Rzdfine.ru

РЖД Финанс
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Защита персональных данных в медорганизации: как обеспечить безопасность

Защита персональных данных в медорганизации: как обеспечить безопасность

Бизнес и госструктуры ежедневно имеют дело с огромными объемами персональных данных: они «знают» наши имена и фамилии, даты рождения и адреса, семейное положение и социальный статус. Однако особенно остро вопрос информационной безопасности встает перед медицинскими учреждениями. Ведь они собирают и хранят персональные данные, крайне чувствительные для любого человека, – результаты лабораторных и инструментальных исследований, диагнозы, истории болезней.

Фото: omprot.ru

Руководитель отдела продаж компании «Нетрика Интеграция» Руслан Харлашин рассказывает, как обеспечивается безопасность персональных данных в частных и государственных медицинских учреждениях и каким образом этот вопрос регулируется в нашей стране.

depositphotos_359745792_s-2019.jpg (108 KB)Руслан Харлашин

Что говорит закон?

Законодательство строго закрепляет статус персональных данных (ПД). Их определение сформулировано в Федеральном законе № 149 от 27.07.2006 «Об информации, информационных технологиях и о защите информации», где они представлены как «информация ограниченного доступа». В ФЗ уточнено, что конфиденциальность персональных данных – это обязательное условие работы с ними, и поэтому государство устанавливает обязательные нормы и правила их обработки.

Вопросу взаимодействия с персональными данными даже посвящен отдельный нормативно-правовой акт. Ключевым документом здесь выступает ФЗ № 152 от 27.07.2006 «О персональных данных». Закон содержит основные определения и требования, которые касаются обработки персональных данных – в частности требует обеспечить защиту прав и свобод человека. Также ФЗ строго регламентирует этот процесс: например, в нем указано, что операторы обработки персональных данных должны обеспечить определенные уровни защищенности, установленные Постановлением Правительства РФ № 1119 от 01.11.2012. Под этими уровнями понимается набор требований, который нейтрализует определенные угрозы безопасности.

При этом в постановлении № 1119 предложен только сжатый перечень мер защиты. Более детально их определяет ФСТЭК России: приказ № 21 от 18.02.2013 утверждает состав и содержание организационных и технических мер по обеспечению безопасности персональных данных, а приказ № 17 от 11.02.2013 регламентирует требования по защите информации в ГИС (государственных информационных системах), включая и персональные данные.

ФСБ России выпустила приказ № 378 от 10.07.2014, в котором описаны меры обеспечения безопасности персональных данных при использовании средств криптографической защиты информации.

Освежил законодательство в области персональных данных и Минздрав, выпустив Приказ № 911н от 24.12.2018 «Об утверждении Требований к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам фармацевтических организаций».

Особенности работы с персональными данными в медицине

Работа с медицинскими ПД отличается рядом особенностей. Клиники обязаны хранить данные о здоровье каждого пациента в виде медкарты, и разглашать их запрещено при любых условиях. Поэтому здесь остро встает проблема возможных утечек информации.

Именно здравоохранение лидирует в антирейтинге утечек данных. По результатам исследования «СёрчИнформ», с проблемой столкнулись почти две трети медучреждений – и около 50% из них стараются не раскрывать факт инцидента. При этом личную информацию потеряли 42% организаций.

Необходимый уровень защиты ПД важно обеспечивать на каждом этапе их обработки, что оказывается непростой задачей в процессе сбора и записи сведений, их систематизации и хранения в базе, уточнения деталей и, наконец, уничтожения информации, потерявшей актуальность.

В медучреждениях могут обрабатываться персональные данные двух типов. Первый – это простые данные: скажем, ФИО; информация о дате и месте рождения; антропологические показатели (рост и вес), фотографии человека; место жительства и контактные данные, в том числе номер телефона и адрес электронной почты.

Второй тип – персональные данные специальной категории. К этой группе относятся сведения о состоянии здоровья пациента, информация о причинах обращения за медицинской помощью, диагноз и особенности лечения. Именно эти специальные сведения и объединяются под широко известным термином «врачебная тайна», сохранность которой регулируется Федеральным законом № 323 от 21.11.2011 «Об основах охраны здоровья граждан в Российской Федерации».

Скрытая угроза

Поликлиники и больницы ежедневно обрабатывают огромный объем данных пациентов, и доступ к ним должны иметь только определенные сотрудники медорганизации. При этом во многих государственных ЛПУ до сих пор не завершен переход на электронный документооборот и автоматизированный учет. Из-за этого на плечах врачей, медсестер, администраторов лежит более высокая нагрузка: им приходится вручную заполнять направления, искать бумаги с результатами лабораторных исследований. Данные, представленные в бумажном виде, легче потерять; кроме того, высокая загруженность повышает риск ошибок из-за невнимательности или спешки.

Но и с ростом уровня цифровизации риски утечек ПД не исчезают. Например, в медучреждениях, где уже установлены МИС или СЭД, данные могут пропадать из-за технических сбоев.

Также нельзя забывать о еще одной распространенной проблеме – человеческом факторе. Иногда сотрудники, которые отвечают за безопасность данных в информационных системах, не обладают нужными компетенциями или демонстрируют безответственное отношение к вопросу. Но чаще всего проблемы возникают по вине «рядовых» специалистов: согласно исследованию Infowatch, на долю сотрудников приходится более половины потерь данных – и около 80% из них возникают без злого умысла, из-за ошибок и халатности.

Зачастую проблемы возникают из-за отсутствия налаженного взаимодействия между медучреждениями и разработчиками. Поставщики могут предлагать информационные системы и программное обеспечение, предполагая, что клиника самостоятельно позаботится о защите данных, а у организации на этот счет может быть другое мнение. В результате злоумышленникам даже не приходится ничего взламывать: конфиденциальная информация хранится в открытом доступе. По этой причине произошла одна из крупнейших утечек медицинских персональных данных, в результате которой из-за использования устаревших серверов в сеть попали КТ- и МРТ-снимки 24 млн человек из 590 архивов. По данным Infowatch, почти 20% медицинских данных «утекает» не в результате внешнего воздействия.

Читать еще:  Образец ходатайства в суд о снижении административного штрафа

Груз ответственности

Последствия таких утечек могут оказаться очень серьезными для клиники и ответственных за инцидент сотрудников. Нарушения безопасности могут привести к административной, гражданско-правовой, дисциплинарной или даже уголовной ответственности. Если из-за утечки произойдет разглашение врачебной тайны, клинике придется возмещать ущерб, нанесенный пациенту и его деловой репутации, а также оплачивать все расходы, понесенные из-за раскрытия сведений, и штраф. Сотрудника же будет ждать выговор или увольнение, а в самых серьезных случаях он может получить запрет на продолжение профессиональной деятельности до пяти лет или даже лишиться свободы на срок до четырех лет.

Разумеется, ответственность несут и злоумышленники: как хакеры, так и сотрудники клиник, копирующие и распространяющие информацию о пациентах. Незаконный сбор и распространение сведений о частной жизни, составляющих личную и семейную тайну, могут наказываться штрафом до 200 тыс. руб. или лишением свободы на срок до двух лет (четырех – если будет доказано, что для этого использовалось служебное положение).

Ответственность придется понести не только за прямые нарушения безопасности, но и за невозможность предоставить данные, в том числе и из-за неисправности информационных систем. Например, если оператор не предоставляет пациенту информацию, которая касается его персональных данных, он может получить штраф до 40 тыс. руб.

Пять уровней безопасности

Чтобы обезопасить личные данные пациентов, а вместе с тем себя и своих специалистов, медучреждениям необходимо построить прочную систему защиты. Первым этапом здесь становится моделирование угроз, которые рассматриваются применительно к действующей информационной системе обработки персональных данных (ИСПД) – как правило, это МИС.

Затем, в соответствии с приказом ФСТЭК России № 21, нужно определить состав и содержание организационных и технических мер, которые позволят обеспечить безопасность данных. Они должны работать на всех уровнях информационной системы: МИС, автоматизированных рабочих мест, каналов передачи данных, СУБД, виртуальной инфраструктуры.

На уровне МИС могут применяться встроенные механизмы безопасности и различные дополнительные средства защиты от несанкционированного доступа, например, антивирусные комплексы, системы предотвращения вторжений, межсетевые экраны и системы предотвращения утечек данных.

Широкий список инструментов применяется и на уровне автоматизированных рабочих мест. Для защиты используются сертифицированные операционные системы, а также антивирусы, системы для предотвращения вторжений и межсетевые экраны.

Недавно появились новые решения – автоматизированные рабочие места, в которые встроен сертифицированный модуль доверенной загрузки (МДЗ). Они помогают защищать средства вычислительной техники от несанкционированного доступа, а также контролируют целостность программной и аппаратной конфигурации устройств, на которых установлен этот модуль – еще до начала загрузки его операционной системы. Один из примеров – инструмент Numa Arce (ИТ.СДЗ.УБ4.ПЗ), реализованный в виде EFI-модуля, который работает на уровне BIOS материнской платы.

На уровне каналов передачи данных, помимо уже упомянутых инструментов, могут использоваться криптографические шлюзы. На рынке такие продукты представлены как в виде программно-аппаратных комплексов, так и в программном исполнении. Для СУБД используются специальные системы защиты. А что касается виртуальной инфраструктуры, то здесь безопасность могут обеспечивать даже доверенные защищенные гипервизоры.

Пошаговая инструкция

В общем виде проект по построению системы защиты персональных данных состоит из нескольких этапов.

  • Сбор данных о существующих информационных системах персональных данных (ИСПД).
  • Моделирование угроз безопасности.
  • Определение уровней защищенности.
  • Разработка технического задания.
  • Проектирование система защиты персональных данных (СЗПД).
  • Разработка организационно-распорядительной документации, регламентирующей процессы обработки и защиты персональных данных.
  • Поставка средств защиты информации, их установка и настройка.
  • Аттестация информационных систем персональных данных по требованиям безопасности информации (опционально).

Ошибки могут возникать на любом из указанных этапов. Например, если организация неверно определит угрозы, появляется риск утечек ПД. А если специалисты медучреждения посчитают, что информационной системе требуется более высокий уровень защищенности, чем нужен на самом деле, придется применять избыточные меры и устанавливать лишние средства защиты. Это может привести к многократному росту стоимости внедрения и обслуживания системы.

Права пациента в системе здравоохранения РФ в 2020 году — юрист по защите прав пациентов

Из этой статьи вам предстоит узнать о правах и обязанностях всех пациентов, которым предоставляется медицинская помощь в том или ином медучреждении. Также вы узнаете, какие нормы действовали раньше, что было изменено в законах, а что осталось неизменным и по сей день.

Статья 30, которая действовала до 2011 года и была отменена

Какие пункты охватывала статья 30 о правах пациента? Если человек обращается за медицинской помощью, он имеет право на такие моменты:

1) гуманное и уважительное отношение со стороны медработников и обслуживающего персонала;

2) выбрать доктора, включая врача общей практики (семейного доктора) и лечащего врача и выбрать лечебно-профилактическое учреждение соответственно договорам добровольного и обязательного медицинского страхования;

3) лечение, обследование и содержание человека должны проводиться в условиях, которые соответствуют санитарно-гигиеническим требованиям;

4) по просьбе пациента могут провести консилиум или консультацию другие специалисты;

5) облегчается боль, связанная с болезнью или (и) медицинским вмешательством, посредством использования доступных средств и способов;

6) в тайне сохраняется информация о факте обращения человека за медицинской помощью, диагнозе и прочих сведениях, которые были получены при его обследовании и лечении;

7) пациент может дать добровольное согласие на медицинское вмешательство соответственно статье 32 настоящих Основ;

8) также может быть и отказ от медицинского вмешательства (соответственно статье 33 настоящих Основ);

9) кроме того, статья настоящих Основ 31 гарантирует получение пациентом информации о его обязанностях и правах, состоянии здоровья. Согласно статье, могут быть выбраны лица, которые вправе получить информацию о состоянии здоровья пациента в интересах последнего;

10) человеку могут быть предоставлены медицинские и иные услуги в рамках программы добровольного медицинского страхования;

11) возможно возмещение ущерба соответственно статье 68 настоящих Основ, если здоровью пациента был причинён вред во время оказания медицинской помощи;

12) к пациенту могут допустить адвоката или другого представителя закона для защиты его прав;

13) к тому же, к пациенту допускается священнослужитель. А в больничных учреждениях предоставляются условия для проведения религиозных обрядов. Помимо этого, может быть предоставлено отдельное помещение, если это не станет помехой для внутреннего распорядка больничного учреждения.

Если права пациента нарушаются, то он может подать жалобу на руководителя или другое должностное лицо лечебно-профилактического учреждения, где ему предоставляется медицинская помощь, в соответствующую профессиональную медицинскую ассоциацию или в суд.

В этом году вступили в действие некоторые поправки, а основные пункты закона остались прежними.

Основные права пациента в системе здравоохранения РФ в 2020 указаны в 323 ФЗ о правах пациента

Итак, в чём состоит защита прав пациента при оказании ему медицинских услуг?

  • Человек имеет право на выбор медицинской организации и доктора соответственно настоящему Федеральному закону.
  • Диагностику, профилактику, лечение, медицинскую реабилитацию в медицинских организациях в условиях, которые соответствуют санитарно-гигиеническим требованиям.
  • Получение консультации от докторов-специалистов.
  • Облегчение болевых ощущений, связанных с болезнью и (или) медицинским вмешательством, которое осуществляется благодаря доступным методам и лекарственным препаратам.
  • Получение информации о своих обязанностях и правах, состоянии здоровья, выборе тех людей, которым в интересах пациента могут быть переданы данные о состоянии его здоровья.
  • Получение лечебного питания, если пациент находится на лечении в стационаре.
  • Человеку гарантируется защита сведений, которые являются врачебной тайной.
  • Со стороны пациента может быть отказ от медицинского вмешательства.
  • Возмещение вреда, который был причинён здоровью при оказании пациенту медицинской помощи.
  • Разрешается допуск к пациенту законного представителя или адвоката для защиты его прав.
  • Позволен и допуск священнослужителя, а если пациент находится в стационаре, то он имеет право, чтобы для него провели религиозные обряды. Если для этого нужно отдельное помещение, то оно выделяется, если данный обряд не нарушит внутренний распорядок медицинской организации.

Никогда не забывайте о том, что у каждого человека есть права пациента в больнице на медицинскую помощь.

Читать еще:  Характеристика для суда с места работы

Обязанности всех пациентов

Конечно же, помимо прав есть и обязанности. В «Основах законодательства РФ об охране здоровья и граждан» сказано, что:

1. Пациент должен проявлять такт и уважение, общаясь с медработниками.

2. Доктору сообщается вся информация, необходимая для постановки диагноза и лечения болезни.

3. После того, как пациент согласится на медицинское вмешательство, он обязан неукоснительно принимать каждое предписание лечащего доктора.

4. Пациент соблюдает правила внутреннего распорядка учреждения здравоохранения, где он находится.

5. Пациент должен сотрудничать с доктором во время получения медицинской помощи.

6. Он сразу же должен говорить врачу, если есть какие-то изменения, касающиеся его состояния здоровья в процессе диагностики и лечения.

7. Больной тут же обращается к доктору, ели есть подозрение на какую-либо болезнь, которая является заразной.

8. Человек не должен предпринимать действий, которые нарушат права других пациентов.

Так что вы уже поняли, что существуют и права, и обязанности пациента.

Чем может помочь юрист по защите прав пациентов?

Когда человек обращается в лечебное учреждение, ему нередко приходится сталкиваться с ущемлением прав. Но не все пациенты пытаются их отстоять, потому что не верят в свой успех. Потому происходят банальные конфликты, споры и устное выражение недовольства. Очень редко ситуация решается согласно законодательству.

Не у каждого есть возможность обратиться в компетентные органы из-за высокой занятости. А иногда из-за подсознательного страха пациента не получается решить вопрос должным образом. Человек, оказавшись в такой ситуации, боится остаться вообще без медицинской помощи после серьёзного разбирательства. Часто именно таким образом думают жители маленьких населённых пунктов, у которых нет возможности выбрать доктора и больницу.

На самом деле, отстояв свои права хоть раз, пациент может не сомневаться в том, что медперсонал начнёт относиться к нему так, как это определяет законодательство. Почему? Потому что контроль над работой медперсонала будет ещё более жёстким. А если будет выявлено очередное нарушение, наказание будет ещё более серьёзным, чем после первого случая.

Одному человеку справиться с разными тонкостями законодательства довольно-таки сложно. В таком случае вам на помощь может прийти юрист по защите прав пациентов. Он является специалистом, компетентным в области права, связанной с практическим здравоохранением.

Юрист по защите прав пациентов:

1) оценивает шансы на успешное решение вопроса, включая до судебное урегулирование;

2) квалифицирует действия медперсонала с точки зрения права, выявляет факты нарушения законодательства;

3) определяет степень ущерба, который был причинён пациенту. Кроме того, юрист предопределяет размер компенсации;

4) собирает информацию, которая нужна для обращения в суд и надзорные инстанции;

5) грамотно оформляет исковое заявление, жалобу, претензию и остальные необходимые документы;

6) составляет экспертное заключение о размерах и характере причинённого вреда.

Обычно юрист отвечает за большую часть работы, потому клиенту нужно принимать участие только в тех мероприятиях, которые не могут быть проведены без него. При таком раскладе вероятность того, что проблема разрешится успешно, увеличивается во много раз, как и размеры полученной компенсации.

Как надо обращаться за помощью?

Для жителя большого города найти юриста по защите прав пациентов не является проблемой. Ведь во многих больших городах есть немало своих организаций, которые специализируются на изучении медицинского права. Гораздо труднее получить помощь населению из удалённых регионов. В наше время задача облегчается использованием интернета. Также есть много организаций, оказывающих услуги дистанционно. Как к ним обратиться? Можете подать заявку на сайте.

Читать еще:  Понятие, особенности и состав семейных правоотношений

Всегда помните следующее: законы едины для всех, вне зависимости от места проживания и удалённости от центра нашей страны.

Информация о здоровье пациента

Информация о состоянии здоровья содержится в медицинской документации, к которой в первую очередь относится медицинская карта амбулаторного больного. Формы медицинских карт предусмотрены приказом Министерства здравоохранения Республики Беларусь от 30.08.2007 № 710 «Об утверждении форм первичной медицинской документации
в амбулаторно-поликлинических организациях». Данным приказом утверждены следующие формы медицинских карт:

    «Медицинская карта амбулаторного больного»; «Медицинская карта амбулаторного больного инфекциями, передаваемыми половым путем»; «Медицинская карта больного грибковым заболеванием, чесоткой»; «Медицинская карта амбулаторного больного кожным заболеванием».

Анализируя каждую из форм, утвержденных приказом Минздрава, можно сделать вывод, что в амбулаторных картах находит свое отражение:

  • характер течения заболевания;
  • диагностические и лечебные мероприятия, проводимые лечащим врачом;
  • все сведения, удостоверяющие личность пациента.

Пациент имеет следующие основные права:

  • выбор врача и выбор медицинской организации в соответствии с настоящим Федеральным законом;
  • профилактику, диагностику, лечение, медицинскую реабилитацию в медицинских организациях в условиях, соответствующих санитарно-гигиеническим требований;
  • получение консультаций врачей-специалистов;
  • облегчение боли, связанной с заболеванием и (или) медицинским вмешательством, доступными методами и лекарственными препаратами;
  • получение информации о своих правах и обязанностях, состоянии своего здоровья, выбор лиц, которым в интересах пациента может быть передана информация о состоянии его здоровья;
  • получение лечебного питания в случае нахождения пациента на лечении в стационарных условиях;
  • защиту сведений, составляющих врачебную тайну;
  • отказ от медицинского вмешательства;
  • возмещение вреда, причиненного здоровью при оказании медицинской помощи;
  • допуск адвоката или законного представителя для защиты своих прав;
  • допуск священнослужителя;
  • в случае нахождения пациента на лечении в стационарных условиях — на предоставление условий для отправления религиозных обрядов, проведение которых возможно в стационарных условиях, в том числе на предоставление отдельного помещения, если это не нарушает внутренний распорядок медицинской организации.

!Медицинский юрист !Медицинский юрист

Отказ от медицинского вмешательства: образец

Каждый гражданин (пациент лечебного учреждения) имеет право на самостоятельное принятие решения о полном либо частичном отказе от вмешательства медиков в свое здоровье.

Вы имеете право написать отказ от операции, от переливания крови. Выбирая полный отказ от вмешательства, гражданин фактически прекращает любые виды сотрудничества с данным медицинским учреждением. С этого мгновения медицинские сотрудники снимают с себя ответственность за здоровье и даже жизнь пациента.

Перед тем как пациент подпишет отказ, лечащий врач должен подробно информировать его обо всех возможных результатах и последствиях принятого решения. На специальном бланке в доступной для обыденного понимания форме излагаются все осложнения, вероятность смерти, другие варианты исхода отказа.

Для оформления отказа Министерством был разработан специальный бланк, где подробно расписаны все важные положения (образец смотрите на фото).

Подписывая данный документ, пациенты или их законные представители должны четко осознавать вероятные последствия, осложнения и возможный летальный исход.

статья 33

Делать прививки или отказываться от них — ваше право

В России утвержден национальный календарь прививок. В нем отражен список вакцин с учетом возраста и периодичности. Все прививки, которые входят в этот календарь можно сделать бесплатно. Так, еще в роддоме новорожденным делают прививки от гепатита B и туберкулеза. Через полгода — от дифтерии, коклюша и столбняка. Некоторые категории граждан — беременные женщины, пожилые люди, школьники, врачи, учителя могут бесплатно привиться о гриппа. А каждые 10 лет любой житель страны имеет право привиться от столбняка за счет государства.

Но от прививок можно вообще отказаться. Мама прямо в роддоме имеет право написать отказ и до 18 лет не делать ребенку ни одной прививки. И по этой причине не могут отказать в приеме в садик и школу. Но проблемы могут возникнуть при приеме на работу: для некоторых профессий требуется обязательная вакцинация, для посещения некоторых стран также нужно прививаться, а если в школе эпидемия, ребенка отстранят от занятий.

Как добиться справедливости

Пациенту, которому будет достаточно выговора для нарушителя или его увольнения, стоит обратиться к главному врачу клиники. Для этого нужно направить письменную претензию. Лучше распечатать два экземпляра и сохранить второй с отметкой, что его приняли. Бумага понадобится в случае судебного разбирательства как доказательство того, что пострадавший пытался решить вопрос миром.

С главврача стоит начать и в том случае, если пострадавший хочет возместить моральный вред. Тогда в письменной претензии нужно отметить, какие страдания он испытывал, и оценить их в материальном эквиваленте. Если медучреждение безмолвствует, пациент может обратиться с иском в суд. На ответ у главврача есть Федеральный закон от 02.05.2006 N 59‑ФЗ (ред. от 27.12.2018) «О порядке рассмотрения обращений граждан Российской Федерации» 30 дней.

Когда администрация покрывает нарушителя, или главврач сам раскрыл врачебную тайну, или пациент хочет привлечь сотрудника клиники к административной ответственности, необходимо обращаться в прокуратуру с заявлением. В нём обязательно должны быть:

  • наименование органа прокуратуры, куда направляется жалоба;
  • ФИО, адрес регистрации по месту жительства, контакты пострадавшего;
  • дата и подпись.

Если пациент очень пострадал в результате чужой болтливости и жаждет крови, обращаться нужно в Следственный комитет. Там откроют уголовное дело, если для этого есть основания.

голоса
Рейтинг статьи
Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector