不想要纸，我也不想打电话，如果我能保存的话。
病人[1]

另一名病人指出，他希望能够迅速获得自己的医疗信息:

我从我的医生办公室得知他们有一个我可以注册的门户，我可以添加，我所有的医生都会被添加进去。我所有的约会都会被加进去。我所有的核磁共振成像，CAT扫描，实验室工作，报告都会在我的医生打电话给我之前就看了。我喜欢尽快得到信息。
[病人2]

在注册Single-FILE之前不经常使用患者门户网站的患者中，障碍包括对浏览互联网或全面使用技术感到不舒服。一位没有使用患者门户网站的患者指出:

我几乎不上网。我真的不知道。
病人[3]

这个病人依靠她的照顾者，一个兄弟姐妹，来进入病人的门户。

患者指出，他们很高兴只需要记住一次登录作为Single-FILE的一部分，并且可以通过Facebook注册。然而，我们没有看到患者在注册后使用Single-FILE。我们试图在注册后30天通过电话联系患者及其护理人员，但无法采访个人，因为这段时间恰逢COVID-19大流行的开始，而被采访的个人当时不想参加采访。

讨论

主要研究结果

Single-FILE的实现证明了将社会身份安全地绑定到EHR身份是可能的。使用发送到患者EHR电话号码的OTP提供了绑定有效的高度置信度。然而，我们没有看到患者在注册后使用单一文件门户网站。我们假设，当患者收到来自该网站的电子邮件或短信，告知预约即将到来或实验室结果可用时，他们通常会使用患者门户网站，然后将他们直接带到移动设备上的EHR门户网站或应用程序，而不是Single-FILE。换句话说，患者门户的使用通常是被动的，而不是主动的，这限制了我们通过web门户实现Single-FILE的使用。然而，无论患者如何访问他们的EHR记录(通过门户网站或移动应用程序)，在某些时候仍然需要登录凭据，并且我们证明了这些登录凭据可以安全地与联邦身份相关联，例如用于社交媒体的身份。

随着医疗资讯科技的发展，进入hpo特定病人入口网站的价值[33，34正在被移动设备所取代，移动设备使患者更容易访问他们的电子病历数据。如前所述，有特定于供应商的患者门户解决方案，可将患者的所有EHR数据聚合到应用程序中;因此，如果患者在该供应商的生态系统中，那么这与SSO具有相同的功能。此外，还有一些跨供应商解决方案允许跨不同供应商聚合EHR数据，以及聚合来自hpo和其他数据源(如药店和健身跟踪器)的数据的PHR系统。但是，这些解决方案可能不允许使用联合凭据进行访问。我们为这项研究采访的患者表明，他们很欣赏使用他们的社会凭证访问他们的EHR数据的便利性，而记住EHR门户证书是访问的障碍。如前所述，生物识别认证可以缓解与访问相关的摩擦;但是，最终还是需要登录凭据，无论是在生物识别访问的初始配置时、在执行密码重置时，还是在升级应用程序或移动设备时。

在开发Single-FILE时，基于FHIR的SMART是一种新兴技术，并没有得到EHR供应商的广泛支持;因此，我们基于Epic提供的api开发了一个基于web的概念验证。当时，我们意识到将这个概念扩展到其他EHR供应商将需要额外的软件开发，因为每个EHR供应商都有不同的api。基于FHIR的SMART技术现在是稳定的，我们已经成功地复制了社会身份到EHR身份的绑定，通过使用患者登录到EHR门户和FHIR呼叫来检索患者的电话号码以进行OTP挑战或响应。在FHIR上使用SMART的优点是与供应商无关，并且在EHR软件升级方面更加健壮。

此外，随着互操作性和患者访问最终规则(cms - 915 - f)的采用和ONC的努力，FHIR已被确定为通过api进行安全数据交换的基础。这些标准将促进应用程序的开发，这些应用程序除了传统的电子病历之外，还可以从各种来源汇总健康数据。如果这些应用程序提供支持或联合身份，它们将增强患者获得其EHR数据的整体纵向视图的能力，而不需要另一组凭据进行访问。

结论

在这个试点项目中，我们证明了患者可以使用他们熟悉的身份(即社会身份和相关凭证)作为联合身份，以安全地缓解与访问EHR数据相关的摩擦，因为他们更有可能比EHR甚至PHR门户更频繁地访问社交媒体。我们在试验软件中内置的另一个重要功能是使用MFA的能力，它提供了一个额外的保护层，以防一个人的登录凭据被盗或泄露。虽然我们的解决方案涉及使用门户网站，但同样的方法也可以用于任何移动设备上的应用程序。

该试验表明，联邦身份管理系统中的所有参与者都需要获得高级别的组织支持，以确保及时实现并确保与EHR软件升级的兼容性。如果将对联邦身份的支持整合到EHR软件中，并且EHR供应商遵守开放标准，那么我们遇到的大多数障碍都可以变得没有意义。ONC努力让EHR供应商在他们的软件中加入对FHIR的支持，这是由ONC的努力推动的，并且它具有消除特定于供应商的依赖的附加优势。