Персональные данные в здравоохранении

Медицинский сайт-отзовик выиграл дело об обработке персональных данных врачей без их согласия

Wavebreakmedia / Depositphotos.com

Районный суд (первая инстанция) подтвердил право интернет-ресурса на публикацию отзывов о работе врача, а, значит, на обработку общедоступных персональных данных врача без его согласия, тем более, если спорный электронный ресурс имеет статус СМИ (решение Центрального районного суда г. Воронежа Воронежской области от 28 ноября 2018 г. по делу № 2-2794/2018).

Поводом к иску стали негативные – и притом, частью, анонимные, – отзывы пациентов о работе медика, опубликованные на «медицинском отзовике». Сначала врач потребовал от администратора домена просто удалить эти отзывы. Администратор – он же владелец сайта – проверил доводы жалобы, но отзывы удалять не стал.

Тогда врач и его адвокат заявили к порталу иск о прекращении обработки персональных данных (другими словами, о публикации профиля – ФИО, места работы и должности): согласно закону, для такой обработки требуется письменное согласие субъекта персональных данных, а истец, разумеется, его не подписывал (ч. 4 ст. 9 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; далее – Закон о персональных данных).

Портал оборонялся следующим:

  • во-первых, он указал на свой статус СМИ, и заявил, что запрет на работу с персональными данными врачей фактически означает цензуру и нарушает право СМИ о доведении информации до заинтересованных лиц и пациентов,
  • во-вторых, информацию о врачах размещает вовсе не сам портал, а авторы отзывов (что подтверждается распечаткой журнала о сведениях по детальном действиям владельца IP адреса сайта),
  • в-третьих, у врача всегда есть право на опровержение негативных отзывов,
  • а в-четвертых, указал, что истинная причина иска – необходимость скрыть недостатки своей работы (в подтверждение данного довода представлено заключение центра психологии и бизнес консультирования).

В итоге суд полностью отказал медработнику в его требованиях (прекратить обработку данных и компенсировать моральный вред). Мотивы следующие:

Вывод: персональные данные врача публикуются на сайте его работодателя (медорганизации) в силу публичной деятельности врача, и их воспроизведение на портале с отзывами пациентов не нарушает конституционные права медработника.

Отметим, что истец не согласен с решением суда и подал апелляционную жалобу в региональный суд.

Источник: http://www.garant.ru/news/1235679/

Персональные данные в здравоохранении

Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с ЗАО «Сбербанк-АСТ». Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.

В рамках круглого стола речь пойдет о Всероссийской диспансеризации взрослого населения и контроле за ее проведением; популяризации медосмотров и диспансеризации; всеобщей вакцинации и т.п.

Программа, разработана совместно с ЗАО «Сбербанк-АСТ». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

В медицинское учреждение, работающее в системе обязательного медицинского страхования, поступило обращение об отзыве согласия на обработку персональных данных. Пациент требует уничтожить все имеющиеся о нем у учреждения данные.
Каковы действия учреждения в таком случае?

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Амирова Лариса

Ответ прошел контроль качества

27 сентября 2019 г.

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.

————————————————————————-
*(1) Страховой случай — совершившееся событие (заболевание, травма, иное состояние здоровья застрахованного лица, профилактические мероприятия), при наступлении которого застрахованному лицу предоставляется страховое обеспечение по обязательному медицинскому страхованию (п. 4 ст. 3 Закона N 326-ФЗ).

© ООО «НПП «ГАРАНТ-СЕРВИС», 2020. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

Все права на материалы сайта ГАРАНТ.РУ принадлежат ООО «НПП «ГАРАНТ-СЕРВИС». Полное или частичное воспроизведение материалов возможно только по письменному разрешению правообладателя. Правила использования портала.

Портал ГАРАНТ.РУ зарегистрирован в качестве сетевого издания Федеральной службой по надзору в сфере связи,
информационных технологий и массовых коммуникаций (Роскомнадзором), Эл № ФС77-58365 от 18 июня 2014 года.

ООО «НПП «ГАРАНТ-СЕРВИС», 119234, г. Москва, ул. Ленинские горы, д. 1, стр. 77, [email protected]

8-800-200-88-88
(бесплатный междугородный звонок)

Редакция: +7 (495) 647-62-38 (доб. 3145), [email protected]

Отдел рекламы: +7 (495) 647-62-38 (доб. 3136), [email protected] Реклама на портале. Медиакит

Если вы заметили опечатку в тексте,
выделите ее и нажмите Ctrl+Enter

Источник: http://www.garant.ru/consult/civil_law/1299054/

Как работать с персональными данными пациентов?

Обычно факты нарушения происходят из-за тотального непонимания медработниками законодательных требований по работе с персональной информацией и врачебной тайной. Задача руководителя вести разъяснительную работу со всем персоналом медорганизации: с врачами, медсёстрами, санитарами, сотрудниками регистратуры и другими.

Чтобы помочь руководителям и работникам медицинских организаций разобраться в этом вопросе, «Академия профессионального развития» провела вебинар «Законодательные требования к организации работы с персональными данными пациента и врачебной тайной в медицинских организациях: формирование внутреннего документооборота». Экспертом выступила юрист Юлия Павлова

Защита персональных данных пациента регулируется Федеральным законом от 21 ноября 2011 года N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» и Федеральным законом от 27 июля 2006 года N 152-ФЗ «О персональных данных». Также защита персональных данных пациента – обязательный элемент профстандартов.

Часто в правоприменительной практике юристы сталкиваются с тем, что средний медицинский персонал недооценивает необходимость сохранения врачебной тайны и персональной информации. В медицинском сообществе сложилось мнение, что это этическая норма. Да, правовой основой врачебной тайны является этика. Но эта этическая норма охраняется законом.

Читайте так же:  Судебные расходы вид расхода косгу

– Врачебная тайна – это не просто право пациента, это принцип охраны здоровья, утверждает Павлова.

Врачебную тайну нельзя разглашать даже после смерти пациента. Смерть гражданина не влечёт прекращения режима конфиденциальности информации о состоянии его здоровья, фактах обращения за медицинской помощью, лечении и так далее. Сведения, полученные при обследовании и лечении, в том числе личного характера — врачебная тайна.

Охрана врачебной тайны после смерти — международная норма. Родственники получают копии медицинской документации, если пациент при жизни выразил согласие.

Суды признают правомерными отказы медицинских учреждений в предоставлении сведений, составляющих врачебную тайну, по запросам адвокатов. Даже если пациент заключил соглашение с адвокатом об оказании юридической помощи, адвокат не вправе требовать предоставления информации, составляющей врачебную тайну.

С письменного согласия гражданина или его законного представителя допускается разглашение врачебной тайны в целях:

  • медицинского обследования и лечения пациента;
  • проведения научных исследований, их опубликования в научных изданиях;
  • использования в учебном процессе и в иных целях.

Законный представитель и представитель отличаются друг от друга в правовом смысле. Законные представители — родители, усыновители, опекуны и попечители. С 15 лет человек сам даёт согласие на отказ от медицинского вмешательства, и родители получают сведения о состоянии здоровья ребёнка только с его письменного согласия.

Павлова отмечает, что сейчас очень важен документооборот. Он является доказательной базой. Если согласие на обработку персональных данных подписывает ненадлежащий субъект — это пустая бумага.

Если человек не может подписать какой-то документ, то составляется акт, который подтвердит этот факт.

10 оснований для разглашения врачебной тайны

Предоставление сведений, составляющих врачебную тайну, без согласия гражданина или его законного представителя допускается:

  1. для проведения медицинского обследования и лечения человека, который не в состоянии выразить свою волю;
  2. при угрозе эпидемий, массовых отравлений и поражений;
  3. по запросу:
  • органов дознания и следствия, прокуратуры или суда во время расследования дела;
  • органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и контролем поведения условно осуждённого или освобождённого условно-досрочно;
  • органов исполнительной власти для контроля прохождения больными наркоманией лечения от наркомании и реабилитации, возложенного на них при назначении судом административного наказания.
  1. при оказании медпомощи несовершеннолетнему до 15 лет (больному наркоманией – до 16 лет) для информирования родителей или других законных представителей;
  2. для информирования полиции о поступлении пациента, вред здоровья которому причинён в результате противоправных действий;

Это не только право и законное основание для разглашения врачебной тайны, но ещё и обязанность медицинской организации.

  1. для проведения военно-врачебной экспертизы по запросам военных комиссариатов, военно-врачебных комиссий;
  2. для расследования профессионального заболевания или несчастного случая на производстве, в образовательной организации, в физкультурно-спортивной организации и во время спортивных соревнований;
  3. при обмене информацией медицинскими организациями для оказания медицинской помощи;
  4. для контроля в системе обязательного социального страхования;

– Когда эксперты запрашивают медицинскую документацию, то это законно, если это происходит в рамках осуществления ими контроля качества, поясняет Павлова. – Поэтому это абсолютно нормально. Вот раньше для этого не было основания и непонятно было. Ну, был подзаконный акт, который это регулировал, а это не может регулироваться никаким приказом Минздрава. Это должна быть норма Федерального закона.

  1. для контроля качества и безопасности медицинской деятельности.

Юлия Павлова советует не спешить предоставлять сведения. Сначала нужно удостовериться, что это сотрудники Росздравнадзора, которые имеют право получать сведения, проводить проверки, запрашивать медицинскую документацию и так далее. Сомневаетесь — спросите у юриста.

Требуется ли согласие пациента на видеонаблюдение в медорганизации?

Согласно Разъяснениям Роскомнадзора «О вопросах отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки» посетители публичных мест заранее извещаются администрацией о возможной фото- и видеосъёмке объявлениями и другими визуальными предупреждениями. При соблюдении указанных условий согласие пациента на фото- и видеосъёмку не требуется.

Системы аудио- и видеонаблюдения устанавливают для усиления безопасности и сохранности материальных ценностей и дорогостоящего оборудования, для внутреннего контроля качества и безопасности медицинской деятельности. Главное, чтобы эта информация не вышла за пределы медорганизации.

Как ведётся обработка персональных данных?

Обработка персональной информации производится только с согласия пациента и включает в себя:

  • сбор, запись и систематизацию;
  • накопление, хранение и уточнение – обновление или изменение;
  • использование и передачу;
  • обезличивание, блокирование и уничтожение.

Исключения:

  • обработка персональных данных для защиты жизни, здоровья или иных жизненно важных интересов пациента, если получение его согласия невозможно;
  • обработка персональных данных в медико-профилактических целях, в целях установления диагноза, оказания медицинских услуг при условии, что работу осуществляет профессиональный медицинский работник, который обязан сохранять врачебную тайну.

Отказ от подписания согласия на обработку персональных данных не может служить основанием для отказа от оказания медицинской помощи!

Сообщать такие сведения – право, а не обязанность пациента. Медицинская организация не может требовать представления этих сведений в принудительном порядке или отказывать пациенту в оказании медицинской помощи и заключении договора оказания медицинских услуг.

Что делать, если пациент требует уничтожить медицинскую карту?

В статье 79 закона «Об основах охраны здоровья граждан в Российской Федерации» говорится об обязанности медицинской организации вести медицинскую документацию в установленном порядке и предоставлять отчётность по видам, формам, в сроки и в объёме, которые установлены уполномоченным федеральным органом исполнительной власти.

Читайте так же:  Педсовет по профилактике правонарушений и преступлений несовершеннолетних

Сведения в медицинской карте необходимы для составления отчётности. Медкарту не уничтожают до истечения утверждённых сроков хранения, даже если этого требует пациент.

Как быть готовым к проверке Роскомнадзора?

Проверки подразделяются на плановые и внеплановые.

Внеплановые проверки проводятся, когда выявляются нарушения в действиях организации, осуществляющей обработку персональных данных, и когда в Роскомнадзор поступают обращения, жалобы граждан. О внеплановой проверке Роскомнадзор предупреждает за 24 часа до начала проверки.

Предупреждение о плановой проверке приходит максимум за 3 рабочих дня до даты её начала. Такие проверки проводятся по утверждённому на год плану, поэтому к ним можно и нужно заранее готовиться.

Чтобы узнать, когда ждать плановой проверки, зайдите на сайт Управления Роскомнадзора вашего региона и просмотрите план деятельности управления на текущий год.

Алгоритм подготовки к проверке:

  1. Проведите внутренний аудит для анализа процессов обработки персональной информации в учреждении.

В процессе аудита определяются:

  • перечень информационных систем, в которых обрабатываются данные;
  • цели обработки;

Для ЛПУ – это выполнение требований законодательства в сфере здравоохранения и оказание медицинских услуг населению.

  • в ЛПУ обрабатываются: ФИО, дата рождения, адрес, семейное положение, место работы и сведения о состоянии здоровья;
  • категории субъектов, данные которых обрабатываются в ЛПУ: пациенты и сотрудники учреждения.
  1. Назначьте ответственных за организацию обработки и за обеспечение безопасности персональной информации.

Как правило, в лечебно-профилактических учреждениях за организацию обработки персональных данных отвечает заместитель главного врача или сам главный врач, за обеспечение безопасности персональных данных – системный администратор или программист.

  1. Подготовьте необходимые документы.

В пакет документов обязательно входит Политика в отношении обработки персональных данных. Этот документ содержит в себе принципы и условия обработки персональной информации пациентов и сотрудников учреждения.

Политика размещается в общедоступном месте или на сайте ЛПУ, чтобы каждый мог с ней ознакомиться. Также подготавливаются приказы, положения, инструкции, которые позволяют выполнить все требования законодательства.

  1. Подайте уведомление о намерении осуществлять обработку персональных данных в Роскомнадзор.

В случае каких-либо изменений подаётся информационное письмо с перечнем этих изменений. Уведомление можно отправить в электронном виде через сайт Роскомнадзора. Распечатанную версию необходимо отправить по почте в Управление Роскомнадзора вашего региона. В течение 30 дней учреждение вносится в реестр операторов персональных данных.

Представители структуры обязательно ознакомятся с формой согласия на обработку персональных данных, в которой указывается их перечень, цель обработки и сроки её прекращения. Если организация передаёт данные третьему лицу, в форме указывается согласие субъекта на поручение обработки такому лицу. В договоре, заключённом с третьим лицом, отдельным пунктом прописываются условия конфиденциальности.

Роскомнадзор также обратит внимание на выполнение Положения о локализации хранения персональных данных. Информация о местонахождении баз данных должна быть указана в Политике и уведомлении или в информационном письме, если уведомление уже было отправлено.

Видео (кликните для воспроизведения).

Ещё одним важным требованием является ознакомление сотрудников с положениями законодательства РФ о персональных данных и локальными актами учреждения по вопросам обработки персональных данных. Во время проверки Роскомнадзор потребует предоставить соответствующие формы ознакомления.

Если во время проверки выявляются нарушения, то Роскомнадзор оформляет акт о выявлении нарушений с предписанием об их устранении и передаёт информацию в суд.

Приглашаем вас принять участие в Международной конференции для частных клиник «Инновационные подходы к удовлетворению ожиданий современных пациентов» , где вы получите инструменты для создания положительного имиджа вашей клиники, что повысит спрос на медицинские услуги и увеличит прибыль. Сделайте первый шаг на пути развития вашей клиники.

Источник: http://academy-prof.ru/blog/personalnye-dannye-pacienta-v-lpu

Рекомендации от 24 декабря 2009 г.

Рекомендации, Минздрав России, 24 декабря 2009

Категории: Департамент информационных технологий и связи; информатизация здравоохранения; Минздрав России; рекомендации.

DOC, 4.6 МБ

DOC, 4.1 МБ

ZIP, 806.6 КБ

Опубликован 29 декабря 2009, 21:00

Обновлён 29 декабря 2009, 21:00

Комментарии: 0

© 2019 Министерство здравоохранения Российской Федерации

Все материалы, находящиеся на сайте охраняются в соответствии с законодательством Российской Федерации, в том числе об авторском праве и смежных правах.

Источник: http://www.rosminzdrav.ru/documents/7570-recomendatsii

Защита персональных данных по карману не всем ЛПУ

В медицинских организациях сегодня хранятся огромные массивы персональных данных, причем значительная их часть содержит в определенной степени секретную информацию о пациентах. Недавний случай с сетью лабораторий «Инвитро», когда из-за компьютерного вируса Petya работа компании была парализована на несколько дней, лишний раз показал, насколько уязвимыми могут быть информационные системы медучреждений.

С развитием цифровых технологий киберпреступность будет только набирать обороты. Готовы ли к этому медицинские организации?

Антивирус нынче дорог

Как и следовало ожидать, крупные коммерческие медцентры довольно уверенно чувствуют себя в этом плане и практически не боятся кибератак. Как рассказал порталу Medvestnik.ru инженер информационной безопасности ОАО «Медицина» Сергей Смолин, в их клинике надежная система защиты персональных и медицинских данных. Антивирусная защита автоматически обновляется каждые 4 часа, поиск уязвимостей осуществляется сканером безопасности в ежедневном режиме, базы последнего обновляются также ежедневно.

Информационная система клиники аттестована на соответствие требованиям федерального закона №152-ФЗ (о персональных данных), ежегодно проводятся независимые аудиты системы управления информационной безопасностью организации на соответствие требованиям стандарта ISO 27001-2013. Также каждый год IT-система клиники тестируется на «взлом». Постоянно осуществляется резервирование информации. Наличие актуальных резервных копий проверяется ежедневно, периодически проводится их тестирование на предмет восстановления и корректности восстановленной информации. Большое внимание уделяется информированию, обучению и тестированию ответственных за этот сектор сотрудников.

Читайте так же:  Основания для оставления иска без рассмотрения апк

«Опыт последних лет показывает, что в самом наихудшем случае мы сможем восстановить работоспособность основных информационных систем клиники в период от 30 минут до полутора часов, при этом существует риск потери только той информации, которая была создана с момента последнего резервного копирования до момента аварии (как правило, это не более 6-8 часов). На время восстановления информационных систем в клинике предусмотрены процедуры работы на бумажных носителях», – сообщил Сергей Смолин.

В небольших частных медицинских организациях и государственных ЛПУ дела обстоят не так радужно — все упирается в финансирование

Как рассказала главный врач одного из подмосковных медицинских центров, не пожелавшая раскрывать свое имя, они защищают свою информацию только с помощью антивирусной программы «Лаборатории Касперского» и строго-настрого запрещают сотрудникам открывать электронные письма от неизвестных отправителей. Такая «беспечность» связана только с одним – с нехваткой оборотных средств.

Распределение утечек по типам данных, 2016 год

Источник: аналитический центр InfoWatch

В государственных медучреждениях примерно такая же картина – в крупных клиниках защита информационных систем поддерживается, как правило, на хорошем уровне, чего нельзя сказать о небольших организациях. И опять все упирается в финансирование.

Как сообщил порталу Medvestnik.ru руководитель Центра информационных технологий Боткинской больницы Анатолий Пыхтин, в их клинике предприняты достаточные меры безопасности. «Но нельзя забывать, что киберпреступность – это бич нашего времени, и от возможных кибератак сегодня не застрахован никто. В этом убедился весь мир на примерах вирусов Petya и WannaCry, от которых пострадали даже всемирно известные компании. Чтобы минимизировать угрозы, сотрудники информационной службы больницы регулярно проводят аудит системы, постоянно модернизируя программные и аппаратные средства защиты информации. Поскольку безопасность персональных данных пациентов – это первостепенная задача для нас, как крупнейшей многопрофильной клиники Москвы, мы в ежедневном режиме предпринимает все возможные меры как для защиты, так и для восстановления работоспособности системы обработки персональных данных в случае кибератак», — добавил он.

Врачам – закон

Несмотря на оптимистичные реляции представителей крупных клиник страны, проблемы с защитой, хранением и обработкой персональных данных в медицинских организациях страны остаются. Государство пытается регулировать ситуацию с помощью федерального закона №152-ФЗ от 2006 г., новыми изменениями в который предусмотрено ужесточение наказаний.

В соответствии с вступившими в силу изменениями, за нарушения в сфере обработки персональных данных будут наказывать строже.

С 1 июля 2017 года вносятся значительные изменения в ст. 13.11 КоАП. В частности, новая редакция кодекса будет предусматривать ответственность за обработку персональных данных в случаях, не предусмотренных законодательством, а также без получения письменного согласия на это их субъекта; необеспечение оператором обязанности по сохранности персональных данных при хранении их материальных носителей, если это привело к неправомерному или случайному доступу к персональным данным; невыполнение должностными лицами государственного или муниципального органа-оператора персональных данных обязанностей по обезличиванию персональных данных либо за нарушение требований к этому процессу.

Если обработка данных не соответствует заявленным целям, оштрафовать теперь могут на сумму от 30 до 50 тыс. рублей; при отсутствии письменного согласия субъекта (пациента или сотрудника) на обработку его персональных данных – от 15 до 75 тыс.; если медорганизация не разместила в открытом доступе документ, определяющий политику обработки персональных данных и требования к их защите – от 15 до 30 тыс.; за непредоставление в течение 30 дней информации пациенту по его персональным данным (по его запросу) – от 20 до 40 тыс.; за невыполнение в течение 7 дней обоснованного требования субъекта по уточнению или изменению его персональных данных – от 25 до 45 тыс.; за несанкционированный допуск к персональным данным – от 25 до 40 тыс. рублей.

Теперь, чтобы оштрафовать медорганизацию, представителям Роскомнадзора достаточно будет «погулять» по ее сайту. Предупреждать о такой проверке инспекторы не обязаны. При этом возбуждать дела об административных нарушениях отныне смогут сами проверяющие – без передачи информации в прокуратуру, как было раньше.

Смогут ли эти нововведения дисциплинировать клиники и в результате повысить культуру обращения с персональными данными и уровень их защиты или только в очередной раз увеличат нагрузку на медицинские учреждения – как организационную, так и финансовую?

«Ужесточение закона о персональных данных, безусловно, повысит нагрузку на медицинские организации. Вместе с тем со временем дисциплинирует и убедит их руководство в необходимости защиты данных. В дальнейшем эти меры помогут либо снизить, либо вообще исключить возможность использования таких данных злоумышленниками», – полагает Анатолий Пыхтин.

Заместитель директора по безопасности, начальник управления информационной безопасности Группы компаний «Медси» Дмитрий Горячев также оценил нововведения положительно: «Они заставят операторов персональных данных более внимательно относиться к выполнению требований федерального законодательства и подзаконных актов, обеспечивать как фактическую защиту данных – внедрять современные программно-аппаратные комплексы по их защите, так и заниматься всем необходимым документальным сопровождением в рамках выполнения требований законодательства».

Опрошенные главврачи небольших медицинских учреждений – как частных, так и государственных – видят в ужесточениях очередную попытку пополнить бюджет, в том числе и за их счет, поскольку допускаемые ими «нарушения» в части персональных данных зачастую свидетельствуют не о безалаберности, а, как правило, упираются в недостаточность финансирования. Кроме того, они отметили, что часто сталкиваются с некомпетентностью и предвзятостью проверяющих, и просили подчеркнуть, что они не против проверок как таковых, но ждут от них не неминуемых наказаний, как зачастую происходит сейчас, а объективного разбора ситуации с дальнейшей возможностью устранения обнаруженных недостатков. «Целью любой проверки должно стать не наказание, а исправление сложившегося положения дел, в этом мы, главврачи, заинтересованы как никто другой», – заявила главный врач подмосковного медцентра.

Читайте так же:  Судебные издержки в арбитражном суде

Человеческий фактор

К сожалению, глобальные усилия регуляторов в сфере защиты персональных данных пациентов не затрагивают участившихся случаев передачи медиками информации о тяжелобольных людях похоронным агентствам. По словам главного врача ГКБ №71 Александра Мясникова, такая проблема действительно существует. «И это мерзко. Я никогда не пойму врачей, которые за очень небольшие деньги продают совесть и преступают законы врачебной этики, как гиены карауля умирающего в надежде поживиться. К сожалению, их крайне трудно выявить. Мы иногда определяем, с какого телефона звонили в агентство, из какого отделения, вычисляем, кто был на дежурстве в это время, и предупреждаем: если только поймаем за руку или хотя бы подозрения будут достаточно обоснованы, сотрудник немедленно будет уволен. Но этих мер, конечно, недостаточно», — сетует он.

По данным компании InfoWatch, в 68% случаев виновными в утечке информации оказываются сотрудники, в 8% случаев — руководство организаций

Распределение утечек по виновнику, 2016 год

Вероятно, уже пришло время серьезно заняться этой проблемой и, называя вещи своими именами, перевести это деяние из разряда административного нарушения в преступление против личности. Остается только определиться, как правильно его квалифицировать и какую доказательную базу использовать для его раскрытия.

Партнер «Лиги защиты прав пациентов» адвокат Дмитрий Чипчиу разъясняет: «В действующем законодательстве нет какой-либо специальной нормы (статьи) уголовного права, предусматривающей ответственность за так называемую торговлю адресами умерших. Но такие деяния можно квалифицировать в рамках статьи 137 УК РФ – «Нарушение неприкосновенности частной жизни». За совершение преступления, подпадающего под часть 1 данной статьи (незаконное получение или распространение сведений о частной жизни лица, которые составляют его семейную или личную тайну, без его согласия и для получения личной выгоды), можно получить наказание до двух лет лишения свободы. Те же деяния, совершенные с использованием служебного положения, наказываются строже: медицинские работники могут быть лишены свободы на срок до четырех лет и права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет.

Конечно, поймать за руку занимающихся таким «промыслом» бывает непросто, но если это удалось, доказательной базой могут послужить показания свидетелей (коллег, пациентов, иных лиц), которым стали известны какие-либо обстоятельства, а также любые другие доказательства, например, записи телефонных разговоров, с видеокамер. В отечественной практике пока нет примеров возбуждения дел по ч. 2 ст. 137 УК РФ в отношении медицинских работников. Однако случались прецеденты, когда правоохранительным органам все же удавалось пресечь факты торговли адресами умерших, но тогда возбуждались совокупные уголовные дела – в отношении медицинских работников и работников участково-уполномоченных служб полиции, и совсем по другой статье – «получение взятки должностным лицом», отмечает адвокат.

Кстати, именно по этой статье накануне было возбуждено уголовное дело в отношении фельдшера Саратовской городской станции скорой медицинской помощи, пойманного на передаче сведений, составляющих врачебную тайну, представителям ритуальных компаний.

Источник: http://medvestnik.ru/content/articles/Zashita-personalnyh-dannyh-po-karmanu-ne-vsem-LPU.html

Информационная безопасность в здравоохранении

Обеспечение корректного использования медицинских данных
с помощью DLP-системы

К линики, медицинские центры, другие учреждения здравоохранения сталкиваются с большим количеством персональных данных как сотрудников, так и клиентов. Многие документы попадают в категорию врачебной тайны. Поэтому информационная безопасность в медицине переходит на новый уровень.

Медучреждения переходят на электронный документооборот, автоматизируется ведение электронного учета или медицинских карт пациентов. Нельзя сказать, что вопросом оптимизации регистратур или безопасности баз данных заинтересовались в системе здравоохранения только сейчас. Впервые хранить документацию, используя компьютер, предложил Николай Амосов (знаменитый советский хирург). С развитием информационных технологий ускорился и переход медучреждений на новый уровень обработки и хранения персональных данных.

Характерные особенности медицинских информационных систем

Без информационной трансформации повысить эффективность оказания медицинских услуг невозможно. Как и любая отрасль, здравоохранение имеет свои особенности.

В сфере информационного обеспечения эти особенности проявляются в следующем:

Наличие четких требований к информационной безопасности баз данных. Это обусловлено тем, что обрабатываемая данные принадлежат к первому классу информационных систем. Сведения о состоянии здоровья – одна из самых личных категорий информации. В этот класс входят данные, разглашение которых может привести к чувствительным негативным результатам для лица и безопасность которых не была обеспечена должным образом.

Низкий уровень автоматизации информационного обеспечения государственных медучреждений. В большинстве случаев оборудование, которым располагают указанные учреждения, несовременное и разнородное.

  • Необходимость обеспечения доступа к системам информации. Это позволит проконтролировать эксплуатацию систем диагностики, клинического оснащения, закупку и расход медикаментов, соблюдение протоколов лечения.
  • Обеспечение безопасности медицинских сведений регламентировано законодательно на федеральном уровне.

    Концепция создания единой государственной информационной системы

    Концепция создания единой государственной информационной системы в сфере здравоохранения (ЕГИСЗ) регламентирует основные положения информационного обеспечения учреждений здравоохранения.

    ЕГИСЗ предусматривает создание региональных проектов модернизации электронных баз данных, нормы электронного документооборота между медучреждениями, соответствие стандартам медицинских информационных систем, наличие всероссийского центра обработки информации, обеспечение компьютерной техникой.

    Читайте так же:  Порядок подачи апелляционной жалобы по гражданскому делу

    Способы реализации ЕГИСЗ

    Для защиты сведений в системе здравоохранения применяются такие методы:

    • юридические;
    • организационно-управленческие;
    • технические (программное обеспечение).

    Юридические механизмы устанавливают ответственность за нарушение правил использования данных, сдерживая возможных нарушителей.

    Организационно-управленческие методы прописывают рамки, условия работы ресурсов, функции сотрудников, а также систему взаимоотношений между абонентами и администратором.

    Защитные механизмы обеспечены техническими средствами. Они блокируют свободный доступ недобросовестных пользователей к информации, «опознают» абонентов, устанавливают ограничения на доступ и редактирование сведений, обеспечивают криптографическую охрану баз данных.

    Защиту от утечек информации, а также адресную блокировку доступа к закрытым сведениям обеспечит DLP-система «СёрчИнформ КИБ».

    Способы автоматизации и обеспечения информационной безопасности в медицинских организациях зависят от размера организации, объема обрабатываемых сведений. Крупные учреждения имеют собственные центры обработки персональной информации. Они ответственны за обмен сведениями, синхронизацию систем электронной корреспонденции. В небольшой организации достаточно возможностей региональных центров сбора, обработки сведений. Требования к технической оснащенности и компьютерному обеспечению таких медучреждений значительно ниже.

    Информационное сопровождение необходимо для реализации управленческой и технологической деятельности. Для облегчения процесса автоматизации, обеспечения информационной защиты требуются разработка и внедрение типовых комплексных программ по защите конфиденциальных сведений.

    Данные, обрабатываемые в медучреждениях, – это сведения, относящиеся к врачебной тайне. Их защита обеспечена на законодательном уровне. Поэтому защита МИС (медицинские информационные системы) представляет собой комплекс мероприятий, включающий:

    • предоставление комплекса сведений;
    • защиту от несанкционированного доступа к системе или данным.

    Если указанные направления не будут защищены должным образом, ответственность за распространение закрытых сведений возлагается на руководство медучреждения.

    Аппаратный тонкий клиент

    Министерством охраны здоровья РФ разработаны рекомендации по оборудованию организаций здравоохранения специальным компьютерным приспособлением – аппаратным тонким клиентом. Это приспособление, работа которого обеспечивается отдельной операционной системой, направленной на выполнение одного задания – формирование связи с сервисом терминала для работы абонента.

    Информационная структура медучреждения предполагает размещение базовых приложений на сервере, связь с которым обеспечивается с помощью аппаратных клиентов на рабочем месте персонала.

    Отличие терминала от ПК

    Тонкий клиент имеет ряд плюсов по сравнению с обычным компьютером:

    • компактность и практичность;
    • усиление безопасности сберегаемых данных;
    • отсутствие единого хранилища письменной документации;
    • увеличение времени эксплуатации;
    • подконтрольность сети, возможность контролировать ее объем;
    • простота обновления и работы;
    • легкость установки;
    • доступность применения каждому сотруднику;
    • отсутствие наличия высокоскоростной связи.

    Реализация типовых комплексных программ

    Техническое обеспечение реализации концепции информационной защиты включает в себя:

    • юридически обеспеченное электронное документоведение;
    • отсутствие дубликата зафиксированных данных на бумаге;
    • заверка электронных документов цифровой подписью;
    • обеспечение безопасности информационных баз данных.

    На рынке информационных систем уже представлены комплекты оборудования, разработанные в соответствии с требованиями Министерства здравоохранения, представляющие собой набор сервера-терминала и аппаратного клиента с включенными модулями защищенного ввода и определения абонента.

    Включенный аппаратный клиент обеспечивает безопасный доступ к образу всей базы данных.

    Аутентификация абонента производится с помощью ввода личного ключа и секретного кода. Загрузка системы производится исключительно после проверки соответствия введенных паролей доступа.

    Терминал производит разграничение доступа отдельных абонентов, обеспечивая аппаратную защиту сведений в медицинской сфере.

    Администратор обеспечивает опознавание персональных кодов доступа. Это позволяет терминальному ресурсу установить связь с сервером и «опознать» абонента.

    Начать работу с удаленным сервером через тонкий терминал абонент может после ввода персонального ключа и кода доступа. Таким образом, система идентифицирует клиента и гарантирует защиту информационной базы.

    Внедрение технологии «опознавания» абонента предполагает наличие руководящего звена (администратора), наделенного полномочиями свободного доступа к размещенным сведениям, а также установки ограничений для других абонентов системы.

    Электронная подпись

    Заверить электронный документ подписью позволяет разработанная программа, обеспечивающая ее проверку и оформление. Работает программа в онлайн-режиме. Завершенное программное обеспечение аппаратного клиента на базе отдельной операционной системе запускается только в ограниченном режиме «для чтения».

    Операционная система, обеспечивающая заверение документов электронной подписью, состоит из:

    • хранилища подписей;
    • отдельного браузера, обеспечивающего предпросмотр и заверение документов в системе медицины;
    • драйверов, отвечающих за функционирование локальных терминалов.

    Перспективы автоматизации МИС

    Программа независимых гарантий предусматривает образование системы персонифицированного учета оказания медицинских услуг. Подобная система способна обеспечить регистрацию:

    1. оказанных услуг;
    2. медперсонала;
    3. закупок медикаментов.

    Таким образом, будет облегчено управление учреждением здравоохранения. С помощью подобной системы удается решить вопросы:

    • формирования единой базы лечебных организаций с указанием видов оказываемых услуг, персонала, техоборудования, результативности работы;
    • образования общего списка клиентов;
    • формирования и введения базовой системы надзора над качеством оказания медицинских услуг в соответствии с государственными и международными стандартами (медицинскими и экономическими);
    • формирования реестра важных социальных неинфекционных болезней с учетом количества обратившихся и территории их проживания. В данном реестре будут отображены динамические факторы показателей: количество заболевших, риски, смертность.

    Формируют исходную информацию организации здравоохранения на местах. Региональное управление осуществляется специально созданными информационными центрами.

    Для этого на администрацию лечебного учреждения возлагаются функции:

    • анализа использования финансовых ресурсов медучреждениями;
    • оценки кадрового обеспечения отдельных организаций;
    • мониторинга оказания отдельных видов медицинской помощи населению;
    • расчета стоимости закупок необходимых медикаментов;
    • прогнозирования затрат на обеспечение медицинского обслуживания граждан по страховке.

    Программы автоматизации ИС в здравоохранении обеспечивают мониторинг качества и уровня оказания помощи, соблюдения санитарно-гигиенических норм, оценивание результатов работы местных медицинских органов управления и отдельных лечебных организаций.

    Видео (кликните для воспроизведения).

    Источник: http://searchinform.ru/resheniya/otraslevye-resheniya/informatsionnaya-bezopasnost-v-zdravookhranenii/

    Персональные данные в здравоохранении
    Оценка 5 проголосовавших: 1

    ОСТАВЬТЕ ОТВЕТ

    Please enter your comment!
    Please enter your name here