Персональні дані в медичних установах - нові завдання і нові ризики
Захист даних про пацієнтів
Тим часом закон не робить різниці між платною косметологічної клінікою, районною лікарнею та кабінетом частнопрактикующего стоматолога. При підключенні до мережі інтернет інформаційні системи всіх названих установ відносяться до спеціальних систем першого класу, що вимагає застосування сертифікованих засобів захисту інформації (СЗІ), (як мінімум, міжмережевого екранування, виявлення вторгнень, антивірусного захисту, а також захисту від несанкціонованого доступу), і не просто мають сертифікат ФСТЕК Росії, що підтверджує функціональні можливості СЗІ, але також і відсутність у цих коштів недекларірованних (тобто прихованих, що не документованих) можливостей. А якщо ця система до того ж підключена до іншої інформаційної системи і між ними відбувається обмін персональними даними (наприклад, при поданні численної і різноманітної звітності в департамент охорони здоров'я або надання високотехнологічної медичної допомоги), то на відкритих каналах зв'язку (не має значення, яких - комутованих або широкосмугового доступу), повинні використовуватися ще і сертифіковані ФСБ Росії засоби шифрування (криптографічного захисту).
Побудова такої системи, технічне обслуговування та поширення (наприклад, передача в філії) криптографічних засобів - це ліцензовані, відповідно ФСТЕК і ФСБ, види діяльності, тобто лікарня повинна отримати як мінімум пару ліцензій, а для цього виконати ліцензійні вимоги. Для виконання всіх цих умов в лікарні повинна бути як мінімум пара фахівців із захисту інформації, які мають вищу освіту за конкретними спеціальностями або отримав державний документ про підвищення кваліфікації в області інформаційної безпеки. Відповіді на питання, де лікарні знайти штатні одиниці, і навіщо вони потрібні в принципі, якщо її завдання - лікувати хворих, поки ніхто не запропонував.
Можна лише процитувати відповідь першого заступника керівника ФСТЕК Росії на запит заступника міністра охорони здоров'я (наводиться з незначними скороченнями):
Якби цим всі проблеми, створені ФЗ-152, обмежувалися. Немає грошей на захист - нехай бюджетодержателі думають, а комерційна медицина вже якось відріже частину прибутку, раз закон вимагає. І без ліцензії обійтися можна, якщо найняти для виконання робіт ліцензіата, а їх на ринку досить.
Повідомлення про обробку персональних даних
Винятки з цього правила передбачені законом, але ось потрапити під них більшості медичних організацій не вдасться. З восьми випадків, коли закон допускає не виробляти повідомлення, значення для нашої ситуації мають лише два, в яких персональні дані:
1) відносяться до суб'єктів персональних даних, яких пов'язують з оператором трудові відносини (працівникам медичної установи);
2) отримані оператором у зв'язку з укладенням договору, стороною якого є суб'єкт персональних даних, якщо персональні дані не поширюються, а також не надаються третім особам без згоди суб'єкта персональних даних і використовуються оператором виключно для виконання зазначеного договору та укладення договорів з суб'єктом персональних даних.
Перший виняток відпадає саме собою - представити медичний заклад, в якому немає персональних даних пацієнтів, як-то складно.
Залишається другий. Але, по-перше, в більшості випадків ніякого договору з хворим не укладається. Допомога йому надається просто при пред'явленні документа, що підтверджує право на її отримання, а в деяких випадках - і без такого. І, по-друге, дуже часто персональні дані, що містять відомості про хворого і захворюванні, передаються у вигляді численних звітів, передбачених нормативними документами Міністерства охорони здоров'я. І згоди на це пацієнт, природно немає давав - він про це просто не знає.
Значить, надсилати повідомлення в Роскомнадзор про обробку персональних даних більшості медустанов доведеться.
Повідомлення, як і отримання ліцензії, видається заходом скоєно безглуздим, оскільки без обробки персональних даних не може обійтися жодна юридична особа, приватний підприємець і багато фізичних осіб - журналісти, нотаріуси, адвокати тощо Навіщо когось про це повідомляти, коли і так очевидно, що обробка ведеться - незрозуміло. А отримувати ліцензію на діяльність, вже поставлений оператору законом, - взагалі якийсь нонсенс.
- неподання або несвоєчасне подання повідомлення про обробку персональних даних, інформації на запит Уповноваженого органу;
- неподання відомостей про зміну інформації, що міститься в повідомленні ".
Якщо комусь здається, що районні лікарні або міські поліклініки - не ті організації, де будуть перевірятися вимоги ФЗ-152, повинен їх розчарувати. В одному з інтерв'ю керівник Управління Роскомнадзора по Алтайському краю пан Ложкін заявив: "Ми можемо перевірити будь-якого!". І перевіряють. Під караючий меч КоАП потрапили ухильники від подання повідомлень - Приморський крайовий клінічний шкірно-венерологічний диспансер та Міська лікарня N 1 м Азова Ростовської області, Стоматологічна поліклініка N 2 м Воронежа і Болохівська спеціальна (корекційна) школа-інтернат VIII виду. Список можна продовжити.
Згода суб'єкта на обробку
Питання активно обговорюється на численних форумах в інтернеті, і практика провопрімененія ФЗ-152 показує, що медичний заклад, яке не отримало письмової згоди пацієнта, розглядається регулятором найчастіше як правопорушник.
Отримання згоди пацієнтів пов'язане з чималими труднощами, тому що передбачити всі можливі випадки обробки персональних даних пацієнта, вказати весь персонал (який не є лікарями) і всі сторонні організації, які можуть потенційно обробляти дані пацієнта, цілі і способи такої обробки досить складно.
ФЗ-152 на шляху сучасних інформаційних технологій
Зовсім катастрофічною стає ситуація з виконанням ФЗ-152 при спробі впровадити в медичних установах сучасні інформаційні технології, в першу чергу - Web-технології.
Закон фактично забороняє без письмової згоди пацієнта (а в певних випадках - і при його наявності) використовувати для обробки медичної інформації такі прогресивні способи, як хостинг серверів або додатків в центрах обробки даних (ЦОДах), хмарні обчислення, отримання додатків за запитом (SaaS) та інші, тому що вони неминуче пов'язані з залученням в обробку третіх осіб.
Самозапісь на сайті поліклініки на прийом до лікаря вимагає розміщення мінімальних даних про лікаря - його прізвища, імені, по батькові, спеціалізації, часу прийому і номера кабінету. Це вже персональні дані, а розміщення їх на сайті, що припускає вільний доступ до них з Інтернету означає включення в загальнодоступні джерела. Для цього необхідно отримання письмової згоди суб'єкта, в даному випадку - вже не пацієнта, а лікаря. Для довідки. Письмова згода має містити:
3) мета обробки персональних даних;
4) перелік персональних даних, на обробку яких дається згода суб'єкта персональних даних;
5) перелік дій з персональними даними, на вчинення яких дається згода, загальний опис використовуваних оператором способів обробки персональних даних;
6) термін, протягом якого діє згоду, а також порядок його відкликання.
Спробуйте скласти. Мало не здасться. Зверніть при цьому увагу на те, що для досягнення цілей обробки (організації прийому пацієнтів) більшість зазначених в злагоді даних оператору (тобто поліклініці) абсолютно не потрібно.
Заповнення Web-форми на сайті, що містить відомості про пацієнта, наприклад, під час запису на прийом до лікаря або виклик його на будинок, вимагає використання сертифікованої криптографії для захисту відомостей, і просто підняти вбудований в браузер протокол шифрування SSL для цього мало, про це йшлося вище. Але проблема не тільки в шифруванні.
З цього приводу Роскомнадзор дає роз'яснення на своєму сайті: "При заповненні веб-форми заявки. На сайті. Мережі" Інтернет "критерієм, який свідчить про отримання оператором згоди суб'єкта персональних даних на обробку його персональних даних, є файл електронного цифрового підпису. Крім того, оператор має право ввести в веб-форму заявки обов'язкові для заповнення додаткові поля, які встановлюють умова згоди суб'єкта персональних даних на обробку його персональних даних, за умови подальшого проведення меропр іятій з перевірки достовірності поданих персональних даних. У решті випадків згоду на обробку персональних даних, так само як і його відгук, може оформлятися тільки в письмовій формі ".
Виклик лікаря додому найчастіше виробляє не хвора людина, а його домочадці або знайомі. І з цього приводу є роз'яснення того ж органу влади: "Надання фізичною особою оператору персональних даних близьких родичів можливо тільки при наявності письмової згоди зазначених осіб або у випадках, встановлених федеральними законами".
А тепер переведемо це в площину практичних дій законослухняного головного лікаря. Для нього все це, в першу чергу, як мінімум, перспектива адміністративної відповідальності за порушення закону (ст. 13.11 КоАП - Порушення встановленого законом порядку збору, зберігання, використання або поширення інформації про громадян (персональні дані)). Може, простіше жити по-старому, записувати на прийом в реєстратурі?
Не просто виконати закон і використовуючи таке досягнення, як телемедицина. Крім проблем захисту інформаційної системи і каналів зв'язку, про які вже йшлося вище, на перший план виходить правомірність транскордонної передачі, яка суттєво обмежена законом. В першу чергу це стосується передачі переданих на територію країн, що не забезпечують адекватної їх захисту. До "адекватним" Роскомнадзор не відносить, наприклад, таку країну, як США.
Практично нездійсненне завдання перед медичною установою ставить вимогу ФЗ-152 про знищення персональних даних у триденний термін після досягнення цілей їх обробки. Коли закінчено прийом у лікаря або закритий лікарняний лист - мета обробки досягнута? Формально, так. Але знищення даних в електронній історії хвороби або електронною амбулаторній карті суперечить як здоровому глузду, так і самої суті ведення історії хвороби.
І що ж далі?
Залишається тільки зрозуміти, що в цих умовах робити. Жити і працювати, знаючи, що ти постійно порушуєш закон і в будь-який момент можеш бути підданий санкціям з боку численними наглядових органів, дуже некомфортно.
Відмовитися від сучасних технологій тільки тому, що закон і підзаконні акти погані і не враховують сучасних реалій? Вихід, але якийсь вже дуже неправильний.
директор з розвитку бізнесу ЗАТ НІП "Інформзахист"