1 / 22

Организация обработки персональных данных в здравоохранении:

MedSoft - 20 12. Организация обработки персональных данных в здравоохранении:. новые требования. Столбов А.П. , РАМН Москва, 19 апреля 2012 г. 18.4.2. Об информации, информационных технологиях и защите информации, № 149-ФЗ от 27.07.2006 г. ( ред .от 27.07.2010 г. )

lonato
Download Presentation

Организация обработки персональных данных в здравоохранении:

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. MedSoft - 2012 Организация обработки персональных данных в здравоохранении: новые требования Столбов А.П., РАМН Москва, 19 апреля 2012 г. 18.4.2

  2. Об информации, информационных технологиях и защите информации, № 149-ФЗ от 27.07.2006 г. (ред .от 27.07.2010 г.) Об организации предоставления государственных и муниципальных услуг, № 210-ФЗ от 27.07.2010 г. (ред. от 01.07.2011 г. № 169-ФЗ) О лицензировании отдельных видов деятельности, № 99-ФЗ от 04.05.2011 г. О персональных данных, № 152-ФЗ от 27.07.2006 г. (в ред. закона № 261-ФЗ от 25.07.2011 г.) Об обязательном медицинском страховании в Российской Федерации, № 326-ФЗ от 29.11.2010 г. (ред. от 30.11.2011 г.) Об основах охраны здоровья граждан в Российской Федерации, № 323-ФЗ от 21.11.2011 г. О лицензировании деятельности по технической защите конфиденциальной информации,постановление Правительства РФ № 79 от 03.02.2012 г., ... по разработке и производству средств защиты конфиденциальной информации, № 171 от 03.03.2012 г. 2

  3. Об основах охраны здоровья граждан в Российской Федерации, № 323-ФЗ от 21 ноября 2011 г. Статья 13. Соблюдение врачебной тайны (1) 1. Сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну. 2. Не допускается разглашение сведений, составляющих врачебную тайну, в том числе после смерти человека, лицами, которым они стали известны при обучении, исполнении трудовых, должностных, служебных и иных обязанностей, за исключением случаев, установленных частями 3 и 4 настоящей статьи. 3

  4. Статья 13. Соблюдение врачебной тайны (2) 3. С письменного согласия гражданина или его законного представителя допускается разглашение сведений, составляющих врачебную тайну, другим гражданам, в том числе должностным лицам, в целях медицинского обследования и лечения пациента, проведения научных исследований, их опубликования в научных изданиях, использования в учебном процессе и в иных целях. 4. Предоставление[строго определенным лицам !!] сведений, составляющих врачебную тайну, без согласия гражданина или его законного представителя допускается: 1) в целях проведения медицинского обследования и лечения гражданина, который в результате своего состояния не способен выразить свою волю ... 2) при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений 3) по запросу органов дознания и следствия, суда ... [№ 323-ФЗ "Об основах охраны здоровья ..."] 4

  5. Статья 13. Соблюдение врачебной тайны (3) 4. Предоставление сведений, составляющих врачебную тайну, без согласия ... допускается: ... 4) в случае оказания медицинской помощи несовершеннолетнему ... для информирования одного из его родителей или иного законного представителя (дед, бабка !?) 5) в целях информирования органов внутренних дел о поступлении пациента, в отношении которого имеются достаточные основания полагать, что вред его здоровью причинен в результате противоправных действий (см. ст. 79) 6) в целях проведения военно-врачебной экспертизы ... 7) в целях расследования несчастного случая на производстве и профессионального заболевания 8)при обмене информациеймедицинскими организациями, в том числе размещенной в медицинских информационных системах, в целях оказания медицинской помощи с учетом требований законодательства РФ о персональных данных [закон "Об основах охраны здоровья ..." № 323-ФЗ] 5

  6. Статья 13. Соблюдение врачебной тайны (4) 4. Предоставление сведений ... без согласия ... допускается: 9) в целях осуществления учета и контроля в системе обязательного социального страхования (см. ч.2 ст.10 № 152-ФЗ) 10) в целях осуществления контроля качества и безопасности медицинской деятельности в соответствии с настоящим ФЗ (см. ст.ст. 87, 88, 89, 90) Статья 22. Информация о состоянии здоровья 4. Пациент либо его законный представитель имеет право непосредственно знакомиться с медицинской документацией, отражающей состояние его здоровья, и получать на основании такой документации консультации у других специалистов 5. Пациент либо его законный представитель имеет право на основании письменного заявления получать отражающие состояние здоровья медицинские документы, их копии и выписки из медицинских документов. Основания, порядок и сроки предоставления медицинских документов (их копий) и выписок из них устанавливаются уполномоченным ФОИВ * [закон "Об основах охраны здоровья ..." № 323-ФЗ] 6

  7. Статья 19. Право на медицинскую помощь 5. Пациент имеет право на: 1) выбор врача и выбор медицинской организации в соответствии с настоящим Федеральным законом (ст. 21) 5) получение информации ... о состоянии своего здоровья, выбор лиц, которым в интересах пациента может быть передана информация о состоянии его здоровья ->надо оформить документально !! 7) защиту сведений, составляющих врачебную тайну Статья 20->Обязательность получения и оформления в письменной форме информированного добровольного согласия гражданина на медицинское вмешательство (содержится в медицинской документации пациента)!! Статья 84 ->Возможность анонимного лечения только за плату ->процессульные проблемы при обращении с жалобами, в том числе в суд (ведение ЭМК на "анонима" ...) Проблема оплаты за "неидентифицированных" пациентов!!! [закон "Об основах охраны здоровья ..." № 323-ФЗ] 7

  8. Статья 21. Выбор врача и медицинской организации 7. При выборе ... гражданин имеет право на получение информации ... в том числе размещенной в ... сети "Интернет", о медицинской организации, о врачах, уровне их образования и квалификации ->нужна информация, в том числе осроках ожидания(нагрузке врача)качестве медицинской помощи, оврачебных (медицинских) ошибках и др.->общедоступность этих "профессиональных" данных врача!? Статья 79. Обязанности медицинских организаций 1. Медицинская организация обязана: 4) соблюдать врачебную тайну, в том числе конфиденциальностьперсональных данных, используемых в медицинских информационных системах 7) информировать граждан ... в том числе через Интернет ... о медицинских работниках, уровне их образования и квалификации Письменное согласие врача на публикацию иных его персданных, (фото - биометрические данные, ст. 11 закона № 152-ФЗ) !? [закон "Об основах охраны здоровья ..." № 323-ФЗ] 8

  9. Статья 92. Ведение персонифицированного учета при осуществлении медицинской деятельности 1. Персонифицированный учет при осуществлении медицинской деятельности -- обработка персональных данных о лицах, которые участвуют в оказании медицинских услуг, и о лицах, которым оказываются медицинские услуги. 2. В целях осуществления персонифицированного учета операторы информационных систем, указанные в части 2 статьи 91 настоящего ФЗ, получают информацию от органов и организаций государственной, муниципальной и частной систем здравоохранения и иных организаций в рамках информационного взаимодействия в соответствии с настоящим ФЗ ->модель ИО!!! 3. Порядок ведения персонифицированного учета определяется уполномоченным ФОИВ. 4. Сведения о лицах, которые участвуют в оказании медицинских услуг, и о лицах, которым оказываются медицинские услуги, относятся к информации ограниченного доступа и подлежат защите в соответствии с законодательством РФ. [закон "Об основах охраны здоровья ..." № 323-ФЗ] 9

  10. "паспортные" данные Статья 93.Сведения о лицах, которые участвуют в оказании медицинских услуг -ФИО, пол, дата и место рождения, гражданство -данные документа удостоверения личности -место жительства, место и дата регистрации -СНИЛС (при наличии) -сведения об образовании -наименование медицинской организации, должность Статья 94. Сведения о лицах, которым оказываются мед. услуги -"паспортные" данные -№ полиса ОМС, СМО -медорганизация -виды, условия МП -условия оказания МП -сроки оказания МП -объем оказанной МП -стоимость МП * -профиль МП * *)ст. 44 закона № 326-ФЗ[закон"Об основах охраны здоровья ..." № 323-ФЗ] -анамнез -диагноз -оказанные медицинские услуги -примененные стандарты медпомощи -примененные МЭС* -результат обращения за МП -результаты контроля МП * - серия и № листка нетрудоспособности - сведения о медрабтнике(ах)!! 10

  11. Об обязательном медицинском страховании в Российской Федерации,№ 326-ФЗ от 29.11.2010 г. Статья 38. Договор о финансовом обеспечении ... (ТФОМС-СМО) 2. В договоре ... обязанности СМО, предусматривающие: 8) информирование застрахованных лиц о видах, качестве и об условиях предоставления им медицинской помощи медицинскими организациями, о выявленных нарушениях ... Правила обязательного медицинского страхования[приказ МЗСР от 28.02.2011 г. № 158н (ред. от 09.09.2011 г. № 1036н)] 182. Страховые медицинские организации (СМО) размещают на своих сайтах в сети Интернет ... информацию: 7) о видах, качестве и об условиях предоставления медицинской помощи; 8) о выявленных по обращениям застрахованных лиц нарушенияхпри предоставлении медицинской помощи Возможность подачи заявления о выборе (замене) СМО через Интернет(сайт ТФОМС, СМО портал госуслуг)с передачей копии паспорта ... (пп. 7, 9 Правил)->конфиденциальность!? 11

  12. Порядок ведения персонифицированного учета в сфере ОМС, приказ МЗСР № 29н от 25.01.2011 г. Порядок организации и проведения контроля объемов, сроков, качества и условий предоставления медицинской помощи по ОМС, приказ ФФОМС № 230 от 01.12.2010 г. (ред. приказа ФФОМС от 16.08.2011 г. № 144) Штрафные санкции к ЛПУ при отсутствии информации в сети Интернет (нет сайта, не размещены сведения ...)-> 25% ПНФ (см. письмо ФФОМС от 15.03.2011 г. № 1257/30-4/и) Порядок ведения территориального реестра экспертов качества медицинской помощи в ТОМС и его размещения на официальном сайте в сети Интернет, приказ ФФОМС № 230 от 13.12.2011 г. (см. также часть 7.1 ст. 40 закона № 326-ФЗ) Порядок направления сведений о несчастных случаях на производстве, приказ ФСС № 261 от 08.12.2010г. Соглашение об информационном обмене между ПФР и ФФОМС о работающих застрахованных лицах, № АД-08-33/03сог/558/91-и от 31.01.2011 г. 12

  13. О персональных данных,№ 152-ФЗ от 27.07.2006 г. (в ред. закона № 261-ФЗ от 25.07.2011 г.) Оператор персональных данных – государственный, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и(или) осуществляющие обработку ПДн, а также определяющиецели обработки ПДн, состав ПДн, подлежащих обработке, действия(операции), совершаемые с ПДн Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информацииопределить принадлежность персональных данных конкретному субъекту ПДн ISO/TS 25237:2008 Health informatics. Pseudonymization ->Определить (в законе!?) понятие псевдонимизации персональных (персонифицированных) данных, определить статус псевдонимизированных данных как неконфиденциальных (общедоступных), установить требования к процедурам псевдонимизации и обратной персонификации 13

  14. Статья 6. Условия обработки персональных данных [Аутсорсинг обработки персональных данных] 3. Оператор вправе поручить обработку персональных данных другому лицу с согласиясубъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора... (поручение оператора). ... В поручении должны быть определены перечень действий (операций) и цели обработки ПДн + обязанность соблюдать конфиденциальность и обеспечивать безопасность ПДн + должны быть указаны требования к защите ПДн 4. Лицо, осуществляющее обработку ПДн по поручению оператора, не обязано получать согласие субъекта ПДн на обработку его персональных данных. 5. В случае, если оператор поручает обработку ПДн другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку ПДн по поручению оператора, несет ответственность перед оператором. [закон "О персональных данных" № 152-ФЗ в ред. закона № 261-ФЗ] 14

  15. Статья 18.1 Меры, направленные на обеспечение выполнения оператором обязанностей ... 1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей ... Оператор самостоятельно определяет состав и перечень мер ... • издание документов, определяющих политику в отношении обработки персональных данных • применение правовых, организационных и технических мер по обеспечению безопасности персональных данных • осуществление внутреннего контроля и аудита обработки ПДн 2.Оператор обязан опубликовать или иным способом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите персональных данных 3. Правительство РФ устанавливает перечень мер, направленных на обеспечение выполнения обязанностей ... операторами, являющимися государственными или муниципальными органами ->постановление Правительства РФ № 211 от 21.03.2012 г. [закон "О персональных данных" № 152-ФЗ] 15

  16. Статья 19. Меры по обеспечению безопасности персональных данных при их обработке 1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для обеспечения защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ... 3. Правительство РФ ... устанавливает уровни защищенности* персональных данных, требования к защите*..., требования к материальным носителям биометрических данных ... при их хранении вне информационных систем 5. Федеральные органы исполнительной власти ..., органы субъектов РФ ... принимают нормативные правовые акты, в которых определяют угрозы безопасности ... при осуществлении определенных видов деятельности... ->МЗСР [закон "О персональных данных" № 152-ФЗ] 16

  17. Методические рекомендации по организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости(23.12.2009 г.) Методические рекомендации по составлению частной модели угроз безопасности ПДн при их обработке в ИС ПДн учреждений ... здравоохранения ...(23.12.2009 г.) Модель угроз типовой медицинской информационной системы типового лечебно-профилактического учреждения (23.12.2009 г.) Методические рекомендации по проведению в 2011-2012 гг. работ по информационной безопасности для регионального уровня единой государственной информационной системы в сфере здравоохранения(31.08.2011 г.-> 14.11.2011 г.) (части 5, 7 ст. 19 закона № 152-ФЗ)!!! Письмо ФСТЭК (ЦФО) в адрес Ярославского МИАЦ от 24.06.2010 г. № 959 (о необходимости учета и аттестации объектов по требованиям безопасности информации, по СТР-К)* Об организации работ по защите информации(письмо ФФОМС от 20.06.2011 г. № 3868/90-и директорам ТФОМС)->запрос сведений о наличии лицензий, аттестатов соответствия, документов по ОБИ обращение во ФСТЭК, ФСБ с просьбой провести оценку ИБпри отказе 17

  18. Медицинская организация (оператор) должна: • Провести обследование ИС, определить состав ИСПДн, описать и классифицировать их (К1 -- "пациенты", К3 -- "работники")* • Оформить акт об отнесении ИС к классу К1 специальная • Назначить ответственного за организацию обработки персональных данных, обязанного: (ст. 22.1) !!! • доводить до сведения работников требования ФЗ и иных нормативных документов, осуществлять внутренний контроль • организовывать прием и обработку обращений субъектов персональных данных (ответ не позднее 30 дней) = ознакомление с его ПДн, информирование о целях, правовых основаниях, способах и сроках обработки ПДн, лицах, имеющих к ним доступ (ст.14)(указать должности!?) • уведомить субъекта об обработке его ПДн, полученных от третьих лиц (при необходиомсти, см. ст. 18 закона № 152-ФЗ) • Зарегистрироваться в качестве оператора ПДн -> направить уведомление в Роскомнадзор (ст. 22, 23), указать класс ИСПДн и ответственного за организацию обработки ПДн (www.rsoc.ru) 18

  19. Создатьсистему обеспечения безопасности информации, издать около 40 организационно-рапорядительных документов • Опубликовать документы, опредляющие политику оператора в отношении обработки ПДн и реализации требований по их защите (ст. 18.1) !!! • Организовать получение, учет и хранение письменного согласия субъекта на обработку его ПДн (ст. 6, 9, 10)* • если по ОМС (ПГГ)->согласие пациента не нужно!!! • если по ДМС и данные передаются в СМО ->нужно!!! • получить согласие родственников* на обработку их ПДн • Разъяснить субъекту ПДн юридические последствия отказа предоставить ПДн, если это обязательно по закону (ч. 2, ст. 18) • Продолжить обработку ПДн в случае отзыва согласия субъектом (часть 2 статьи 9, пп. 2-11 ч. 1 ст. 6, ч. 2 ст. 10)!!! • Приостановить обработку ПДн при выявлении их неточности, недостоверности +исправить их в течение 7 дней(ст. 21) • Аттестовать объект по требованиям безопасности информации(аттестат на 3 года)!? 19

  20. Выводы • Обработка персональных данных (ПДн) -- это специфический бизнес-процесс в медицинской организации, который должен быть надлежащим образом формализован, регламентирован и документирован, с четким определением процедур и операций с ПДн, ролей, прав, обязанностей и ответственности всех участников процесса • В организации необходимо подготовить и издать около 40 организационно-распорядительных документов, регламентирующих процессы обработки и защиты ПДн, допуск сотрудников к конфиденциальной информации, организационные и технические мероприятия • Реализация требований к организации обработки и защиты персональных данных требует значительных ресурсов и затрат, специальных знаний от сотрудников, в том числе привлечения профессионалов в области обеспечения информационной безопасности, использования специальных программных и технических средств защиты ИС 20

  21. Проблемы, вопросы, акценты • конкретизация общедоступных персонифицированных сведений о медицинских работниках ("профессиональные" ПДн) • конкретизация состава сведений о субъектах обработки (доступа) к ПДн, предоставляемых субъекту ПДн по его запросу (см. ст. 14) • предупреждение о невозможности гарантировать конфиденциальность персональных данных при использовании Интернет ("удаленная регистратура", "личный медицинский кабинет", подача заявлений в СМО, ЛПУ и т.д.) • применение специальных сертифицированных СЗИ "поверх" прикладного ПО ->решение проблемы его изменчивости !! • проблемы с установкой сертифицированных СЗИ на компьютеризированные медицинские приборы и их включение в состав МИС (сертификация по требованиям БИ)(МСЭ !?) • нормативно-методическое обеспечение функционирования и аттестации федеративных распределенных и "облачных" систем • использование технологий LPS (Lightweight Portable Security)для создания защищенных МИС и(или) каналов обмена данными (www.spi.dod.mil/lipose.htm) 21

  22. СПАСИБО ! ВОПРОСЫ ? Столбов Андрей Павлович stolbov@mcramn.ru AP100Lbov@mail.ru +7(495) 724-70-46 www.mcramn.ru

More Related