Защита персональных данных в медицине: что нужно знать?

Пока государство не внедрило общую медицинскую информационную систему каждое лечебное учреждение вынуждено решать проблему защиты персональных данных самостоятельно. Из-за отсутствия единого подхода к безопасности, в медицинских учреждениях регулярно возникают проблемы утечки конфиденциальной информации. Пути решения этого вопроса обсуждались во время XVIII Ассамблеи «Здоровая Москва».

Что относят к персональным данным (ПДн) в медицине?

К категории простых ПДн относят следующую информацию о пациентах и сотрудниках клиники:

• фамилия, имя, отчество;
• информация о дате и месте рождения;
• антропометрические показатели (рост, вес);
• фотографии;
• место жительства, контактные телефоны.

Когда речь идет о медицинском учреждении, к перечисленным пунктам добавляются персональные данные специальной категории. Это сведения о состоянии здоровья пациента, причины его обращения за медицинской помощью, диагноз и особенности лечения. Эти специальные сведения объединяют термином «врачебная тайна».

Работа с ПДн в медицине

Разглашать врачебную тайну запрещено даже после смерти пациента. При этом клиники обязаны хранить данные о здоровье каждого обратившегося человека в виде медицинской карты. Проблема утечки информации может возникнуть на каждом этапе взаимодействия персонала медучреждения с личными карточками больных.

Обработка ПДн пациентов состоит из таких этапов:

• сбор и запись сведений;
• систематизация полученных данных;
• хранение информации в базе;
• уточнение деталей (при необходимости);
• уничтожение неактуальной информации.

Защита должна быть предусмотрена при каждом контакте персонала с медицинскими картами больных. Добиться этого в лечебных учреждениях сложно.

Когда можно разглашать ПДн в медицине?

Юристы выделяют ряд законных оснований, позволяющих раскрыть врачебную тайну:

• необходимость оказания срочной медицинской помощи больному, который не в состоянии подтвердить свое согласие на разглашение (отсутствие сознания, критическое состояние, психические расстройства);
• по запросу органов следствия, прокуратуры, суда и т.д.;
• если пациенту еще не исполнилось 15 лет (информация передается родителям или другим законным представителям ребенка);
• при поступлении больных с насильственным характером травм (врачи обязаны сообщить в органы полиции о факте совершения преступления);
• в ходе расследования причин производственных травм и профессиональных заболеваний;
• во время проверки Роскомнадзора.

Во всех остальных случаях защита персональной информации пациента охраняется законом РФ.

Специфика защиты ПДн в медицинских учреждениях

Каждая частная клиника и государственная больница ежедневно обрабатывает огромный объем данных о пациентах. Доступ к этой информации должны иметь только сотрудники медучреждения. Во многих государственных поликлиниках России переход на электронный документооборот и автоматизированный учет до сих пор не завершился. Это снижает уровень безопасности обработки и хранения персональной информации больных.

Использование современных информационных систем выводит этот процесс на новый уровень удобства и защиты. Сегодня используется три эффективных инструмента безопасной обработки персональных данных в больницах:

• специальные приложения с локальным или сетевым хранилищем;
• медицинские информационные системы (МИС), работающие в пределах конкретного медцентра;
• облачные программы сбора и хранения информации.

Еще в 2011 году Министерством здравоохранения и социального развития Российской Федерации была разработана концепция создания единой государственной информационной системы в сфере здравоохранения (ЕГИСЗ). Говоря проще, это идея объединения всех локальных информационных систем больниц в единую базу. Ее реализации до сих пор препятствует слабое техническое оснащение многих государственных медицинских центров. В связи с этим вопрос защиты и хранения ПДн до сих пор решается отдельно в каждом лечебном учреждении.

Организация безопасной обработки и хранения ПДн пациентов входит в ответственность главного врача. Он выбирает медицинскую информационную систему для медучреждения и следит за уровнем защиты информации.

Приобретать МИС можно только из перечня программных продуктов, представленных в «Едином реестре российских программ для электронных вычислительных машин и баз данных». Этот список утверждается и постоянно обновляется Министерством связи РФ. Сегодня он насчитывает более ста предложений российской разработки. С 1 января 2016 года российским медицинским учреждениям запрещено использовать иностранные программы для работы с персональными сведениями пациентов.

Какие МИС для обработки и защиты персональных данных используют российские медучреждения?

Локальные МИС разделены на модули. Каждая клиника выбирает функциональное ПО в соответствии со структурой и сферой деятельности. Требованиям Федерального закона «О персональных данных» отвечают следующие программные продукты:

• MEDODS;
• МедОфис;
• Medesk;
• Инфоклиника;
• MedElement;
• Clinic365;
• IDENT;
• Renovatio.

Каждая из представленных информационных систем имеет свой алгоритм обеспечения безопасности личных сведений. Так, в MEDODS передача данных шифруется по криптографическому протоколу TLS. Платформа Medesk обеспечивает информационную безопасность за счет фрагментарной архитектуры построения, которая разбивает общий информационный массив на ячейки.

При использовании перечисленных МИС риск взлома и кражи персональных данных минимален. Однако важно ограничить доступ к работе с базами посторонним людям. Для этого руководство клиники должно предпринять комплекс мер, включающий пропускную систему доступа, круглосуточное видеонаблюдение, многоуровневую систему паролей. Это поможет избежать преднамеренного воровства личных сведений пациентов и сотрудников.

В борьбе за защиту персональных данных в медицине не стоит забывать о регулярном ознакомлении сотрудников клиник с положениями законодательства РФ. Часто утечка информации происходит неосознанно, в результате невнимательного отношения врачей и младшего медицинского персонала к сохранению врачебной тайны. В прошлом году более 100 врачей в разных регионах были наказаны за такие нарушения.

Выводы

Сегодня эксперты оценивают уровень безопасности персональных данных в государственных и частных медицинских центрах нашей страны, как низкий. Это связано с недостаточной квалификацией персонала, отсутствием единой системы информационной защиты, недостаточным уровнем контроля. Решение этих проблем требует четкого государственного регулирования и внедрения нового программного обеспечения.