Работа с персональными данными в медицинских учреждениях: кто виноват и что делать?

Почему интересно читать детективы и неинтересно — законы? Суть детектива — разгадать тайну преступления. Но немало их окружает руководителя клиники и в повседневности. В одном из таких современных преступлений виноваты до 80 % директоров медучреждений. Вместе с экспертом компании «Мастер Лаб» Павлом Рудаковым предлагаем окунуться в расследование, а заодно освежить в памяти важные нормативные акты, касающиеся непосредственной деятельности клиник при работе с данными.

Цифровизация в российской медицине текла бы как неспешная река — медленно и чинно, если бы не пандемия. Она не только приковала внимание к статистике, но и заставила ударными темпами внедрять цифровые услуги в условиях риска распространения вируса. Пандемия резко ускорила скорость течения трансформации. Конечно, не обошлось без порогов, которые её тормозят:

  • дефицит нормативного правового регулирования;
  • слабая вовлечённости и мотивация участников;
  • недостаточная формализация и оптимизация медицинских процессов.

На данный момент экспертам даже сложно оценить результаты современного состояния информатизации отрасли и эффективность внедрения единого цифрового контура, а также ЕГИСЗ, ГИС ОМС и т. д.

Однако цифровизация движется, хотя, возможно, в опасном направлении. Поскольку поток данных, который проходит через информационные системы в здравоохранении, остаётся незащищённым и в один прекрасный момент может вырваться наружу.

Итак, потеря персональных данных (ПД) — это риски и последствия. А само преступление — неисполнение всех мер, которые требует законодательство по защите ПД. По данным компании «Мастер Лаб», полностью не реализуются все необходимые мероприятия в 90 % частных клиник.

Мотив у всех один и тот же — отсутствие наказания. «Действительно, до последнего времени серьёзной ответственности за нарушение требований по осуществлению мер защиты практически не было. В КоАП есть только статьи 13.11, 13.12, которые определяют административные штрафы за нарушение сохранности данных, но размер их небольшой. Существует ещё статья 274 УК РФ, но её применение возможно только при крупном ущербе из-за нарушения правил, — комментирует Павел Рудаков. — Однако сейчас Минцифры ведёт разработку законопроекта, в котором усилит ответственность за утечку данных, в том числе за счёт введения оборотных штрафов. Они будут зависеть от объёмов и критичности ПД, появившихся в незаконном обороте. Также предполагается процедура добровольной аккредитации компаний по критериям информационной безопасности, включающая проведение аудитов».

Необязательность и слабость наказания, как обычно бывает, привела к неисполнению законов и росту числа нарушителей. Надо признать, что степень их вины различная. Однако чем быстрее идёт цифровизация, тем стремительнее расширяется круг тех, чьё нарушение серьёзное. Если учесть перспективу ужесточения наказания, то сейчас самое время выяснить, относится ли к их числу ваша клиника.

Понять, какое медучреждение входит в круг «подозреваемых», поможет постановление Правительства РФ, которое:

  • содержит требования к защите персональных данных в информационных системах ПД;
  • объясняет, какие критерии нужно учитывать при определении уровня значимости таких сведений с целью определения уровня их защищённости.

Для того чтобы клиника попала в круг операторов, которым необходимо обеспечивать первый (наивысший) уровень защищённости ПД, требуется выполнение хотя бы одного из следующих условий.

Первое состоит из двух частей:

а) для информационной системы актуальны угрозы 1-го типа. Под ними понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным. «Самостоятельно оценить уровень угрозы администрация клиники, скорее всего, не сможет, — поясняет эксперт компании «Мастер Лаб». — Однако если медицинская организация уже подключилась к ЕГИСЗ или планирует это сделать, то может уверено считать, что её данный пункт касается напрямую. Но и остальные, судя по информации «Лаборатории Касперского» о том, что больше половины (54 %) российских медицинских учреждений использует оборудование с устаревшими операционными системами, должны понимать: на них указанная часть пункта, скорее всего, распространяется, поэтому они подвержены таким угрозам»;

б) информационная система обрабатывает специальные категории ПД. Этот пункт тоже касается большинства клиник, работающих с данными пациентов, поскольку такие сведения относятся к категории специальных.

Второе условие: наивысший уровень защищённости должны обеспечить клиники, обрабатывающие специальные категории ПД более чем 100 000 человек.

Итак, небольшое расследование показывает, что круг тех, кто обязан принимать меры и обеспечивать защиту персональных данных, очень широк, при этом незнание закона не освобождает от ответственности, которая может наступить уже скоро.

Хорошая новость в том, что пока есть время на исправление ситуации. Какие же меры необходимы?

Полный их список содержится в указанном выше постановлении. Прежде всего к ним относятся организационные мероприятия по физическому ограничению и разграничению доступа к ИТ-оборудованию и обеспечению его сохранности. Не менее важны и задачи по использованию технических и программных мер защиты, включая сертифицированное антивирусное ПО. Причём эти правила касаются даже тех клиник, которые обязаны обеспечить низкий уровень защищённости.

«Многие требования к программному обеспечению, описанные в данном законодательном акте, могут быть реализованы на уровне самой МИС. Это, например, пункты, касающиеся ведения электронного журнала сообщений и автоматической фиксации в нём любых обращений к ПД, — поясняет Павел Рудаков и приводит в пример разработку своей компании. — На уровне информационной системы MedWork решены вопросы ведения журнала безопасности и сохранения информации об изменении полномочий. Кроме этого, реализовано разграничение полномочий всех пользователей, имеющих доступ к МИС, в зависимости от их ролей в процессе обработки ПД».

Важно понимать, что следить за безопасностью нужно комплексно. Недосмотр в каком-то одном направлении может перечеркнуть все усилия на других. К сожалению, в этом вопросе не подходит слово «или». Например, установки системы контроля доступа, разъяснительной работы с сотрудниками, внедрения сертифицированной МИС недостаточно, если «забудете» обновить антивирус. Это может свести на нет все остальные усилия. По словам эксперта компании «Мастер Лаб», часть работы по обеспечению безопасности ПД в информационной системе может и должна взять на себя МИС организации. От вируса она не спасёт, но обеспечит возможность быстрого восстановления данных при условии грамотного подхода к резервному копированию.

Итак, мы очертили круг подозреваемых, а теперь предлагаем вам самим, пройдясь по документам, определить, виновны вы или нет. Пока до обвинений не дошло, разбираться в ситуации должен специально назначенный сотрудник (а в компаниях, которые обязаны обеспечить 1-й уровень защищённости, — целое структурное подразделение), ответственный за безопасность ПД в информационной системе.

Если вам до сих пор кажется, что время ещё есть, вспомните о том, что в ближайшем будущем поток цифровизации накроет волна подключения к ЕГИСЗ. «Процедура обмена данными с государственной системой — это, с одной стороны, прикладная задача для ПО. Наша МИС сегодня уже реализовала такую возможность через создание интеграционного шлюза MedWork — ЕГИСЗ”, — поясняет Павел Рудаков. — Но с другой стороны, это ещё и повышение ответственности, поскольку подразумевает подключение к государственной информационной системе, к которой более жёсткие требования по защите информации устанавливает приказ ФСТЭК России от 11 февраля 2013 г. № 17».

 

Заказать звонок
Ваше имя
Номер телефона
?
Обратная связь
+
Форма обратной связи
Тематика обращения
Адрес*
Название конфигурации
ФИО
Номер телефона
Адрес эл. почты
Способ получения ответа
Название организации
Адрес организации
Инструкция по отправке заявки на получение лицензионного ключа MedWork