Datele personale din instituțiile medicale - noi provocări și noi riscuri

Datele personale din instituțiile medicale - noi provocări și noi riscuri

Protejarea datelor pacientului

În același timp, legea nu face distincție între clinica plătită cosmetologie, Spitalul raional si studiu de practica privat stomatologi. Când vă conectați la sistemele de informații pe Internet ale acestor instituții fac parte din sistemele speciale ale primei clase, care necesită utilizarea de securitate a informațiilor certificate (IPS), (cel puțin, firewall, de detectare a intruziunilor, de protecție anti-virus precum și protecția împotriva accesului neautorizat), sau având doar un certificat FSTEC Rusia, confirmând funcționalitatea GIS, dar, de asemenea, absența acestor fonduri nedeclarate (adică nu documentate, ascunse) caracteristici. Și dacă sistemul este în plus conectat la alte sisteme de informare, precum și între ele există un schimb de date cu caracter personal (de exemplu, atunci când prezintă o raportare mare și divers la departamentul de sănătate sau furnizarea de asistență medicală de înaltă tehnologie), apoi în canalele de comunicare deschise (nu contează care - dial-up sau accesul în bandă largă), ar trebui să se utilizeze și criptarea (protecția criptografică) certificată de Serviciul Federal de Securitate al Rusiei.

Construcția unui astfel de sistem, întreținerea și distribuirea (de exemplu, transferul la ramuri) a mijloacelor criptografice este activitățile licențiate ale FSTEC și FSB, adică Spitalul trebuie să primească cel puțin două licențe și, în acest scop, să îndeplinească cerințele de licențiere. Pentru a îndeplini toate aceste condiții la spital ar trebui să fie de cel puțin o pereche de specialiști de securitate a informațiilor cu studii superioare în specialități specifice sau pentru a obține un document de stat de dezvoltare profesională în domeniul securității informațiilor. Răspunsul la întrebarea în cazul în care spitalul este de a găsi unitățile de personal, și de ce acestea sunt necesare în principiu, dacă sarcina sa este de a trata pacienții, până acum nimeni nu a propus.

Se poate cita doar răspunsul primului adjunct al FSTEC al Rusiei la cererea ministrului adjunct al sănătății (cu reduceri minore):

Dacă toate acestea ar fi fost, problemele create de FZ-152 au fost limitate. Nu există bani pentru a proteja - permiteți-i pe creditorii bugetului și medicina comercială va tăia o parte din profituri, atâta timp cât legea cere. Și fără licență, puteți obține dacă angajați un licențiat pentru a lucra și sunt destui pe piață.

Notificarea prelucrării datelor cu caracter personal

Excepțiile de la această regulă sunt prevăzute de lege, însă majoritatea organizațiilor medicale nu vor putea să se supună acestora. Dintre cele opt cazuri în care legea permite să nu se facă o notificare, numai două au o valoare pentru situația noastră, în care datele personale:

1) aparțin subiecților de date cu caracter personal, care sunt asociați cu relațiile de muncă ale operatorilor (angajați ai instituției medicale);

2) primite de către operator, în legătură cu încheierea contractului, o parte care face obiectul datelor cu caracter personal, în cazul în care datele cu caracter personal nu sunt supuse, și să nu pună la dispoziția terților fără consimțământul subiectului datelor cu caracter personal și sunt utilizate de către operatorul exclusiv pentru executarea acestui contract și încheierea de acorduri cu subiectul datelor cu caracter personal.

Prima excepție dispare de la sine - să prezinte o instituție medicală în care nu există date cu caracter personal ale pacienților, oarecum dificilă.

Ramane a doua. Dar, în primul rând, în majoritatea cazurilor, nu există un contract cu pacientul. Asistența acordată acestuia este asigurată doar prin prezentarea unui document care confirmă dreptul la primire, iar în unele cazuri - fără ea. Și, în al doilea rând, foarte des, date personale care conțin informații despre pacient și boală sunt transmise sub forma numeroaselor rapoarte prevăzute în documentele normative ale Ministerului Sănătății și Dezvoltării Sociale. Și pacientul nu și-a dat acordul, desigur că nu știa despre asta.

Prin urmare, pentru a trimite o notificare către Roskomnadzor cu privire la prelucrarea datelor cu caracter personal, majoritatea instituțiilor de sănătate vor trebui să facă acest lucru.

Notificarea, precum și obținerea unei licențe, pare a fi o întreprindere fără sens, deoarece nici o persoană juridică, antreprenor privat și multe persoane fizice - jurnaliști, notari, avocați etc. - se pot ocupa fără prelucrarea datelor personale. De ce ar trebui să fie informat cineva despre acest lucru, atunci când este evident că prelucrarea este în curs de desfășurare - este neclar. Și obținerea unei licențe pentru o activitate deja imputată operatorului prin lege - în general, este un fel de prostii.

- neprezentarea sau transmiterea prealabilă a unei notificări privind prelucrarea datelor cu caracter personal, informații la cererea organismului autorizat;

- lipsa furnizării de informații privind modificările aduse informațiilor conținute în notificare. "

Dacă cineva crede că spitalele raionale sau policlinicii - nu organizației, care vor fi verificate de cerințele Legii federale # 152, trebuie să-i dezamăgesc. Într-un interviu cu șeful Roskomnadzor exercițiu al teritoriului Altai, domnul Lozhkyn a spus: „Putem testa pe nimeni!“. Și verifică. Sub sabia pedepsirea Codului administrativ au fost deviați de la depunerea de notificări - Litoral Regional Skin Clinic si Boli Venerice Clinica si Spitalul N 1, orașul Azov, regiunea Rostov, Clinica Stomatologica de N2 în Voronej și Bolokhovskaya speciale (corecțional) internat din VIII fel. Lista poate fi continuată.

Consimțământul subiectului pentru procesare

Problema este discutată în mod activ în numeroasele forumuri de pe Internet, iar practica aplicării FZ-152 arată că o instituție medicală care nu a primit consimțământul scris al unui pacient este considerată de autoritatea de reglementare mai des ca fiind un infractor.

Obținerea consimțământului pacientului plină de dificultăți, deoarece anticipa toate cazurile posibile de prelucrare a datelor cu caracter personal ale pacientului, pentru a specifica tot personalul (nu un medic) și toate organizațiile terțe părți care se pot ocupa potential de date pacient, scopul și metodele acestui tratament este foarte dificil.

FZ-152 în calea tehnologiilor moderne de informare

Situația cu implementarea FZ-152 este destul de catastrofală atunci când încearcă să introducă tehnologii moderne de informare în instituțiile medicale, în primul rând tehnologiile Web.

Legea de fapt interzise fără acordul scris al pacientului (și, în anumite cazuri, - și, dacă este cazul) de a utiliza pentru tratamentul de informații medicale astfel de metode progresive de hosting servere sau aplicații în centrul de date (centru de date), cloud computing, obținerea de aplicații la cerere (SaaS) și altele, tk. ele sunt în mod inevitabil asociate cu implicarea în prelucrarea terților.

Înregistrarea de sine pe site-ul clinicii pentru a vedea un medic necesită plasarea datelor minime despre medic - numele, prenumele, patronimicul, specializarea, ora primirii și numărul de birou. Acestea sunt date cu caracter personal, iar plasarea lor pe site, ceea ce presupune accesul liber la acestea de pe Internet înseamnă includerea în surse publice. Pentru aceasta, este necesar să se obțină consimțământul scris al subiectului, în acest caz nu mai este un pacient, ci un medic. Pentru referință. Acordul scris trebuie să conțină:

3) scopul prelucrării datelor cu caracter personal;

4) o listă de date cu caracter personal, pentru prelucrarea cărora este acordat consimțământul subiectului datelor cu caracter personal;

5) o listă de acțiuni cu date cu caracter personal care urmează a fi convenite, o descriere generală a metodelor utilizate de operator pentru prelucrarea datelor cu caracter personal;

6) perioada în care consimțământul este în vigoare, precum și procedura de retragere a acestuia.

Încercați să compuneți. Nu va părea puțin. Acordați atenție faptului că, pentru a atinge obiectivele tratamentului (organizația de primire a pacienților), majoritatea datelor specificate în consimțământul pentru operator (de exemplu, policlinica) nu sunt absolut necesare.

Completarea Web-formularelor de pe site-ul, care conține informații despre pacient, cum ar fi a face o programare pentru a vedea un medic, sau sa-l sun acasă, necesită utilizarea de protecție criptografică certificate de informații, și ridica doar built-in de criptare SSL browser-ul pentru care a fost putin spus despre ea de mai sus. Dar problema nu este doar criptarea.

Cu această ocazie, Roskomnadzor da explicatii pe site-ul său: „.. Când completați formularul web-aplicație de pe rețea site-ul“ Internet criteriul“, care să ateste primirea de către consimțământul operatorului de date cu caracter personal supuse prelucrării datelor cu caracter personal este un fișier de semnătură digitală În plus,. operatorul are dreptul de a intra într-un formular de cerere de web domenii suplimentare necesare care stabilesc consimțământul subiectului datelor cu caracter personal la prelucrarea datelor sale cu caracter personal, sub rezerva conduită SĂRBĂTOARE ulterioare În alte cazuri, consimțământul privind prelucrarea datelor cu caracter personal, precum și retragerea acestuia, se pot face numai în scris. "

Apelarea unui medic acasă este cel mai adesea produsă de o persoană care nu este bolnavă, ci de membrii familiei sau de cunoscuți. Și în această privință există o explicație a aceleiași autorități: „Furnizarea de operator de date cu caracter personal individual la rude apropiate este posibilă numai cu acordul scris al persoanelor menționate sau în cazurile stabilite de legile federale.“

Și acum vom traduce acest lucru în planul acțiunilor practice ale medicului șef care respectă legea. Pentru el, toate acestea, în primul rând, cel puțin, perspectiva responsabilității administrative pentru încălcarea legii (articolul 13.11 din Codul administrativ -. Încălcarea ordinii legale colectarea, stocarea, utilizarea sau difuzarea de informații despre cetățeni (date personale)). Poate e mai ușor să trăiești în mod vechi, să scrieți la recepție la recepție?

Nu doar să executați legea și să utilizați o realizare precum telemedicina. Pe lângă problemele de protecție a sistemului informațional și a canalelor de comunicare, care au fost deja menționate mai sus, legitimitatea transferului transfrontalier, care este în mod substanțial limitată de lege, se află în prim-plan. În primul rând, acest lucru se referă la transferul țărilor transferate pe teritoriu, care nu le asigură o protecție adecvată. La "adecvat", Roskomnadzor nu include, de exemplu, o țară ca Statele Unite.

O sarcină practic imposibil de rezolvat în fața unei instituții medicale este cerința FZ-152 privind distrugerea datelor cu caracter personal într-o perioadă de trei zile de la atingerea obiectivelor procesării lor. Când numirea medicului este terminată sau foaia de concediu medical este închisă, a fost atins obiectivul tratamentului? În mod oficial, da. Dar distrugerea datelor din istoricul medical electronic sau cardul ambulatoriu electronic contrazice atât bunul simț, cât și însăși natura istoriei bolii.

Și ce urmează?

Rămâne doar să înțelegem ce să facem în aceste condiții. Trăind și muncind, știind că încălcați în mod constant legea și care în orice moment poate fi sancționat de numeroase organisme de supraveghere, este foarte inconfortabil.

Refuzați tehnologia modernă numai pentru că legea și regulamentele sunt rele și nu țin cont de realitățile moderne? Ieșiți, dar unii chiar foarte greșit.

Director pentru Dezvoltarea Afacerilor a PNI "Informzashchita"

Articole similare

• Politica de prelucrare și protecție a datelor cu caracter personal - mbuz gkb № 3

• Regulamentul privind protecția datelor cu caracter personal ale unei societăți cu răspundere limitată

• Repararea instituțiilor și birourilor medicale la cheie în Moscova

Trimiteți-le prietenilor: