Защита персональных медицинских данных

Предлагаем ознакомиться с тематической статьей, в которой полностью освящен вопрос: защита персональных медицинских данных. Если после прочтения останутся дополнительные вопросы или уточнения, то обратитесь к дежурному юристу.

Содержание

  • Вопрос: Лечебное учреждение берет с пациентов согласие на хранение, обработку и передачу персональных данных. Оно подшивается в медицинскую карту. По нормам Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» персональные данные субъекта могут быть отозваны по его письменному заявлению. Пациент, отзывая согласие на обработку своих персональных данных, требует уничтожить медицинскую карту. Обязана ли медицинская организация исполнить данное требование пациента? Как в таком случае взаимодействовать, например, со страховыми медицинскими организациями в сфере обязательного медицинского страхования? (ответ службы Правового консалтинга ГАРАНТ, август 2014 г.)

    Лечебное учреждение берет с пациентов согласие на хранение, обработку и передачу персональных данных. Оно подшивается в медицинскую карту. По нормам Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» персональные данные субъекта могут быть отозваны по его письменному заявлению. Однако согласно нормам хранения медицинской документации, в которую вносятся персональные данные, она хранится в регистратуре 5 лет.

    Пациент, отзывая согласие на обработку своих персональных данных, требует уничтожить медицинскую карту.

    Обязана ли медицинская организация исполнить данное требование пациента? Как в таком случае взаимодействовать, например, со страховыми медицинскими организациями в сфере обязательного медицинского страхования?

    1. В соответствии со ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ) персональными данными (далее — ПДн) является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПДн). Любые действия (операции) с ПДн, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение ПДн признаются обработкой ПДн (п. 3 ч. 1 ст. 3 Закона N 152-ФЗ).

    Согласно ст. 6, ст. 9 Закона N 152-ФЗ по общему правилу обработка ПДн допускается только с согласия субъектов ПДн, за исключением случаев, перечисленных в п.п. 2-11 ч. 1 ст. 6 Закона N 152-ФЗ. В частности, обработка ПДн без согласия субъектов ПДн допускается, если она необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн (п. 5 ч. 1 ст. 6 Закона N 152-ФЗ).

    Однако в силу ч. 2 ст. 6 Закона N 152-ФЗ обработка специальных категорий ПДн (в частности сведений, касающихся состояния здоровья) регулируется специальными правилами ст. 10 Закона N 152-ФЗ. Подобные сведения могут обрабатываться без согласия субъектов ПДн только в случаях, предусмотренных п.п. 2-9 ч. 2 ст. 10 Закона N 152-ФЗ. К таковым относится в том числе ситуация, когда обработка ПДн осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну (п. 4 ч. 2 ст. 10 Закона N 152-ФЗ).

    Отметим, что на основании ст. 13 Федерального закона от 21.11.2011 N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» (далее — Закон N 323-ФЗ) сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну. Врачебная тайна в соответствии с Указом Президента РФ от 06.03.1997 N 188 включена в перечень сведений конфиденциального характера. Соответственно, медицинская организация обязана соблюдать как врачебную тайну, так и требования о защите ПДн, в том числе при создании локальных информационных систем, содержащих данные о пациентах и об оказываемых им медицинских услугах (п. 5 ст. 78 Закона N 323-ФЗ). При этом федеральным законодателем предусмотрен ряд исключений из общего правила о недопустимости разглашения сведений, составляющих врачебную тайну. В частности, предоставление данных сведений без согласия гражданина допускается для осуществления контроля качества и безопасности медицинской деятельности (п. 10 ч. 4 ст. 13 Закона N 323-ФЗ).

    Медицинская карта амбулаторного больного, согласно Инструкции по заполнению учетной формы N 025/у-04 «Медицинская карта амбулаторного больного», утвержденной приказом Минздравсоцразвития России от 22.11.2004 N 255 «О Порядке оказания первичной медико-санитарной помощи гражданам, имеющим право на получение набора социальных услуг» (далее — Инструкция), является основным первичным медицинским документом больного, проходящего лечение амбулаторно или на дому, и заполняется на каждого пациента при первом обращении за медицинской помощью в лечебное учреждение. В ней содержатся ПДн пациента, а также информация об обращении пациента за медицинской помощью, о состоянии его здоровья, методах лечения и т.д. Иными словами, медицинская карта служит документальным подтверждением проводимых лечебно-диагностических мероприятий, документирует организацию медицинской помощи пациенту, взаимодействие лечащего врача с другими специалистами и службами. Вся клиническая информация о больном должна быть включена в медицинскую карту детализировано согласно Инструкции. При этом медицинская карта служит для защиты прав как самого пациента, так и медицинской организации в целом.

    Заметим, что речь в приведенной о тех сведениях, при помощи которых можно идентифицировать конкретного человека, его ПДн. По смыслу п. 8 ч. 1 ст. 3 Закона N 152-ФЗ, уничтожение ПДн необязательно требует уничтожения материального носителя — самой медицинской карты. По нашему мнению, достаточно лишь удалить (вымарать) из нее сведения, позволяющие идентифицировать субъекта ПДн, или обезличить её. Полагаем, что в таком виде сведения о состоянии здоровья пациентов могут и далее обрабатываться, например, в статистических, научно-исследовательских целях и т.п. (п. 9 ч. 1 ст. 6 Закона N 152-ФЗ).

    На этом основании, по нашему мнению, медицинская организация должна письменно уведомить пациента, который отозвал свое согласие на обработку его ПДн, о невозможности совершения подобных действий до достижения конечной цели такой обработки.

    2. Пунктом 9 ч. 4 ст. 13 Закона N 323-ФЗ предусмотрена возможность передачи сведений, составляющих врачебную тайну, без согласия гражданина или его законного представителя также в целях осуществления учета и контроля в системе обязательного социального страхования.

    Обязательное медицинское страхование (ОМС), в силу п. 1 ч. 1 ст. 3 Федерального закона от 29.11.2010 N 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации» (далее — Закон N 326-ФЗ), представляет собой особый вид обязательного социального страхования, включающий систему создаваемых государством правовых, экономических и организационных мер, направленных на обеспечение при наступлении страхового случая гарантий бесплатного оказания застрахованному лицу медицинской помощи за счет средств обязательного медицинского страхования в пределах территориальной программы обязательного медицинского страхования и в установленных Законом N 326-ФЗ случаях в пределах базовой программы обязательного медицинского страхования.

    Читайте так же:  Образцы исковых заявлений о лишении родительских прав

    Гражданам РФ гарантируются предоставление бесплатной медицинской и лекарственной помощи и ее оплата через систему ОМС. При этом в сфере ОМС ведется персонифицированный учет сведений о застрахованных лицах и персонифицированный учет сведений о медицинской помощи, оказанной застрахованным лицам (ч. 1 ст. 43 Закона N 326-ФЗ). Персонифицированный учет, сбор, обработка, передача и хранение сведений осуществляются Федеральным фондом и территориальными фондами, Пенсионным фондом Российской Федерации и его территориальными органами, страховыми медицинскими организациями, медицинскими организациями и страхователями для неработающих граждан в соответствии с полномочиями, предусмотренными настоящим Федеральным законом (ч. 3 ст. 43 Закона N 326-ФЗ). Соответственно, на медицинские организации возлагается обязанность, наряду с другими, предоставлять страховым медицинским организациям и территориальному фонду сведения о застрахованном лице и об оказанной ему медицинской помощи, необходимые для проведения контроля объемов, сроков, качества и условий предоставления медицинской помощи*(1) (п. 3 ч. 2 ст. 20 Закона N 326-ФЗ). Источником же этих данных, в первую очередь, является медицинская карта амбулаторного больного (ч. 1 ст. 91 Закона N 323-ФЗ), что опять же свидетельствует о невозможности уничтожения этого документа.

    Таким образом, обработка персональных данных пациента, осуществляемая в целях исполнения норм законодательства об обязательном медицинском страховании, допустима и в отсутствие согласия самого субъекта, но в том объеме, в котором это установлено Законом N 326-ФЗ. При этом сведения о застрахованном лице и об оказанной ему медицинской помощи могут предоставляться в виде документов как в письменной форме, так и в электронной форме при наличии гарантии их достоверности (подлинности), защиты от несанкционированного доступа и искажений. В этом случае юридическая сила представленных документов подтверждается усиленной квалифицированной электронной подписью в соответствии с законодательством Российской Федерации. Решение о возможности предоставления информации в электронной форме принимается совместно участниками информационного обмена (ч. 5 ст. 44 Закона N 326-ФЗ).*(2)

    Эксперт службы Правового консалтинга ГАРАНТ

    Ответ прошел контроль качества

    7 августа 2014 г.

    *(1) Заметим, если срок хранения ПДн не установлен договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, то хранение ПДн должно осуществляться не дольше, чем этого требуют цели обработки персональных данных (ч. 7 ст. 5 Закона N 152-ФЗ). При этом цель обработки определяется самим оператором (п. 2 ст. 3 Закона N 152-ФЗ).

    *(2) Порядок информационного взаимодействия при осуществлении информационного сопровождения застрахованных лиц при организации оказания им медицинской помощи страховыми медицинскими организациями в сфере обязательного медицинского страхования утвержден приказом ФОМС от 20.12.2013 N 263.

    Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете приобрести документ за 75 рублей или получить полный доступ к системе ГАРАНТ бесплатно на 3 дня.

    Купить документ Получить доступ к системе ГАРАНТ

    Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

    Правовой консалтинг является уникальной услугой индивидуального консультирования по правовым вопросам, которая предоставляется пользователям непосредственно во время работы с системой ГАРАНТ.

    Основные преимущества услуги Правового консалтинга:

    Удобство использования — в любой момент при работе с системой ГАРАНТ можно обратиться за персональной консультацией и получить ответ на интересующий вопрос, ответы хранятся в системе ГАРАНТ и содержат гиперссылки на дополнительные тематические материалы, содержащиеся в системе.

    Гарантия качества — служба Правового консалтинга состоит из квалифицированных экспертов в области бухгалтерского учета и налогообложения, трудового и гражданского права в сфере регулирования предпринимательской деятельности. Все ответы проходят обязательную дополнительную централизованную экспертизу рецензентами службы Правового консалтинга.

    Оперативность — срок ответа на вопросы пользователя, принятые к рассмотрению, составляет два дня.

    Для того чтобы воспользоваться услугой Правового консалтинга, выберите в основном меню системы ГАРАНТ раздел «Правовая поддержка» (или используйте сочетание клавиш Alt + F1) и в открывшемся окне введите свой вопрос.

    Более подробную информацию о данной услуге Вы можете получить, обратившись к Разделу «Правовая поддержка» Руководства пользователя (клавиша F1) или у Вашего специалиста по обслуживанию.

    Источник: http://base.garant.ru/57573341/

    Защита персональных данных в медицинских учреждениях

    Мы уже писали о требованиях Федерального закона от 27.07.2006 г. 152-ФЗ «О персональных данных» — они общеизвестны. Приведем лишь несколько цитат из Федерального закона от 21 ноября 2011 года N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации».

    1. Медицинская организация обязана:

    4) соблюдать врачебную тайну, в том числе конфиденциальность персональных данных, используемых в медицинских информационных системах;

    Обеспечение защиты персональных данных требуется и в случае оказания телемедицинских услуг

    Применение телемедицинских технологий при оказании медицинской помощи осуществляется с соблюдением требований, установленных законодательством Российской Федерации в области персональных данных, и соблюдением врачебной тайны.

    Создаваемые медицинские информационные системы, содержащие данные о пациентах, об оказываемой им медицинской помощи, о медицинской деятельности медицинских организаций должны создаваться также с соблюдением требований, установленных законодательством Российской Федерации в области персональных данных.

    Обработка персональных данных в информационных системах в сфере здравоохранения осуществляется с соблюдением требований, установленных законодательством Российской Федерации в области персональных данных, и соблюдением врачебной тайны.

    Напомним, что персональные данные это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных — ст. 3 ФЗ-152), в том числе сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (Указ Президента РФ № 188 от 06.03.1997). В медицинских учреждениях персональные данные могут находиться в личных делах сотрудников, записях в базе данных программ расчета заработной платы, медицинских картах, базах данных, содержащих данные медицинской статистики

    Следует учитывать, что 152-ФЗ относит данные о состоянии здоровья пациента к специальной категории ПДн, обработка которых разрешается только при наличии письменного согласия субъекта ПДн или в исключительных случаях, предусмотренных статьей 10 данного закона (в случаях когда обработка ПДн необходима для защиты жизни или здоровья субъекта, либо жизни и здоровья других лиц, и получение согласия субъекта невозможно или когда обработка ПДн осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка ПДн осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну).

    Персональными данными может оказаться любая информация, которая как мы уже указывали выше позволяет так или иначе идентифицировать субъекта ПДн. Судебные решения это утверждение только подтверждают. Так, согласно этим решениям персональными данными являются:

    • информация о смерти физического лица (постановление АС Поволжского округа от 25.09.2014 по делу № А49-2005/2014);
    • номер мобильного телефона (апелляционное определение Алтайского краевого суда от 29.09.2015 по делу № 33–9241/2015);
    • фотографии физического лица (апелляционное определение Свердловского областного суда от 09.04.2015 по делу № 33–5232/2015).

    При этом обеспечиваться защита должна с помощью продуктов, прошедших в установленном порядке процедуру оценки соответствия (ст. 19 152-ФЗ) в форме сертификации. Это например декларируется в Приказе ФСТЭК России № 21 от 18.02.2013:

    Читайте так же:  Определение о проведении предварительного судебного заседания

    Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия.

    В качестве примера сертифицированных решений можно привести Dr.Web Enterprise Security Suite компании «Доктор Веб». Данная линейка решений имеет сертификаты ФСТЭК России (сертификат действует до 27.01.2025), ФСБ России, Министерства обороны Российской Федерации. Это позволяет использовать их для защиты:

    • ИСПДн до 1го уровня защищенности включительно;
    • ГИС и МИС до 1го класса защищенности включительно;
    • объектов критической инфраструктуры вплоть до высшего уровня;
    • систем обработки сведений, содержащих государственную тайну.

    Dr.Web Enterprise Security Suite внесен в «Единый реестр российских программ для электронных вычислительных машин и баз данных» Министерства связи и массовых коммуникаций РФ.

    Читайте похожие статьи:

    Хотите купить софт? Позвоните партнерам фирмы «1С», чтобы получить квалифицированную консультацию по выбору программ для ПК, а также информацию о наличии и цене лицензионного ПО.

    Источник: http://www.1csoft.ru/publications/8144/28110231/

    Клятва Гиппократа или как защищать информацию в медицинских учреждениях

    Не зря кто-то однажды сказал: “Кто владеет информацией, тот владеет миром” – потому что с появлением Интернета, информационных технологий и их развитием, информация перестала иметь границы, и каждый из нас может без труда найти то, что необходимо. Однако без обратной стороны медали здесь не обойтись — информация всегда может быть использована в корыстных целях, кто-то захочет владеть, не принадлежащей ему информацией и использовать ее либо для своих личных выгод, либо для шантажа или причинения вреда другим людям.

    Проблема

    Резкая оцифровка информации в секторе здравоохранения улучшила медицинские услуги; однако это развитие имеет опасный побочный эффект: риск информационной безопасности. В 2016 году нарушения информационной безопасности в секторе здравоохранения затронули более 27 миллионов записей пациентов. В ближайшие несколько лет показатели количества краж будут только увеличиваться.

    Стратегии, которые разрабатываются для защиты данных о пациентах, должны не только реагировать и защищать данные, но также предвидеть и предотвращать любые наступательные действия, совершенные киберпреступниками.

    Хакеры всегда заняты «прокачиванием» своих методов и подходов. Они используют различные способы выявления и использования даже самых маленьких лазеек в ваших системах и сетях.
    Данные о пациентах очень полезны для хакеров. Они могут продавать украденные данные на черном рынке, использовать их в мошенничестве, продавать их иностранным агентствам, продавать информацию о личности пациента другим преступникам и использовать данные в незаконных финансовых транзакциях.

    Схема потоков медицинских данных

    Случаи кражи персональных данных

    В Израиле произошла масштабная кража данных пациентов больниц и поликлиник.

    На одном из сайтов Алтайского края оказались выложенными в открытом доступе персональные данные пациентов: имена, места прописки, сведения о поставленном диагнозе.

    Спецслужбы Литвы расследуют компьютерный взлом клиники пластической хирургии — из базы данных хакеры похитили фотографии и персональные данные пациентов.

    Но вот в чём вопрос: зачем отечественным хакерам взлом российских больничных систем, если они не интересны налоговым мошенникам, как в США? Информацию такого рода мошенники будут использовать для телефонного фишинга. По-прежнему остается актуальным банальный шантаж пациента (угроза разглашения информации). Можно шантажировать и организации (угроза судебных преследований компании, допустившей утечку, со стороны пациентов). К сожалению, украденная медицинская информация, в отличие от украденной банковской информации, не имеет срока давности.

    Что же с этим всем делать?

    Конечно, нет универсального метода или программы, который позволит обеспечить защиту информационной системы и полностью обезопасить её. Однако комплекс методов с большей долей вероятности позволит обезопасить информационные системы, размещенные в медицинских учреждениях.

    Западные коллеги предлагают нанимать специалистов, которые будут осуществлять руководство отделом безопасности, сокращенно CSO (Chief Security Officer). Такие специалисты обязательно проходят проверки и аттестации на соответствие системы защиты нормативным требованиям. В нашей стране подобные проверки осуществляет ФСТЭК — Федеральная служба по техническому и экспортному контролю.

    Применение различных стратегий также помогает предотвращать нарушения и кражу данных в области здравоохранения. Одной из существующих на сегодняшний день технологий по защите информации является технология VDI.

    С помощью программы возможно создавать виртуальную IT-инфраструктуру и полноценные рабочие места на базе одного сервера, на котором работает множество виртуальных машин. Главное преимущество и фактор, влияющий на выбор VDI технологии — это безопасность. Уровень безопасности настолько высок, что пользователь не сможет скопировать данные о пациентах на флэшку и вынести их за пределы VDI. Сотрудники медицинских учреждений могут получать доступ к информации о пациенте из облака, не загружая и не сохраняя ее непосредственно на компьютере.

    Технология VDI является зарубежной разработкой, однако уже на протяжении нескольких лет успешно применяется в нашей стране в различных сферах, в том числе и медицине.
    Ещё один из способов защиты – технология блокчейн.

    Большое количество пациентов посещает медицинские учреждения, тонны бумаг и медицинских карт используется при этом. Что если бы вся эта информация, которая пылиться на полках, хранилась бы в едином виде и месте онлайн? Возможно, это был бы большой шаг вперед всего здравоохранения.

    Технология блокчейн – способ, который смог бы решить эту проблему, обеспечить такой легкодоступный и безопасный онлайн-каталог. Технология позволяет обеспечить анонимность в использовании. В здравоохранении эта технология может быть применима для хранения данных. В этой сфере есть противоречие между конфиденциальностью личных данных и необходимостью доступа врача в случае чрезвычайных ситуаций. Технология способна обеспечить безопасное управление базами данных.

    Что же на практике?

    Видео (кликните для воспроизведения).

    В России существуют попытки создания единой государственной информационной системы в сфере здравоохранения (ЕГИСЗ).

    В рамках проекта ЕГИСЗ ведутся работы по оснащению медицинских учреждений компьютерным, телекоммуникационным оборудованием и средствами информационной безопасности, созданию региональных программ модернизации здравоохранения, стандартов информационного обмена в пределах системы, требований к медицинским информационным системам, созданию федерального центра обработки данных с общесистемными и прикладными компонентами.

    Законодательное регулирование – ФЗ-152 как основа

    Федеральный закон №152-ФЗ «О защите персональных данных» – документ, который регулирует обеспечение защиты информации в медицине. Лечебные учреждения являются операторами персональных данных, следовательно, обеспечение безопасности этих данных – их зона ответственности.

    Существуют также ряд нормативно-методических документов, инициированных, например, ФСБ и ФСТЭК России. Согласно предписанным в них способам и порядку обеспечивается безопасность персональных данных, в том числе и в здравоохранении.

    Финансовая сторона вопроса

    За рубежом расходы на информационную безопасность существенны: наём ИБ-специалистов, установка и обслуживание систем защиты информации от внешних и внутренних угроз, обучение персонала. В России особо крупного бюджета не выделяется, а самостоятельно муниципальная больница не может позволить себе такой роскоши.

    Как уже было сказано — нет универсального ПО или технологии, которая позволит обеспечить 100% защиту данных, однако важно понимать, что оставлять систему данных без защиты просто непозволительно и опрометчиво. Риск кибератак больше не является заботой лишь одного IT отдела. В настоящее время – это ключевой вопрос, который должен быть рассмотрен руководством медицинских учреждений.

    Читайте так же:  Исковое заявление о расторжении брака бланк

    Сфера медицинских услуг не должна обходить стороной защиту данных о пациентах, и все что связано с данной спецификой. Государство, как бы того не хотело, должно выделять средства на защиту данных, если хочет чтобы в стране медицина автоматизировалась. Как говориться: «Любишь кататься, люби и саночки возить». Без этого, увы, никак.

    Источник: http://habr.com/post/345080/

    Медицинский сайт-отзовик выиграл дело об обработке персональных данных врачей без их согласия

    Wavebreakmedia / Depositphotos.com

    Районный суд (первая инстанция) подтвердил право интернет-ресурса на публикацию отзывов о работе врача, а, значит, на обработку общедоступных персональных данных врача без его согласия, тем более, если спорный электронный ресурс имеет статус СМИ (решение Центрального районного суда г. Воронежа Воронежской области от 28 ноября 2018 г. по делу № 2-2794/2018).

    Поводом к иску стали негативные – и притом, частью, анонимные, – отзывы пациентов о работе медика, опубликованные на «медицинском отзовике». Сначала врач потребовал от администратора домена просто удалить эти отзывы. Администратор – он же владелец сайта – проверил доводы жалобы, но отзывы удалять не стал.

    Тогда врач и его адвокат заявили к порталу иск о прекращении обработки персональных данных (другими словами, о публикации профиля – ФИО, места работы и должности): согласно закону, для такой обработки требуется письменное согласие субъекта персональных данных, а истец, разумеется, его не подписывал (ч. 4 ст. 9 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; далее – Закон о персональных данных).

    Портал оборонялся следующим:

    • во-первых, он указал на свой статус СМИ, и заявил, что запрет на работу с персональными данными врачей фактически означает цензуру и нарушает право СМИ о доведении информации до заинтересованных лиц и пациентов,
    • во-вторых, информацию о врачах размещает вовсе не сам портал, а авторы отзывов (что подтверждается распечаткой журнала о сведениях по детальном действиям владельца IP адреса сайта),
    • в-третьих, у врача всегда есть право на опровержение негативных отзывов,
    • а в-четвертых, указал, что истинная причина иска – необходимость скрыть недостатки своей работы (в подтверждение данного довода представлено заключение центра психологии и бизнес консультирования).

    В итоге суд полностью отказал медработнику в его требованиях (прекратить обработку данных и компенсировать моральный вред). Мотивы следующие:

    Вывод: персональные данные врача публикуются на сайте его работодателя (медорганизации) в силу публичной деятельности врача, и их воспроизведение на портале с отзывами пациентов не нарушает конституционные права медработника.

    Отметим, что истец не согласен с решением суда и подал апелляционную жалобу в региональный суд.

    Источник: http://www.garant.ru/news/1235679/

    Защита персональных данных по карману не всем ЛПУ

    В медицинских организациях сегодня хранятся огромные массивы персональных данных, причем значительная их часть содержит в определенной степени секретную информацию о пациентах. Недавний случай с сетью лабораторий «Инвитро», когда из-за компьютерного вируса Petya работа компании была парализована на несколько дней, лишний раз показал, насколько уязвимыми могут быть информационные системы медучреждений.

    С развитием цифровых технологий киберпреступность будет только набирать обороты. Готовы ли к этому медицинские организации?

    Антивирус нынче дорог

    Как и следовало ожидать, крупные коммерческие медцентры довольно уверенно чувствуют себя в этом плане и практически не боятся кибератак. Как рассказал порталу Medvestnik.ru инженер информационной безопасности ОАО «Медицина» Сергей Смолин, в их клинике надежная система защиты персональных и медицинских данных. Антивирусная защита автоматически обновляется каждые 4 часа, поиск уязвимостей осуществляется сканером безопасности в ежедневном режиме, базы последнего обновляются также ежедневно.

    Информационная система клиники аттестована на соответствие требованиям федерального закона №152-ФЗ (о персональных данных), ежегодно проводятся независимые аудиты системы управления информационной безопасностью организации на соответствие требованиям стандарта ISO 27001-2013. Также каждый год IT-система клиники тестируется на «взлом». Постоянно осуществляется резервирование информации. Наличие актуальных резервных копий проверяется ежедневно, периодически проводится их тестирование на предмет восстановления и корректности восстановленной информации. Большое внимание уделяется информированию, обучению и тестированию ответственных за этот сектор сотрудников.

    «Опыт последних лет показывает, что в самом наихудшем случае мы сможем восстановить работоспособность основных информационных систем клиники в период от 30 минут до полутора часов, при этом существует риск потери только той информации, которая была создана с момента последнего резервного копирования до момента аварии (как правило, это не более 6-8 часов). На время восстановления информационных систем в клинике предусмотрены процедуры работы на бумажных носителях», – сообщил Сергей Смолин.

    В небольших частных медицинских организациях и государственных ЛПУ дела обстоят не так радужно — все упирается в финансирование

    Как рассказала главный врач одного из подмосковных медицинских центров, не пожелавшая раскрывать свое имя, они защищают свою информацию только с помощью антивирусной программы «Лаборатории Касперского» и строго-настрого запрещают сотрудникам открывать электронные письма от неизвестных отправителей. Такая «беспечность» связана только с одним – с нехваткой оборотных средств.

    Распределение утечек по типам данных, 2016 год

    Источник: аналитический центр InfoWatch

    В государственных медучреждениях примерно такая же картина – в крупных клиниках защита информационных систем поддерживается, как правило, на хорошем уровне, чего нельзя сказать о небольших организациях. И опять все упирается в финансирование.

    Как сообщил порталу Medvestnik.ru руководитель Центра информационных технологий Боткинской больницы Анатолий Пыхтин, в их клинике предприняты достаточные меры безопасности. «Но нельзя забывать, что киберпреступность – это бич нашего времени, и от возможных кибератак сегодня не застрахован никто. В этом убедился весь мир на примерах вирусов Petya и WannaCry, от которых пострадали даже всемирно известные компании. Чтобы минимизировать угрозы, сотрудники информационной службы больницы регулярно проводят аудит системы, постоянно модернизируя программные и аппаратные средства защиты информации. Поскольку безопасность персональных данных пациентов – это первостепенная задача для нас, как крупнейшей многопрофильной клиники Москвы, мы в ежедневном режиме предпринимает все возможные меры как для защиты, так и для восстановления работоспособности системы обработки персональных данных в случае кибератак», — добавил он.

    Врачам – закон

    Несмотря на оптимистичные реляции представителей крупных клиник страны, проблемы с защитой, хранением и обработкой персональных данных в медицинских организациях страны остаются. Государство пытается регулировать ситуацию с помощью федерального закона №152-ФЗ от 2006 г., новыми изменениями в который предусмотрено ужесточение наказаний.

    В соответствии с вступившими в силу изменениями, за нарушения в сфере обработки персональных данных будут наказывать строже.

    С 1 июля 2017 года вносятся значительные изменения в ст. 13.11 КоАП. В частности, новая редакция кодекса будет предусматривать ответственность за обработку персональных данных в случаях, не предусмотренных законодательством, а также без получения письменного согласия на это их субъекта; необеспечение оператором обязанности по сохранности персональных данных при хранении их материальных носителей, если это привело к неправомерному или случайному доступу к персональным данным; невыполнение должностными лицами государственного или муниципального органа-оператора персональных данных обязанностей по обезличиванию персональных данных либо за нарушение требований к этому процессу.

    Читайте так же:  Части искового заявления в арбитражный суд

    Если обработка данных не соответствует заявленным целям, оштрафовать теперь могут на сумму от 30 до 50 тыс. рублей; при отсутствии письменного согласия субъекта (пациента или сотрудника) на обработку его персональных данных – от 15 до 75 тыс.; если медорганизация не разместила в открытом доступе документ, определяющий политику обработки персональных данных и требования к их защите – от 15 до 30 тыс.; за непредоставление в течение 30 дней информации пациенту по его персональным данным (по его запросу) – от 20 до 40 тыс.; за невыполнение в течение 7 дней обоснованного требования субъекта по уточнению или изменению его персональных данных – от 25 до 45 тыс.; за несанкционированный допуск к персональным данным – от 25 до 40 тыс. рублей.

    Теперь, чтобы оштрафовать медорганизацию, представителям Роскомнадзора достаточно будет «погулять» по ее сайту. Предупреждать о такой проверке инспекторы не обязаны. При этом возбуждать дела об административных нарушениях отныне смогут сами проверяющие – без передачи информации в прокуратуру, как было раньше.

    Смогут ли эти нововведения дисциплинировать клиники и в результате повысить культуру обращения с персональными данными и уровень их защиты или только в очередной раз увеличат нагрузку на медицинские учреждения – как организационную, так и финансовую?

    «Ужесточение закона о персональных данных, безусловно, повысит нагрузку на медицинские организации. Вместе с тем со временем дисциплинирует и убедит их руководство в необходимости защиты данных. В дальнейшем эти меры помогут либо снизить, либо вообще исключить возможность использования таких данных злоумышленниками», – полагает Анатолий Пыхтин.

    Заместитель директора по безопасности, начальник управления информационной безопасности Группы компаний «Медси» Дмитрий Горячев также оценил нововведения положительно: «Они заставят операторов персональных данных более внимательно относиться к выполнению требований федерального законодательства и подзаконных актов, обеспечивать как фактическую защиту данных – внедрять современные программно-аппаратные комплексы по их защите, так и заниматься всем необходимым документальным сопровождением в рамках выполнения требований законодательства».

    Опрошенные главврачи небольших медицинских учреждений – как частных, так и государственных – видят в ужесточениях очередную попытку пополнить бюджет, в том числе и за их счет, поскольку допускаемые ими «нарушения» в части персональных данных зачастую свидетельствуют не о безалаберности, а, как правило, упираются в недостаточность финансирования. Кроме того, они отметили, что часто сталкиваются с некомпетентностью и предвзятостью проверяющих, и просили подчеркнуть, что они не против проверок как таковых, но ждут от них не неминуемых наказаний, как зачастую происходит сейчас, а объективного разбора ситуации с дальнейшей возможностью устранения обнаруженных недостатков. «Целью любой проверки должно стать не наказание, а исправление сложившегося положения дел, в этом мы, главврачи, заинтересованы как никто другой», – заявила главный врач подмосковного медцентра.

    Человеческий фактор

    К сожалению, глобальные усилия регуляторов в сфере защиты персональных данных пациентов не затрагивают участившихся случаев передачи медиками информации о тяжелобольных людях похоронным агентствам. По словам главного врача ГКБ №71 Александра Мясникова, такая проблема действительно существует. «И это мерзко. Я никогда не пойму врачей, которые за очень небольшие деньги продают совесть и преступают законы врачебной этики, как гиены карауля умирающего в надежде поживиться. К сожалению, их крайне трудно выявить. Мы иногда определяем, с какого телефона звонили в агентство, из какого отделения, вычисляем, кто был на дежурстве в это время, и предупреждаем: если только поймаем за руку или хотя бы подозрения будут достаточно обоснованы, сотрудник немедленно будет уволен. Но этих мер, конечно, недостаточно», — сетует он.

    По данным компании InfoWatch, в 68% случаев виновными в утечке информации оказываются сотрудники, в 8% случаев — руководство организаций

    Распределение утечек по виновнику, 2016 год

    Вероятно, уже пришло время серьезно заняться этой проблемой и, называя вещи своими именами, перевести это деяние из разряда административного нарушения в преступление против личности. Остается только определиться, как правильно его квалифицировать и какую доказательную базу использовать для его раскрытия.

    Партнер «Лиги защиты прав пациентов» адвокат Дмитрий Чипчиу разъясняет: «В действующем законодательстве нет какой-либо специальной нормы (статьи) уголовного права, предусматривающей ответственность за так называемую торговлю адресами умерших. Но такие деяния можно квалифицировать в рамках статьи 137 УК РФ – «Нарушение неприкосновенности частной жизни». За совершение преступления, подпадающего под часть 1 данной статьи (незаконное получение или распространение сведений о частной жизни лица, которые составляют его семейную или личную тайну, без его согласия и для получения личной выгоды), можно получить наказание до двух лет лишения свободы. Те же деяния, совершенные с использованием служебного положения, наказываются строже: медицинские работники могут быть лишены свободы на срок до четырех лет и права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет.

    Конечно, поймать за руку занимающихся таким «промыслом» бывает непросто, но если это удалось, доказательной базой могут послужить показания свидетелей (коллег, пациентов, иных лиц), которым стали известны какие-либо обстоятельства, а также любые другие доказательства, например, записи телефонных разговоров, с видеокамер. В отечественной практике пока нет примеров возбуждения дел по ч. 2 ст. 137 УК РФ в отношении медицинских работников. Однако случались прецеденты, когда правоохранительным органам все же удавалось пресечь факты торговли адресами умерших, но тогда возбуждались совокупные уголовные дела – в отношении медицинских работников и работников участково-уполномоченных служб полиции, и совсем по другой статье – «получение взятки должностным лицом», отмечает адвокат.

    Кстати, именно по этой статье накануне было возбуждено уголовное дело в отношении фельдшера Саратовской городской станции скорой медицинской помощи, пойманного на передаче сведений, составляющих врачебную тайну, представителям ритуальных компаний.

    Источник: http://medvestnik.ru/content/articles/Zashita-personalnyh-dannyh-po-karmanu-ne-vsem-LPU.html

    Защита персональных данных в медицинских учреждениях

    Защита персональных данных
    с помощью DLP-системы

    О боснование необходимости электронной безопасности очевидно – сейчас весь медицинский учет проводится через оргтехнику. Использование компьютерного оборудования для обработки персональных данных пациентов и медперсонала – чрезвычайно необходимая мера в российских реалиях. Первыми на эту схему перешли дорогие частные клиники, но с удешевлением компьютеров и увеличением бюджетных ассигнований электронный учет появился даже в районных поликлиниках отдаленных районов Крайнего Севера. Соответственно, понадобилось внедрять новейшие методики безопасности.

    Законодательство

    Первичная правовая база по организации безопасности и защиты персональной информации в медицинских учреждениях, выполнение с этой целью всех защитных мероприятий основываются на законе № 152-ФЗ, принятом 27.07.2006. Общие юридические основания о врачебной тайне прописаны в «Основах. об охране здоровья. ». В этом документе содержатся основополагающие требования по защите персональных данных.

    Новую интегрированную систему защиты персональных данных в медучреждениях законодательство требует стандартизировать по последним сертификатам электронной безопасности. Порядок проверок и список лиц, уполномоченных следить за выполнением данного положения, определяется специальными документами Минздрава, муниципальных властей и надзорных органов юстиции.

    Читайте так же:  Выезд за границу 082

    Основные нормативы, которыми руководствуются медучреждения при создании системы защиты ПД:

    • ФЗ № 149 об информации, информтехнологиях и способах защиты этой информации;
    • Указ Президента № 188, в котором перечислены сведения, отнесенные к конфиденциальным;
    • Основы законодательства РФ – статьи 31 и 61, описывающие права пациентов, в том числе связанные с обработкой ПДн с применением автоматизированных средств;
    • ФЗ № 5487 об охране здоровья граждан на территории РФ;
    • Приказ № 29н Минздрава РФ о медицинских формах учета и отчетности.

    Перечень неполный, но любой теоретически возможный иной способ сбора персональных данных априори опирается на приведенные выше нормативы.

    Правовые документы по обработке ПДн медперсонала

    Кроме вышеперечисленных документов, в медорганизациях применяются нормативные акты по организационному обеспечению защиты ПД медперсонала. К этим документам относятся:

    • ТК РФ – гл. 14;
    • Постановление Госкомстата РФ № 1 от 05.01.2004 г., касающееся утверждения и оформления унифицированных форм учета документов по оформлению трудовых отношений, оплате труда.

    Сроки обработки данных установлены приказом «О введении в действие положения о медицинском архиве лечебного учреждения».

    Законодательные базы для медперсонала и пациентов в целом схожи функционально. Разница на практике возникает в момент, когда необходимо обеспечить конфиденциальность: большая часть ответственности за правильную и безопасную работу с персональными данными лежит на уполномоченных лицах из персонала клиник, амбулаторий, санаториев и иных медицинских учреждений, непосредственно отвечающих за сбор информации у пациентов и персонала. Их список, а также положения о сборе, хранении, обработке и передаче ПД должны быть разработаны в каждом медучреждении и доведены до персонала, ответственного за работу с персональными данными пациентов и сотрудников организации.

    Специфика обработки персональных данных в медучреждениях

    Первое, что должно учитываться оператором (медорганизацией) при обработке персональных данных в медицинских учреждениях, – исключительная роль этической составляющей. Медучреждения обязаны хранить данные о здоровье каждого пациента, не допускать огласки такой информации. Многие болезни считаются социально табуированными и не подлежат разглашению по базовым правилам медицинской этики.

    Анализ персональных данных пациентов зиждется на принципе, согласно которому здоровье пациента является чрезвычайно конфиденциальной категорией информации. Какое-либо своевольное изъятие данных категорически воспрещается.

    Исключение делается только в ситуации чрезвычайных обстоятельств. Например, речь может идти о защите самой жизни или здоровья пациента либо третьих лиц. Также возможность изымать персональные данные без согласия фигуранта допускается в случае полной физической невозможности заручиться таким разрешением (пациент недееспособен, недоступен для заверения своей воли, либо речь идет об уже умершем человеке). В любом случае к работе с персональной информацией допускаются исключительно медработники, имеющие соответствующую квалификацию и аттестованные по правилам Минздрава.

    Первым техническим моментом организации обработки ПДн пациентов и персонала медучреждений является выполнение требований статьи 31 Основ законодательства об охране здоровья. Пациент должен быть обязательно проинформирован о состоянии здоровья его организма (общий анамнез, симптомы заболеваний, предлагаемая терапия, все возможные риски, побочные эффекты, дополнительные финансовые траты, сроки проведения процедур, коррекция рабочего времени по недееспособности и т. д.). Причем эта информация должна быть подана в форме, доступной для понимания пациента. Это также касается лиц с ограниченными физическими возможностями. Если необходимо – дополнительно назначается квалифицированный переводчик. Это полностью пересекается со 143-й статьей закона о персональных данных – требованием, определяющим право на доступ к ПД как пациента, так и медперсонала.

    Обязанности медучреждений как операторов ПДн

    Медучреждения в качестве операторов при сборе ПД обязаны предоставить каждому пациенту следующую информацию (если такое требование им предъявляется), которая касается ПДн:

    • подтверждение факта их обработки, ее цели;
    • способы, применяемые оператором во время обработки ПДн;
    • сведения о лицах, получивших доступ к этой информации и имеющих право на доступ к ней;
    • список ПДн, необходимых для обработки в медучреждении, источник таких данных;
    • срок, на протяжении которого эта информация будет обрабатываться, включая сроки ее хранения;
    • данные о последствиях юридического характера для субъекта во время обработки ПДн;
    • предоставление разъяснений о последствиях отказа пациента от предоставления своих ПДн, если это будет установлено как обязанность субъекта соответствующим федеральным законом.

    При получении ПДн не от их субъекта оператор перед началом их обработки должен ознакомить пациента со следующей информацией:

    • название (ФИО), адрес оператора, его представителя, предоставившего ПДн;
    • цели их обработки, правовые аспекты таких действий;
    • кому могут быть доступны ПДн (кто может пользоваться этими данными);
    • права, установленные законом в отношении субъекта персональных данных.

    Права пациентов

    Обеспечение безопасности ПДн посетителей частных и муниципальных медицинских заведений регламентируется не только техническими средствами. Любые данные, подпадающие под определение врачебной тайны, могут быть оглашены только с согласия пациента. Исключения описаны в статье 61 «Основ. об охране здоровья». Это требование полностью дублирует шестая статья ФЗ «О персональных данных». ПД должны передаваться только по защищенным каналам связи, которые позволяют уберечь эту информацию от утечки.

    Пациенты имеют право в отношении своих ПДн требовать их блокирования, уточнения, уничтожения, если эта информация является неполной, неактуальной, неверной, полученной незаконным путем, не нужна для заявленных целей обработки.

    Также пациент имеет право на защиту своих прав, предусмотренных законодательством в отношении обработки, передачи, хранения персональных данных.

    По запросу доступ к ПДн может быть предоставлен законному представителю пациента (ГК РФ ст. 26) – родителям, усыновителям, попечителям.

    Законный представитель имеет право выполнять от имени носителя ПДн любые действия, а также определять лиц, которым будет разглашаться информация, являющаяся врачебной тайной пациента. Лицо, которое имеет право получить такие данные, не имеет никаких прав вступать в гражданские правоотношения от лица пациента.

    В случае необходимости предоставления носителю ПДн срочной медпомощи, его согласие на обработку этой информации не требуется (в случае техногенных катастроф, стихийных бедствий, при реальной угрозе его жизни и здоровью).

    Техническая часть

    Необходимая оргтехника подбирается и поставляется в соответствии с рекомендациями контролирующих органов. Сбор данных, проводимый согласно законодательно установленным методикам, должен быть защищен на всех этапах. Спецификой работы медучреждений является сравнительно большая база по сравнению с муниципальными органами специализированных терминалов, связанных с хранением данных, передачей через Интернет, по локальным сетям различных типов. Поэтому критически важно иметь идеально настроенные защитные барьеры и своевременно обновлять сертифицированное ПО, пользоваться эффективной антивирусной защитой.

    Список разрешенных программных средств регулярно обновляет Минздрав и локальные отделы кибербезопасности. Размещение информсистем, приобретение, установка, работа специального оборудования, а также охрана таких помещений должны строиться на обеспечении полной сохранности носителей, на которых размещены ПДн, средств защиты такой информации. Организация работы с ПДн должна предусматривать все необходимые меры, исключающие возможность несанкционированного проникновения или нахождения в таких помещениях посторонних лиц.

    Видео (кликните для воспроизведения).

    Источник: http://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/realizaciya-zashchity-personalnyh-dannyh/perechen-personalnyh-dannyh-podlezhashchih-zashchite/zaschita-personalnykh-dannykh-v-meditsinskikh-uchrezhdeniyakh/

    Защита персональных медицинских данных
    Оценка 5 проголосовавших: 1

    ОСТАВЬТЕ ОТВЕТ

    Please enter your comment!
    Please enter your name here