Информационная безопасность
Особенности обеспечения защиты персональных данных в учреждениях здравоохранения
Практически ни одно медицинское учреждение - государственное, муниципальное или частное - не обходится в своей деятельности без использования компьютеров для обработки персональных данных (ПДн) пациентов и медработников. Это влечет за собой необходимость организации защиты ПДн в соответствии с требованиями действующего законодательства в данной области. Обеспечение безопасности ПДн в информационных системах медицинских учреждений - это не только выполнение требований Федерального закона от 27.07.2006 г. № 152-ФЗ "О персональных данных", но и комплекса мероприятий по охране врачебной тайны, понятие которой устанавливается Федеральным законом от 21.11.2011 N 323-ФЗ (ред. от 29.12.2015) "Об основах охраны здоровья граждан в Российской Федерации" (с изм. и доп., вступ. в силу с 01.01.2016) и Федеральным законом от 29 ноября 2011 года № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»
При обработке ПДн пациентов медицинских учреждений следует учитывать, что Федеральный закон от 27.07.2006 г. № 152-ФЗ "О персональных данных" относит данные о состоянии здоровья пациента к специальной категории ПДн, обработка которых разрешается только при наличии письменного согласия субъекта ПДн или в исключительных случаях, предусмотренных статьей 10 данного закона (например, когда обработка ПДн необходима для защиты жизни или здоровья субъекта, либо жизни и здоровья других лиц, и получение согласия субъекта невозможно или когда обработка ПДн осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка ПДн осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну).
Характерной особенностью организации обработки ПДн в медицинских организациях является то обстоятельство, что "Основы законодательства РФ об охране здоровья граждан" (ст.13 323 ФЗ) требуют предусмотреть в медицинских информационных системах персональных данных (далее - ИСПДн) возможность предоставления пациенту в доступной для него форме информации о состоянии здоровья, включая сведения о результатах обследования, наличии заболевания, его диагнозе и прогнозе, методах лечения, связанном с ним риске, возможных вариантах медицинского вмешательства, их последствия и результатах проведенного лечения. Это требование вполне соотносится с положениями ст.143 Федерального закона "О персональных данных", определяющей право субъекта на доступ к своим ПДн. Так же следует обеспечить возможность информирования пациентов о способах и сроках обработки и хранения ПДн, а также лицах, имеющих к ним доступ.
Для обеспечения безопасности ПДн пациентов медицинских учреждений необходимы не только технические, но и организационные меры защиты. Особенность обработки ПДн заключается так же в том, что передача сведений, составляющих врачебную тайну, разрешена только с согласия пациента, за исключением случаев, предусмотренных ст. 13 "Основ законодательства РФ об охране здоровья граждан" (аналогичное требование ст. 6 Федерального закона "О персональных данных").
Техническая составляющая системы защиты персональных данных в медицинских учреждениях создается в соответствии с требованиями руководящих и методических документов регуляторов. В большинстве случаев состав угроз информационной безопасности требует применения более широкого класса механизмов безопасности, нежели это предусмотрено руководящими и методическими документами. В таких случаях осуществляется разработка системы защиты ПДн в составе более масштабной комплексной системы обеспечения информационной безопасности, реализующей дополнительные требования по обеспечению защиты информации.
Для справки:
Правовыми основаниями для обработки персональных данных пациентов медицинского учреждения являются:
Практически ни одно медицинское учреждение - государственное, муниципальное или частное - не обходится в своей деятельности без использования компьютеров для обработки персональных данных (ПДн) пациентов и медработников. Это влечет за собой необходимость организации защиты ПДн в соответствии с требованиями действующего законодательства в данной области. Обеспечение безопасности ПДн в информационных системах медицинских учреждений - это не только выполнение требований Федерального закона от 27.07.2006 г. № 152-ФЗ "О персональных данных", но и комплекса мероприятий по охране врачебной тайны, понятие которой устанавливается Федеральным законом от 21.11.2011 N 323-ФЗ (ред. от 29.12.2015) "Об основах охраны здоровья граждан в Российской Федерации" (с изм. и доп., вступ. в силу с 01.01.2016) и Федеральным законом от 29 ноября 2011 года № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»
При обработке ПДн пациентов медицинских учреждений следует учитывать, что Федеральный закон от 27.07.2006 г. № 152-ФЗ "О персональных данных" относит данные о состоянии здоровья пациента к специальной категории ПДн, обработка которых разрешается только при наличии письменного согласия субъекта ПДн или в исключительных случаях, предусмотренных статьей 10 данного закона (например, когда обработка ПДн необходима для защиты жизни или здоровья субъекта, либо жизни и здоровья других лиц, и получение согласия субъекта невозможно или когда обработка ПДн осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка ПДн осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну).
Характерной особенностью организации обработки ПДн в медицинских организациях является то обстоятельство, что "Основы законодательства РФ об охране здоровья граждан" (ст.13 323 ФЗ) требуют предусмотреть в медицинских информационных системах персональных данных (далее - ИСПДн) возможность предоставления пациенту в доступной для него форме информации о состоянии здоровья, включая сведения о результатах обследования, наличии заболевания, его диагнозе и прогнозе, методах лечения, связанном с ним риске, возможных вариантах медицинского вмешательства, их последствия и результатах проведенного лечения. Это требование вполне соотносится с положениями ст.143 Федерального закона "О персональных данных", определяющей право субъекта на доступ к своим ПДн. Так же следует обеспечить возможность информирования пациентов о способах и сроках обработки и хранения ПДн, а также лицах, имеющих к ним доступ.
Для обеспечения безопасности ПДн пациентов медицинских учреждений необходимы не только технические, но и организационные меры защиты. Особенность обработки ПДн заключается так же в том, что передача сведений, составляющих врачебную тайну, разрешена только с согласия пациента, за исключением случаев, предусмотренных ст. 13 "Основ законодательства РФ об охране здоровья граждан" (аналогичное требование ст. 6 Федерального закона "О персональных данных").
Техническая составляющая системы защиты персональных данных в медицинских учреждениях создается в соответствии с требованиями руководящих и методических документов регуляторов. В большинстве случаев состав угроз информационной безопасности требует применения более широкого класса механизмов безопасности, нежели это предусмотрено руководящими и методическими документами. В таких случаях осуществляется разработка системы защиты ПДн в составе более масштабной комплексной системы обеспечения информационной безопасности, реализующей дополнительные требования по обеспечению защиты информации.
Для справки:
Правовыми основаниями для обработки персональных данных пациентов медицинского учреждения являются:
- Федеральный закон "Об основах охраны здоровья граждан в Российской Федерации" от 21.11.2011 года N323-ФЗ
- Федеральный закон "Об обязательном медицинском страховании в Российской Федерации" от 29.11.2011 года №326-ФЗ
- Федеральный закон "О донорстве крови и ее компонентов" от 20.07.2012 N125-ФЗ
- Политика в отношении обработки и обеспечения безопасности персональных данных в ТФОМС Ульяновской области
- Положение об обработке персональных данных в ТФОМС Ульяновской области
- Положение об организации и Регламент защищенной виртуальной сети VipNet ТФОМС Ульяновской области