В соответствии с федеральными законами о персональных данных (№ 152-ФЗ от 27. 07. 2006 г.) и об охране здоровья граждан (№ 323-ФЗ от 21. 11. 2011 г.) сведения медицинского характера являются конфиденциальными, не подлежащими разглашению. В поликлиниках и больницах персональные данные пациентов хранят в бумажных или электронных картах. Руководство медицинских учреждений обязано организовать защиту собранной информации, предотвратить ее утечку и попадание в руки посторонних. Соблюдение законов контролирует федеральный орган исполнительной власти Росздравнадзор. Лица, ответственные за сохранность конфиденциальных данных пациента, могут понести серьезное наказание в случае их попадания к злоумышленникам. 

Особенности медицинской информации

Персональные данные, которые хранятся и обрабатываются в медучреждениях, подразделяют на общие и специальные.

Данными общего характера являются имя и фамилия больного, дата его рождения, место проживания. В медицинской карте могут содержаться также сведения о весе и росте пациента.

К специальным сведениям, отражаемым в истории болезни, относятся:

• причина обращения за медицинской помощью;
• результаты анализов и исследований аппаратными методами;
• наличие у больного определенных симптомов;
• диагноз;
• назначенное лечение и используемые лекарственные средства. 

Закон запрещает разглашать личные данные и информацию о здоровье пациента без его согласия. 

Исключениями являются особые случаи:

1. Требуется срочная медицинская помощь человеку, который находится без сознания или имеет психическое расстройство;

2. В медучреждение приходит официальный запрос из уполномоченных федеральных органов (прокуратуры, суда, полиции);

3. В больницу поступает человек с травмами, нанесенными в результате насилия (о таком случае медработники обязаны сообщить в полицию);

4. В ходе расследования причин получения человеком производственной травмы или развития у него профессионального заболевания; 

5. На лечение поступает больной, которому еще не исполнилось 15 лет (данные о состоянии здоровья сообщаются родителям или доверенным лицам).

Причины утечки медицинской информации, использование МИС

Причинами утечки информации о пациентах медучреждений могут быть:

• хранение и обработка данных в виде бумажных документов, которые могут быть утеряны или переданы не по назначению (в спешке или из-за невнимательности персонала);
• возникновение сбоев в работе компьютерной техники, с помощью которой обрабатываются и сохраняются данные;
• некомпетентность сотрудников или их халатное отношение к своим обязанностям;
• хранение информации в открытом доступе;
• намеренная передача сведений заинтересованным лицам;
• внедрение хакерских компьютерных программ.

За безопасность данных в медучреждениях отвечает главный врач. В его обязанности входит ознакомление сотрудников с правилами обработки конфиденциальной информации, выбор способов ее учета и хранения.

Переход на электронную обработку и хранение информации о пациентах способствует повышению уровня безопасности данных личного характера. В частных клиниках подобная система успешно практикуется, однако во многих государственных медучреждениях информация по-прежнему хранится на бумажных носителях.

В России планируется создание единой государственной информационной системы здравоохранения (ЕГИСЗ). В нее будут включены информационные базы всех учреждений, занимающихся оказанием медицинских услуг. Для внедрения подобного новшества требуется современное техническое оснащение и использование МИС (медицинских информационных систем), включенных в реестр российских программных продуктов для ЭВМ и баз данных.

В настоящее время существует более 100 автоматизированных систем хранения электронных медкарт и результатов аппаратного мониторинга состояния больных. Такие системы, как MedElement, MEDODS, «Инфоклиника», Renovatio Clinic365, IDENT, Medesk позволяют собирать и систематизировать конфиденциальные данные, размещать их в информационной базе. При этом используются различные методы криптографической защиты информации медицинского характера и ее представления в массивах.

Меры информационной безопасности в учреждениях медицинского профиля

Одной из главных мер обеспечения безопасности данных является ограничение доступа персонала к данным – допуск получает узкий круг специалистов, непосредственно занимающихся оказанием медицинской помощи пациентам.

Кроме ограничения доступа с помощью программно-аппаратных средств, осуществляется также физическая защита бумажных медицинских документов и электронных носителей информации. Для хранения медкарт с данными пациентов организуются обособленные помещения, в которые не допускаются посторонние.

Уровни и средства защиты информации о пациентах

При выборе систем и методов обеспечения безопасности персональных данных определяется необходимый «уровень защиты» информации. При этом оценивается:

• категория лиц, которым принадлежат персональные данные;
• количество субъектов (больше или меньше 100 000);
• характер информации, хранящейся в базе;
• виды возможных угроз безопасности.

Для информационных систем, используемых в центрах медицины и здоровья, требуется второй или третий уровень защиты персональных данных (в зависимости от числа пациентов  учреждения и объема БД).

При этом используются следующие программно-технические средства:

1. Антивирус, имеющий сертификат ФСТЭК (Федеральной службы по техническому и экспортному контролю). У сертифицированного антивируса, кроме установочного диска, имеется формуляр с семизначным номером, нанесенным на блестящую голограмму. Сертификация гарантирует надежную защиту от вирусов-шифровальщиков, а также от сетевых атак и отслеживания действий пользователя злоумышленниками;

2. СЗИ (средства защиты от несанкционированного доступа). К ним относятся программы идентификации и аутентификации пользователей, разграничения их доступа к информации (предоставления возможности чтения, внесения записей, исправления, удаления). Программы Secret Net, Dallas Lock 8.0-K позволяют контролировать передачу информации, выявлять попытки несанкционированного доступа;

3. Межсетевые экраны (файрволы) – устройства для предотвращения внешнего проникновения в информационную базу, взлома компьютера. Используются такие экраны, как Palo Alto, «Континент», SSEP;

4. Сканеры уязвимостей – программные средства для мониторинга и диагностики системы с удаленного компьютера, выявления слабых мест в защите информации. Сканер предлагает решения по ее улучшению (например, «Сканер-ВС»).

Для баз, в которых хранятся данные более чем 100 000 пациентов, дополнительно устанавливают «средства доверенной загрузки». Эти программы позволяют  предотвратить несанкционированную загрузку данных с неизвестного электронного носителя.

Для защиты конфиденциальной информации в базах данных рекомендуем использовать «СёрчИнформ Database Monitor». Бесплатный триал на месяц.  

ФСТЭК проводит регулярные проверки в медучреждениях, чтобы убедиться в выполнении нормативных требований к технической защите конфиденциальных данных.

Порядок доступа персонала к медицинским данным регламентируется должностными инструкциями. Пациент медицинского учреждения предоставляет свои персональные данные, рассчитывая на сохранение их конфиденциальности. Разглашение медицинских данных может отразиться на жизни, деятельности, материальном положении владельцев. 

Хранение врачебной тайны – это не только этическая проблема, но и служебный долг медработников. Организация защиты такой информации предписывается законами Российской Федерации. За их несоблюдение работник медицинского учреждения может понести административную или уголовную ответственность.

10.11.2020