РАБОТА С АВТОМАТИЗИРОВАННЫМИ ИНФОРМАЦИОННЫМИ ПОРТАЛАМИ МЕДИЦИНСКОЙ ДОКУМЕНТАЦИИ

АННОТАЦИЯ

В данной статье будут рассмотрены НПА, регулирующие обращения с персональными данными граждан в ЛПУ, электронные медицинские базы данных, ответственность за утечку ПД.

ABSTRACT

This article is included the legal regulations governing the handling of personal data of citizens in health care facilities, electronic medical databases, responsibility for the leakage of personal data.

Ключевые слова: персональные данные, больницы, ответственность, утечка данных, электронная медицинская документация.

Keywords: personal data, hospitals, liability, data breaches, electronic medical records.

В настоящее время в механизме защиты прав потребителей медицинских услуг – важное место занимает работа с автоматизированными информационными порталами, базами данных, хранящих медицинскую документацию.

Потребность в таких базах данных ежегодно растет, в электронном виде заполняются и ведутся карты пациентов, посещающих как государственные медицинские организации, так и частные структуры.

Основной особенностью медицинской информации является разнородность данных [5], которые могут быть представлены в традиционном электронном формате, например, данные компьютерной томографии, рентгенографии, УЗИ, так и в произвольном — например, записи лечащего врача.

Организация системы хранения медицинских данных начинается с утверждения концепции хранения, которая определяет выбор программно-аппаратного комплекса.  Инфраструктура системы хранения данных включает различные аппаратные средства, которые могут объединяться в сети хранения данных, организацию доступа серверов к массивам данных, а также программное обеспечение управления хранением данных [3].

В связи с разнородным массивом данных встает вопрос о безопасности и защите персональных данных граждан. Здесь есть ряд проблем:

- вопросы внутренней защиты СЭД;

- вопросы идентификации должностных лиц, которые ведут учет данных пациентов;

- ответственность должностных лиц за утечку персональных данных.

Современные СЭД имеют огромное разнообразие модификаций, они отличны друг от друга в регионах РФ, здесь нет единого подхода. Однако вопрос безопасности является – первостепенным.

Законодательство строго закрепляет статус персональных данных (ПД). Их определение сформулировано в Федеральном законе № 149 от 27.07.2006 «Об информации, информационных технологиях и о защите информации» [1], где они представлены как «информация ограниченного доступа». В законе сказано, что конфиденциальность персональных данных – это обязательное условие работы с ними, и поэтому государство устанавливает обязательные нормы и правила их обработки.

Вопросу взаимодействия с персональными данными даже посвящен отдельный нормативно-правовой акт. Ключевым документом здесь выступает ФЗ № 152 от 27.07.2006 «О персональных данных» [2]. Закон содержит основные определения и требования, которые касаются обработки персональных данных – в частности требует обеспечить защиту прав и свобод человека. Также ФЗ строго регламентирует этот процесс: например, в нем указано, что операторы обработки персональных данных должны обеспечить определенные уровни защищенности, установленные Постановлением Правительства РФ № 1119 от 01.11.2012. Под этими уровнями понимается набор требований, который нейтрализует определенные угрозы безопасности.

При этом в постановлении № 1119 предложен только сжатый перечень мер защиты. Более детально их определяет ФСТЭК России: приказ № 21 от 18.02.2013 утверждает состав и содержание организационных и технических мер по обеспечению безопасности персональных данных, а приказ № 17 от 11.02.2013 регламентирует требования по защите информации в ГИС (государственных информационных системах), включая и персональные данные.

Кроме того, Минздрав РФ выпустил Приказ № 911н от 24.12.2018 «Об утверждении Требований к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам фармацевтических организаций».

Однако больницы, поликлиники, диспансеры, ФАПы ежедневно обрабатывают огромный объем данных пациентов, и доступ к ним должны иметь только определенные сотрудники медорганизации. При этом во многих государственных ЛПУ до сих пор не завершен переход на электронный документооборот и автоматизированный учет.

Рассмотрим опыт Республики Карелия, где есть автоматизированная информационная система «ПроМед» [4]. К ней имеют доступ - как врачи больниц, так и медицинские сестры/фельдшеры. Насколько допустим такой подход? Ведь с ростом объема цифровой информации риск утечки ПД не исчезает. Кроме того, переход к электронному формату неизбежен. Внутренние ПК должны быть заблокированы для передачи данных на съемных носителях, но известны случаи, когда ПД, сделанные сотрудником, распространялись, например, запись данных велась через телефон. Тогда вопрос стоит о точной идентификации, чтобы ответственность нес человек, допустивший утечку ПД.

Таким решением может стать – персональный электронный ключ. В медицинской организации он не должен быть универсальным, так как нельзя будет отследить - какой именно сотрудник открыл доступ.

По информации врачей региональных ЛПУ, у персональных компьютеров больниц вход для внешних носителей информации заблокирован.

Что будет в случае утечки ПД?

Нарушения безопасности могут привести к административной, гражданско-правовой, дисциплинарной или даже уголовной ответственности. Если из-за утечки произойдет разглашение врачебной тайны, клинике придется возмещать ущерб, нанесенный пациенту и его деловой репутации, а также оплачивать все расходы, понесенные из-за раскрытия сведений, и штраф. Сотрудника же будет ждать выговор или увольнение, а в самых серьезных случаях он может получить запрет на продолжение профессиональной деятельности до пяти лет или даже лишиться свободы на срок до четырех лет.

В настоящее время работа с медицинской документацией в электронном формате требует доработки, повышения уровня защиты, обращения к лучшему региональному опыту или зарубежным практикам.

Список литературы:

1. Федеральный закон "Об информации, информационных технологиях и о защите информации" от 27.07.2006 № 149-ФЗ. – Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_61798/ (дата обращения 05.09.2021).
2. Федеральный закон "О персональных данных" от 27.07.2006 № 152-ФЗ. – Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_61801/ (дата обращения 06.09.21).
3. Граванова Ю.А. CNews-аналитика. Электронный ресурс. – Режим доступа: https://www.cnews.ru/reviews/free/national2006/articles/safe/ (дата обращения 05.09.2021).
4. Официальный сайт РМИАЦ Карелии. – Режим доступа: http://rmiac.zdrav10.ru/inf-sys (дата обращения 06.09.21).
5. Электронная библиотека юридической литературы. – Режим доступа: www.allpravo.ru/library (дата обращения 06.09.21).