Обработка персональных данных в медицинском учреждении
 

Уважаемые коллеги!
Департамент здравоохранения Ханты - Мансийского автономного округа выложил в открытый доступ методические [Ссылки могут видеть только зарегистрированные пользователи. ], прошедшему 10.12 по теме, обозначенной названием топика. Кроме приведенного обзора в папке для скачивания содержатся документы, которые потребуются всякому оператору ПД, уже разработанные коллегами из Татарстана. Разумеется, брать и просто переписывать не обязательно, но переделать "под себя" легче, чем писать с нуля. Поэтому татарским коллегам отдельное спасибо.

Собственно, мне обзор показался очень здравым и методически целостным, поэтому предлагаю всем почитать. Возможно, обсудим по ходу дела неясности и проблемы.
****

Одной из наиболее актуальных проблем, которые сегодня приходится решать в медицинском учреждении при использовании компьютеров, является защита конфиденциальной информации.
Основными правовыми нормативными актами, регламентирующими требования к процессам обработки ПД, в том числе в учреждениях здравоохранения, являются:
* Конституция Российской Федерации, принятая 12.12.1993; ст. 23, 24 (неприкосновенность частной жизни, личная и семейная тайна), ст. 41, 42 (недопустимость сокрытия информации, связанной с угрозой жизни и здоровью);
* “Основы законодательства Российской Федерации об охране здоровья граждан”, ... закон РФ № 5487-1 от 22.07.1993 (далее — Основы); в ст. 61 дано определение врачебной тайны как “информации о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иных сведений, полученных при его обследовании и лечении”;
* федеральный закон “Об информации, информационных технологиях и защите информации” № 149-ФЗ от 27.07.2006, в котором даны определения таких понятий, как информация, документирование информации, защита информации, обладатель информации, конфиденциальность информации, предоставление и распространение информации, электронное сообщение;
* федеральный закон “О персональных данных” № 152-ФЗ от 27.07.2006 (далее — Закон), которым регулируются отношения, связанные с обработкой персональных данных с использованием средств автоматизации;

* указ Президента РФ “Об утверждении перечня сведений конфиденциального характера” № 188 от 06.03.1997 (в редакции указа Президента РФ от 23.09.2005 № 1111) в котором к указанной категории сведений отнесены персональные данные и сведения, содержащие врачебную тайну;

* указ Президента РФ № 351 от 17.03.2008 “О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена”;

* постановление Правительства РФ № 504 от 15.08.2006 “О лицензировании деятельности по технической защите информации”;

* постановление Правительства РФ № 957 от 29.12.2007 “Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами”;

* постановление Правительства РФ № 781 от 17.11.2007 “Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных” (далее — Положение), в котором определены основные требования к указанным информационным системам (ИС);

* постановление Правительства РФ № 512 от 06.07.2008 “Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных”;

* постановление Правительства РФ № 687 от 15.09.2008 “Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации”;

* совместный приказ ФСТЭК России, ФСБ России, Мининформсвязи России № 55/86/20 от 13.02.2008 “Об утверждении Порядка проведения классификации информационных систем персональных данных”.

Напомним, что к персональным данным относятся:
а) сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (см. Указ Президента РФ № 188 от 06.03.1997);
б) любая информация, относящаяся к определённому или определяемому на основании такой информации физическому лицу (субъекту персональных данных; ст. 3 Закона).
Конфиденциальной считается документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и которая не подлежит передаче третьим лицам без согласия её обладателя. Обладателем информации, содержащей врачебную тайну, является пациент (субъект ПД) или его законный представитель — должно быть получено согласие пациента на передачу касающихся его сведений, содержащих врачебную тайну, кому-либо, в том числе должностным лицам в интересах его обследования и лечения (ст. 61 Основ).
Под обработкой ПД понимаются любые действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение (ст. 3 Закона)
Любое юридическое или физическое лицо, организующее и/или осуществляющее обработку ПД, а также определяющее цели и содержание их обработки, является оператором ПД (ст. 3 Закона).
В общем случае оператор ПД — учреждение здравоохранения, фонд обязательного медицинского страхования (ОМС), страховая медицинская организация — должен:
1. Зарегистрироваться в качестве оператора ПД — подготовить и направить уведомление в Роскомнадзор по ХМАО-Югре и ЯНАО (в каждом субъекте федерации есть такой орган, который уполномочен принимать уведомления - ИГ), которая постановлением Правительства РФ № 419 от 02.06.2008 определена в качестве уполномоченного органа по защите прав субъектов персональных данных (ст. 22, 23 Закона);
2. Получить письменные согласия пациентов (субъектов ПД) на обработку, в том числе передачу их персональных данных (ст. 6, 9 и 10 Закона);
3. Обеспечить информирование пациентов по их запросам о целях, способах и сроках обработки, хранения их ПД, а также о лицах, имеющих к ним доступ (часть 4 ст. 14 Закона); для этого в информационной системе учреждения должны быть реализованы функции разграничения полномочий, аутентификации, регистрации (учёта) и контроля доступа пользователей к ПД, автоматического ведения журналов доступа (п. 15 Положения);
4. Для определения необходимых мер и выбора средств защиты ПД провести классификацию своей ИС в зависимости от характера (состава) и объема обрабатываемых ПД и угроз безопасности жизненно важным интересам личности в случае нарушения их конфиденциальности (утечки) и оформить соответствующий документ (п. 6 Положения); следует заметить, что все ИС ПД, в которых обрабатываются сведения о состоянии здоровья, в соответствии с требованиями приказа ФСТЭК, ФСБ и Миниформсвязи России № 55 / 86 / 20 от 13.02.2008 являются системами 1-го класса (К1, см. далее);
5. Организовать и поддерживать систему защиты конфиденциальной информации от несанкционированного доступа в соответствии с установленным классом ИС с использованием средств защиты, сертифицированных в установленном порядке; для подтверждения соответствия ИС требованиям защиты конфиденциальной информации и ПД необходимо провести аттестацию системы (см. ниже).


Регистрация в качестве оператора персональных данных. Порядок регистрации определён приказом Россвязькомнадзора № 8 от 17.07.2008 “Об утверждении образца формы уведомления об обработке персональных данных” (с изменениями, внесенными приказом № 42 от 18.02.2009) .

Дадим ряд рекомендаций по заполнению некоторых позиций уведомления применительно к медицинским организациям.
1. В позиции формы уведомления “Цель обработки” следует указать: “в медико-профилактических целях”, либо “в целях установления медицинского диагноза”, либо “в целях оказания медицинских и медико-социальных услуг” (пп. 3, 4 части 2 ст. 10 Закона), — а также перечислить цели деятельности организации так, как это указано в учредительных документах (положении, уставе).
2. В позиции “Категории персональных данных” — а) для пациентов: Ф.И.О., пол, дата рождения, адрес места жительства, реквизиты документа, удостоверяющего личность, реквизиты полиса медицинского страхования, сведения о наличии льгот, СНИЛС (страховой номер индивидуального лицевого счета гражданина в системе персонифицированного учета Пенсионного фонда России) , сведения о случаях обращения за медицинской помощью, данные о состоянии здоровья; б) для работников организации (учреждения): Ф.И.О., пол, дата и место рождения, адрес места жительства, реквизиты документа, удостоверяющего личность, реквизиты полиса медицинского страхования, СНИЛС, ИНН, сведения о наличии льгот, данные кадрового учёта (образование, квалификация, должность и т. д.), сведения о заработной плате.
3. В позиции “Категории субъектов персональных данных” надо указать: “работники учреждения”, для пациентов — гражданство (“гражданин РФ”, “иностранный гражданин”, “лицо без гражданства”).
4. В позиции “Правовое основание обработки ...” указать информацию в соответствии с пунктами 3, 4 части 2 статьи 10 Закона , ссылки на нормативные документы территориального органа управления здравоохранением и фонда ОМС, реквизиты лицензии на медицинскую деятельность. Следует заметить, что в Основах отсутствуют в явном виде какие-либо нормы и требования, связанные с ведением медицинской документации и обработкой ПД пациента как без использования, так и с использованием средств автоматизации (компьютеров). Поэтому ссылки на этот закон в данном случае не приведены. Надо также указать, что обработка ПД работников учреждения осуществляется на основании ст. 85—90 Трудового кодекса РФ.

5. В позиции “Перечень действий с персональными данными...” указать: “Смешанная обработка — ввод, сбор, систематизация, накопление, хранение, изменение, удаление, использование, передача по внутренней сети”. Если в медицинском учреждении формируются массивы персонифицированных данных для передачи во внешние организации (страховые медицинские организации, фонд ОМС, медицинский информационно-аналитический центр (МИАЦ) и т. п.), то необходимо указать, каким образом они передаются — на машинных носителях, по защищенным каналам связи и т. п. В этом случае в позиции “Правовое основание обработки...” в дополнение к перечисленным выше документам следует также привести реквизиты нормативных распорядительных документов (приказов и т. п.), на основании которых эти данные передаются.
Надо обратить внимание, что согласно приказу Россвязькомнадзора № 42 от 18.02.2009 оператор в уведомлении должен указать класс информационной системы, обрабатывающей ПД, который присвоен ей в соответствии с требованиями приказа ФСТЭК России, ФСБ России, Мининформсвязи России № 55/86/20 от 13.02.2008.
Напомним, что в случае изменения сведений, указанных в уведомлении, оператор обязан в течение десяти рабочих дней сообщить об этом в уполномоченный орган по защите прав субъектов ПД (часть 6 ст. 22 Закона).

Добровольное письменное согласие пациента на обработку его персональных данных.

К сожалению, в настоящее время процедуры и формы документального подтверждения согласия пациента на обработку и передачу его персональных данных, а также порядок его информирования о целях и способах обработки, о лицах, имеющих к ним доступ, на федеральном и ведомственном уровне пока еще не определены и не регламентированы. Поэтому дадим некоторые пояснения и рекомендации.


Образец согласия пациента, подготовленный в соответствии с требованиями статьи 9 Закона, применительно к медицинскому учреждению, работающему в системе ОМС, представлен в приложении№1 (аналогичное согласие для ребёнка в возрасте до 15 лет дается его родителем или опекуном).
В учреждении необходимо наладить учёт и хранение этих документов, предъявляемых в качестве доказательства легитимности обработки ПД пациентов (часть 3 ст. 9 Закона). В амбулаторных учреждениях письменное согласие целесообразно оформлять при первом обращении пациента и оформлении амбулаторной карты, в стационарах — при каждом случае госпитализации в виде вкладыша в историю болезни. Напомним, что в соответствии со ст. 61 Основ предоставление (то есть передача строго определённому кругу лиц) персонифицированных сведений о состоянии здоровья пациента без его согласия допускается в следующих случаях:
* в целях его обследования и лечения, если он не способен из-за своего состояния выразить собственную волю;
* при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;
* по запросу органов дознания, следствия и суда;
* при оказании помощи несовершеннолетнему в возрасте до 15 лет для информирования его родителей или законных представителей;
* если есть основания полагать, что вред здоровью причинен в результате противоправных действий;
* в целях проведения военно-врачебной экспертизы.
Стоит обратить внимание, что в соответствии с постановлением Правительства РФ № 687 от 15.09.2008 персональные данные, обрабатываемые на бумажных носителях, должны обособляться от иной информации — путём их представления на отдельных листах, в специальных разделах или в полях форм (бланков) документов (п. 4 этого постановления). Кроме того, в типовых формах документов должно быть предусмотрено поле, в котором субъект ПД может поставить отметку о своем согласии на обработку его ПД (подпункт “б” пункта 7). Из этого, в частности, следует, что подавляющее большинство персонифицированных форм учётно-отчётных документов, которые сейчас используются в здравоохранении, подлежит переработке.
Еще одно замечание касается согласия медицинского работника на передачу его персональных данных. В соответствии со статьей 88 Трудового кодекса РФ медицинское учреждение при передаче ПД сотрудника, например, в органы Росздравнадзора для ведения федерального регистра медицинских работников (см. приказ Минздравсоцразвития России № 14н от 17.01.2008) обязано получить его письменное на то согласие. Целесообразно включить это согласие в трудовой договор с работником.
Обработка персональных данных в медицинских учреждениях должна осуществляться с соблюдением необходимых мер, обеспечивающих конфиденциальность информации и её защиту от несанкционированного доступа.


Организация защиты конфиденциальной информации.
Напомним, что защита информации — это целый комплекс организационно-технических мероприятий, направленных на предотвращение несанкционированного доступа к данным и документам, их потери и искажения. Организация и поддержание системы информационной безопасности (ИБ) требуют значительных ресурсов. Например, в финансово-кредитных организациях расходы на защиту информации составляют около 20% от совокупных расходов на ИТ.
Работы по организации системы ИБ, включая защиту ПД, должны быть неотъемлемой частью проекта по созданию или модернизации ИС (п. 4 Положения), и их следует выделить в отдельный этап или контракт. В общем случае они включают три фазы:
1. предпроектную фазу — обследование и определение класса ИС, предварительное определение способов и состава средств защиты информации (СЗИ);
2. проектную фазу — разработку технического задания на создание комплексной системы защиты информации, в том числе построение модели угроз безопасности конфиденциальной информации, техническое и рабочее проектирование системы;
3. ввод в эксплуатацию — закупку сертифицированных СЗИ, их инсталляцию, обучение персонала, издание организационно-распорядительных документов о допуске персонала и регламентах обработки конфиденциальной информации, назначение ответственных, организацию контроля, аудита и т. п., а также аттестацию системы на соответствие требованиям безопасности обработки конфиденциальной информации.

Классификация ИС, в которых обрабатываются персональные данные, должна отвечать требованиям документа “Порядок проведения классификации информационных систем персональных данных”, утвержденного совместным приказом ФСТЭК, ФСБ и Мининформсвязи России № 55/86/20от 13.02.2008. В этом документе (далее — Порядок) указано, что:

* классификация проводится на основе таких критериев, как категория обрабатываемых данных (сведения о состоянии здоровья относятся к наивысшей, первой категории — см. п. 6 Порядка), их объём, характеристики безопасности, структура ИС, наличие подключения к Интернету, режим обработки ПД, режим разграничения прав доступа, местонахождение технических средств;
* присвоение класса ИС осуществляется самим оператором ПД (медицинским учреждением), класс должен быть оформлен документально; заметим, что в соответствии с п. 8 Порядка медицинские ИС относятся к специальным системам, поскольку в них обрабатываются данные о состоянии здоровья пациентов.


Как указано в п. 16 Порядка, класс специальных ИС определяется на основе анализа данных и модели угроз безопасности ПД в соответствии с методическими документами ФСТЭК и ФСБ. К таким документам сегодня относятся следующие.
1. “Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных” (утвержден ФСТЭК 14.02.2008, имеет гриф “Для служебного пользования” — ДСП; документы с грифом ДСП могут быть получены в органах ФСТЭК по официальному запросу).

2. “Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных” (утверждён ФСТЭК 15.02.2008, ДСП).

3. “Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных” (утверждён ФСТЭК 15.02.2008, ДСП).

4. “Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных” (утверждён ФСТЭК 15.02.2008, ДСП).

5. “Специальные требования и рекомендации по технической защите конфиденциальной информации” (утвержден Гостехкомиссией России 30.08.2002).

6. “Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации” (утверждён Гостехкомиссией России 30.03.1992).

7. “Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных” (утверждён руководством 8 Центра ФСБ России 21.02.2008, № 149/6/6-622).

8. “Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации” (утверждён руководством 8 Центра ФСБ России 21.02.2008, № 149/54-144).

В соответствии с перечисленными документами ИС организаций здравоохранения, в которых обрабатываются персональные данные о состоянии здоровья пациентов, необходимо отнести к следующим классам:
* класс 1Г (максимальный гриф обрабатываемой информации — “конфиденциально”) — согласно руководящему документу, указанному в приведенном выше перечне под номером 6;
* класс К1 (все ИС, в которых обрабатывается информация первой категории относятся к 1-му классу (К1) — согласно документу под номером 4 в перечне, для защиты ПД в системах этого класса должны использоваться криптографические средства.

В соответствии с перечисленными выше документами организации, эксплуатирующие информационные системы классов 1Г и К1, обязаны:
а) получить лицензию ФСТЭК на техническую защиту информации (срок действия — пять лет);
б) выполнить все необходимые мероприятия по обеспечению защиты информации для указанных классов информационных систем;
в) провести аттестационные испытания ИС по требованиям ФСТЭК.
Кроме того, при использовании в учреждении средств криптографической защиты информации может потребоваться получение лицензии ФСБ. Заметим, что во всех случаях установка в ИС ПД сертифицированных средств криптографической защиты информации должна осуществляться организацией, имеющей соответствующую лицензию ФСБ.


Аттестация ИС проводится с привлечением внешней организации-аудитора, имеющей соответствующий аттестат аккредитации ФСТЭК. Если проверка показала, что система защиты ПД данной ИС соответствует установленным требованиям, то выдается аттестат соответствия (сроком на три года). С порядком получения лицензии на техническую защиту информации, проведения аттестации ИС и перечнем организаций, уполномоченных проводить аттестационные испытания, можно ознакомится на сайте ФСТЭК ([Ссылки могут видеть только зарегистрированные пользователи. ]).
При организации рабочих процессов в учреждении необходимо стремиться к максимально возможному сокращению перечня сотрудников, имеющих доступ к ПД пациентов.
Руководитель учреждения должен утвердить перечень должностных лиц, допущенных к обработке персональных данных в информационной системе.
Порядок их доступа к конфиденциальным сведениям и ПД, хранящимся в базах данных ИС, должен определяться соответствующими регламентами и должностными инструкциями.


Очевидно, что организацией системы информационной безопасности должны заниматься компетентные специалисты, имеющие специальную профессиональную подготовку. Приказом Минздравсоцразвития России № 247н от 29.05.2008 в перечень профессиональных квалификационных групп включены должности специалистов (техники, инженеры и т. д.) по защите информации. К сожалению, в настоящее время в штатных расписаниях учреждений здравоохранения сотрудники по информационной безопасности за очень редкими исключениями не предусмотрены. Так же как и в бюджетах большинства медицинских учреждений не предусмотрены расходы на организацию системы защиты информации. А между тем до 1 января 2010 г. — срока, к которому по закону “О персональных данных” все информационные системы должны быть приведены в соответствие с его требованиями, осталось очень мало времени. Необходимы срочные безотлагательные меры, в том числе и со стороны Минздравсоцразвития России.

Образец письменного согласия пациента на обработку его персональных данных

Еще раз указываю [Ссылки могут видеть только зарегистрированные пользователи. ], где можно взять этот материал, и типовые документы, в формате *.doc.

Такое согласие должно быть взято у всех диабетиков для внесения их в "регистр сахарного диабета"?
А для заведения формы N 030/у-04 Контрольной карты диспансерного наблюдения тоже? Т.е. и на диабетиков, и на больных с гипотиреозом, тиреотоксикозом, опухолями эндокринной системы?

Вообще по духу закона о персональных данных такое согласие должно быть взято и на заведение амбулаторной карты.
Потому что по данным на обложке пациент может быть идентифицирован.
Разработанная коллегами форма согласия включает все ситуации, при которых у медицинского учреждения остаются данные о пациенте, включая ведение реестров (регистров).
Проблема в том, что надо выполнить некоторые мелкие условия типа соблюдения процедур защиты данных (а аппаратные процедуры недешевы) и регистрации учреждения в качестве оператора ПД.
До 1 января, когда закон вступит в силу полностью, осталось что-то около 20 дней...

Какие меры наказаний будут применены к тем, кто это не выполнит? Ведь все рабочее время расписано, талоны больным выданы, больничные открыты и необходимо вести прием? В каждом учреждении должны быть выделены ответственные за эти мероприятия - кто их назначает? Кто напечатает эти согласия?
У нас пока основная навалившаяся боль - центры здоровья! Хотя об этой беде слышала давно - никто меня всерьез не принимал. Я о нашем Регистре СД забочусь. Но, думаю, за год либо управимся, либо он прикажет...А если больной откажется подписать?
Какова цель этих мероприятий в нашей медицине?

Это мероприятия не в медицине, это федеральный закон, который касается всех сфер деятельности.
Никакие данные, на основании которых гражданин может быть идентифицирован, не могут распространяться без его разрешения.
Это касается любых данных: начиная от налоговых, кончая, простите, данными из ЗАГСа.
Кстати, по идее распространение списков пострадавших и погибших в открытой печати и интернете, должно прекратиться так же, как и головотяпство с телефонными и адресными базами данных.

Что до медицины - давно пора привыкнуть к тому, что информация о здоровье гражданина это ТАЙНА. Разглашение которой наказуемо.
Обращение с медицинской тайной у нас традиционно безалаберное. Если этот закон поможет поправить положение - я буду только радоваться.

Полностью согласна.
Как Вы думаете, как скоро и с каких мероприятий начнется реализация этого Закона?

С каких мероприятий, думаю, Вы тоже знаете.
С наказания за несоблюдение.
А как скоро - зависит от того, как скоро перестанет взрываться и гореть. Или как только кому-то придет в голову подать в суд за несоблюдение этих положений.
Вариант - как только кто-то помрет и документы попадут в суд.

Подготовка и внедрение системы защиты данных требует кроме прочего диких денег. Разумеется, на этом все и будет сосредоточено. Хотя на самом деле, по моему мнению, прежде всего нужен поворот того тумблера в головах исполнителей, который отвечает за слово "нельзя".

А в развитых странах как решена эта проблема в медицине?

Какие страны будем считать развитыми?

Америку...
В нашем стационаре такую бумагу "информированное согласие" начали заводить вместе с историей болезни и согласием на медицинское вмешательство в октябре (как раз после истории с базой пролактином). Хотя там достаточно неконкретно всё, и не про медицину. Тоже надо писать ФИО, паспортные данные и подпись. По-моему точно такую же я подписывала при поступлении на работу и отдавала в отдел кадров.
В поликлинике значит будет заводиться эта бумага в регистратуре. Писать будут полуслепые больные, столов с ручками на 1 этаже у регистратуры как-то не предусмотрено. Потом карточки будут теряться, заводиться это согласие по-новой. Из старых карточек в новые переклеиваться. Учитывая то, что в карточках будет храниться информация о серии и номере паспорта, СНИЛС, охрана информации в регистратуре должна быть достаточно серьезной. Да это же целая проблема!

Ну тогда подождем ответа от коллег, там работающих.
Информированное согласие, оформляющееся в настоящий момент, ничего об обработке персональных данных не пишет.
Тексты придется перерабатывать.

Как думаешь, что проще, насадить на кукан пару медрегистраторов и главного врача какой-нибудь полуклиники или тех, кто сливает милицейские базы данных? У нас последние на каждом перекрестке продаются - базы данных ГАИ, адресных столов и т.д.
Опять на одного врача пятнадцать проверяющих будет. :af: