Személyes adatok az egészségügyi intézményekben - új kihívások és új kockázatok

Személyes adatok az egészségügyi intézményekben - új kihívások és új kockázatok

A betegadatok védelme

Eközben a törvény nem tesz különbséget fizetik kozmetológiai klinika, kórház és kerületi tanulmányi magántulajdonban gyakorló fogorvos. Amikor csatlakozik az internetes információs rendszerek tartoznak ezek az intézmények a speciális rendszerek az első osztályú, használatát igénylő tanúsított információbiztonság (IPS), (legalábbis, tűzfal, behatolás-érzékelő, anti-vírus védelem, valamint a védelem az illetéktelen hozzáférés ellen), vagy csak tanúsítvánnyal rendelkező FSTEC Oroszország, igazolva ezzel a GIS, hanem a hiánya nem jelentett ezen alapok (azaz a rejtett, nem dokumentált) funkciókat. És ha a rendszer mellett kapcsolódik más információs rendszerek, és a kettő között van egy személyes adatok cseréjét (például amikor bemutatja a nagy és változatos jelentések az egészségügyi osztály vagy a magas-tech orvosi ellátás), akkor a nyitott kommunikációs csatornák (nem számít, hogy melyik - a dial-up vagy szélessávú), kellene alkalmazni, és tanúsított orosz FSB-titkosítás (kriptográfiai védelem).

Az ilyen rendszer megépítése, karbantartása és elosztása (például átvitel az ágakra) a kriptográfiai eszközök engedélyezése az FSTEC és az FSB engedélyezett tevékenységei között. A kórháznak legalább egy-két engedélyt kell kapnia, és ennek érdekében meg kell felelnie az engedélyezési követelményeknek. E feltételek teljesítése érdekében legalább egy pár olyan szakembernek kell lennie az információ védelmében, akik speciális szakterületen felsőfokú végzettséggel rendelkeznek, vagy akik az információbiztonság területén való készségeik fejlesztéséről szóló állami dokumentumot kaptak. A kérdés megválaszolására még nem került sor arra a kérdésre, hogy a kórház hol található a személyzeti egységek, és miért van szükség elvben, ha feladata a betegek kezelése.

Csak az Orosz FSTEC első helyettes vezetője válaszolhat az egészségügyi miniszterhelyettes kérésére (kisebb mértékű csökkentésekkel):

Ha mindezek lennének, az FZ-152 által létrehozott problémák korlátozottak voltak. Nincs pénz a védelem érdekében - hagyja, hogy a költségvetés birtokosai gondolkozzanak, és a kereskedelmi orvoslás valamilyen módon levágja a nyereség egy részét, amíg a törvény előírja. Engedély nélkül licencet kaphat, ha bérbe veszi a munkát, és elég van a piacon.

Értesítés a személyes adatok feldolgozásáról

E szabály alóli kivételeket a törvény írja elő, de a legtöbb orvosi szervezet nem képes rá. A nyolc esetben, amikor a törvény megengedi, hogy ne tegyen értesítést, mindössze kettő értékes a helyzetünkhöz, amelyben a személyes adatok:

1) a személyes adatok alanyai közé tartoznak, amelyek az operátori munkakapcsolatokhoz kapcsolódnak (az egészségügyi intézmény alkalmazottai);

2) megkapta az üzemeltető által kapcsolatban a szerződés megkötését, a fél tárgyát képező személyes adatok, ha a személyes adatok nem vonatkoznak, és nem elérhető harmadik fél hozzájárulása nélkül a téma a személyes adatok és az üzemeltető által alkalmazott kizárólag a végrehajtás e szerződés és a megállapodások megkötése a személyes adatok.

Az első kivétel önmagában eltűnik - olyan orvosi intézmény bemutatása, amely a betegek személyes adatait illetően, valahogy nehéz.

A második marad. De először is, a legtöbb esetben nincs szerződés a beteggel. Segítséget nyújtanak neki egyszerűen olyan dokumentum bemutatásával, amely megerősíti a befogadási jogot, és bizonyos esetekben - anélkül. Másrészt nagyon gyakran a betegről és a betegségről szóló információkat tartalmazó személyes adatokat az Egészségügyi és Szociális Fejlesztési Minisztérium normatív dokumentumaiban szereplő számos jelentés formájában továbbítják. És a beteg nem adott bele beleegyezést, természetesen nem tudott erről.

Ezért, hogy a Roskomnadzornak a személyes adatok feldolgozásáról szóló értesítést küldjön, a legtöbb egészségügyi intézménynek meg kell felelnie.

Értesítést engedély, úgy tűnik, értelmetlen tenni, mert anélkül, hogy a személyes adatok feldolgozása nem tud egy adott szervezet, vállalkozó és sokan - újságírók, közjegyzők, ügyvédek, stb Miért kell értesíteni valakit erről, amikor nyilvánvaló, hogy a feldolgozás folyamatban van - nem világos. És az engedélyt olyan tevékenységhez kapja, amelyet a törvény szerint már az operátornak tulajdonítanak - általában egyfajta ostobaság.

- a személyes adatok feldolgozásáról szóló értesítés benyújtásának elmulasztása vagy időben történő benyújtása, információk a meghatalmazott szerv kérésére;

- az értesítésben szereplő információkban bekövetkezett változásokról szóló tájékoztatás elmulasztása. "

Ha valaki azt hiszi, hogy a kerületi kórházak vagy gy - nem a szervezet, amely ellenőrizni fogja a követelményeknek szövetségi törvény # 152, kell csalódást okozni nekik. Egy interjúban a fejét Roskomnadzor Hivatal az Altáj terület, Mr. Lozhkyn azt mondta: „Mi lehet tesztelni senkinek!”. És ellenőrzik. Az bünteti kard Törvénytárra voltak deviáns értesítést küldj - Seaside Regionális Klinikai bőr és nemi betegségek klinikai és kórházi N 1, a város az Azovi, Rostov régióban Fogászati ​​Klinika N2 Voronyezsi és Bolokhovskaya speciális (büntetés) bentlakásos iskola VIII fajta. A lista folytatható.

A feldolgozás tárgyának engedélyezése

A kérdés aktívan tárgyalt számos internetes fórumokon, és a gyakorlat provoprimeneniya FZ-152 mutatja, hogy az egészségügyi létesítmény nem kapott írásos beleegyezése a beteg, látható leggyakrabban a szabályozó az elkövető.

Beszerzése a páciens beleegyezése tele van nehézségekkel, mert előre minden lehetséges esetben a személyes adatok feldolgozása a beteg, hogy meghatározza a személyzet (nem orvos), és a harmadik féltől származó szervezetek, amelyek potenciálisan kezelni a beteg adatait, célját és módszereit a kezelés nagyon nehéz.

FZ-152 a modern információs technológiák útján

Az FZ-152 megvalósításának helyzete meglehetősen katasztrofális, amikor korszerű információs technológiákat próbál bevezetni az egészségügyi intézményekben, elsősorban - a webes technológiákat.

A törvény valójában tilos írásbeli hozzájárulása nélkül a beteg (és bizonyos esetekben - és ha van ilyen) kell használni kezelésére orvosi információkat, mint a progresszív módszereket szerver hosting vagy alkalmazások az adatközpontban (adatközpont), a számítási felhő, megszerzése on-demand alkalmazások (SaaS) és más, tk. ezek elkerülhetetlenül kapcsolódnak a harmadik felek feldolgozásában való részvételhez.

A klinika helyszínén történő önfelvétel az orvoslátogatáshoz szükséges az orvosra vonatkozó minimális adatok feltüntetése, nevének, utónevének, utónevének, specializációjának, a befogadási időnek és az irodaszámnak. Ez személyes adatok, és a helyszínre való helyezés, ami azt jelenti, hogy az internetről való szabad hozzáférésük azt jelenti, hogy közforrásokba való felvételre van szükség. Ehhez meg kell szerezni a tantárgy írásbeli hozzájárulását, ebben az esetben már nem páciens, hanem orvos. Referenciaként. Az írásos beleegyezésnek tartalmaznia kell:

3) a személyes adatok feldolgozásának célja;

4) a személyes adatok jegyzéke, amelynek feldolgozásához a személyes adatok tárgyának hozzájárulását adják;

5) a személyes adatok személyes adatairól szóló cselekmények listája, az üzemeltető által a személyes adatok feldolgozásához használt módszerek általános leírása;

6) a hozzájárulás hatályba lépésének időtartama, valamint az elállási eljárása.

Próbálj összeírni. Nem tűnik kicsit. Felhívjuk a figyelmet arra, hogy a kezelési cél elérése érdekében (a beteg fogadó szervezet) az üzemeltető (pl. A poliklinika) beleegyezésében meghatározott adatok többsége abszolút nélkülözhetetlen.

Kitöltése webes űrlapok a helyszínen, amely információkat tartalmaz a beteg, mint például, hogy egy találkozót, hogy egy orvos, vagy hívja őt otthon van szükség, mert az igazolt kriptográfiai információ védelmére, és csak fel a beépített böngésző SSL titkosítást, hogy kevés szó esett róla felett. De a probléma nem csak titkosítás.

Ebből az alkalomból Roskomnadzor magyarázatokat ad a honlapján: „.. Amikor kitölti az internetes jelentkezési lapot a helyszínen hálózat” Internet „kritérium, amely tanúsítja, hogy az átvételi üzemeltető által hozzájárulásával személyes adatok a személyes adatok feldolgozása egy fájl digitális aláírást. Ezen túlmenően, az üzemeltető jogosult belépni a webes alkalmazás formájában szükséges további területek, amelyek meghatározzák a hozzájárulás a személyes adatok feldolgozására a személyes adatok függvényében későbbi magatartását ÜNNEPLÉS Más esetekben a személyes adatok feldolgozásához és visszavonásához való hozzájárulás csak írásban történhet. "

A háziorvos hívását leggyakrabban egy nem beteg ember állítja elő, hanem családtagjait vagy ismerőseit. És ebben a tekintetben van magyarázat az azonos hatóság: „A megfelelő egyéni személyes adatok üzemeltető közeli hozzátartozók csak akkor lehetséges, az érintett írásbeli hozzájárulásával az említett személyek vagy azokban az esetekben létrehozott szövetségi törvényeket.”

És most ezt a törvénytisztelő orvos gyakorlati cselekményeinek síkjára fordítjuk. Ehhez először is, legalábbis a jogsértésekkel kapcsolatos közigazgatási felelősségre vonatkozó lehetőség (a közigazgatási kódex 13.11. Cikke - A polgárokra vonatkozó adatok gyűjtése, tárolása, felhasználása vagy terjesztése (személyes adatok) megsértése. Talán könnyebb élni a régimódi módon, írjon a recepción a recepción?

Ne csak hajtsa végre a törvényt, és használjon olyan eredményt, mint a távorvoslás. Az információs rendszer és a kommunikációs csatornák védelmének problémái mellett, amelyek már fent említettek, előtérbe kerül a határon átnyúló, leginkább korlátozott átruházás legitimitása. Először is ez utal a területre áthelyezett országok átadására, amelyek nem biztosítják számukra megfelelő védelmet. A "megfelelő" Roskomnadzor nem tartalmaz például egy olyan országot, mint az Egyesült Államok.

Az orvosi intézmény előtt gyakorlatilag megoldhatatlan feladat az FZ-152 követelménye a személyes adatok megsemmisítésére a feldolgozás céljainak elérését követő három napon belül. Ha az orvos kinevezése befejeződik, vagy a betegszabadság lezárása, a kezelés célját elérte? Formálisan igen. Az elektronikus kórtörténetben vagy elektronikus járóbetegben lévő adatok megsemmisítése azonban ellentmond a józan észnek és a betegség történetének természetének.

És mi a következő?

Még csak meg kell értenie, hogy mit kell tennie ezen körülmények között. Élni és dolgozni, tudván, hogy folyamatosan megsérti a törvényt, és bármikor szankcionálhatja számos felügyeleti szerv, nagyon kellemetlen.

A modern technológia elutasítása csak azért, mert a törvény és a törvények rosszak, és nem veszik figyelembe a modern valóságot? Kilépés, de néhány tényleg nagyon rossz.

A NIP "Informzashchita" üzletfejlesztési igazgatója

Kapcsolódó cikkek

• A személyes adatok feldolgozásának és védelmének szabályai - mbuz gkb № 3

• A betegek személyes adatainak korlátolt felelősségű társaság védelméről szóló rendelet

• Orvosi intézmények és irodák javítása kulcsrakész alapon Moszkvában