Особенности автоматизированной обработки персональных данных о состоянии здоровья
Скачать 213.69 Kb.
|
| ОСОБЕННОСТИ АВТОМАТИЗИРОВАННОЙ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ О СОСТОЯНИИ ЗДОРОВЬЯ ОСОБЕННОСТИ АВТОМАТИЗИРОВАННОЙ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ О СОСТОЯНИИ ЗДОРОВЬЯ В предыдущей статье [6] были рассмотрены основные аспекты применения компьютерных технологий при обработке персональных данных (ПД) пациентов в медицинских учреждениях. Сегодня мы продолжим обсуждение этой проблемы, поскольку, хотя за последнее время и был издан ряд новых нормативно-методических документов (см. врезку 1), необходимых для реализации закона "О персональных данных" (далее - Закона), многие практические вопросы остались по-прежнему недостаточно регламентированными. Напомним, что к персональным данным относятся: а). сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (см. Указ Президента РФ от 06.03.1997 N 188); б). любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных) (статья 3 Закона). Во врезке 2 приведены определения еще некоторых понятий и терминов. В общем случае учреждение здравоохранения, являющееся оператором ПД (сюда мы относим также фонды ОМС и страховые медицинские организации), должно: 1). зарегистрироваться в качестве оператора ПД: подготовить и направить уведомление в территориальный орган Федеральной службы по надзору в сфере связи и массовых коммуникаций (Россвязькомнадзор), которая Постановлением Правительства РФ от 02.06.08 N 419 определена в качестве уполномоченного органа по защите прав субъектов персональных данных (см. статьи 22, 23 Закона); 2). получить письменные согласия пациентов (субъектов ПД) на обработку, в том числе передачу их персональных данных (статьи 6, 9 и 10 Закона); необходимость согласия пациента на передачу кому-либо сведений о нем, содержащих врачебную тайну, определена также статьей 61 "Основ законодательства Российской Федерации об охране здоровья граждан" (далее - Основ); далее понятия "пациент", "физическое лицо" и "субъект ПД" будем считать синонимами; 3). обеспечить информирование пациентов по их запросам о способах и сроках обработки и хранения их ПД, а также лицах, имеющих к ним доступ (см. часть 4 статьи 14 Закона); для этого в информационной системе (ИС) учреждения должны быть реализованы функции разграничения полномочий, аутентификации и учета доступа пользователей к базам данных с ПД, ведения соответствующих журналов (см. п. 15 "Положения об обеспечении безопасности персональных данных...", утвержденного Постановлением Правительства РФ от 17.11.07 N 781, далее - Положения); 4). для определения необходимых мер и выбора средств защиты ПД провести классификацию своей ИС и оформить соответствующий документ (см. п. 6 Положения); 5) организовать и поддерживать систему защиты конфиденциальной информации от несанкционированного доступа в соответствии с установленным классом ИС, с использованием средств защиты, сертифицированных в установленном порядке. Выполнение двух последних требований предполагает получение учреждением лицензии Федеральной службы по техническому и экспортному контролю (ФСТЭК) на организацию технической защиты информации, а также аттестацию системы (объекта автоматизации) на соответствие требованиям защиты конфиденциальной информации (см. ниже). Дадим некоторые пояснения. Регистрация в качестве оператора персональных данных. Порядок оформления уведомления определен приказом Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия (Россвязьохранкультура) от 13.05.08 N 340, которая до изменения структуры федеральных органов исполнительной власти являлась уполномоченным органом по защите прав субъектов ПД <*>. Требования к оформлению уведомления в новом приказе практически не изменились, поэтому все рекомендации, изложенные в работе Столбова А.П. [6], остаются в силе. Напомним, что в случае изменения сведений, указанных в уведомлении, оператор обязан в течение десяти рабочих дней сообщить об этом в уполномоченный орган по защите прав субъектов ПД (см. часть 6 статьи 22 Закона). -------------------------------- <*> Этот приказ был издан взамен приказов о форме уведомления от 11.01.08 N 3 и от 28.03.08 N 153. Оба они были отменены приказами Россвязьохранкультуры от 19.05.08 N 347 и от 13.05.08 N 332, соответственно. Порядок ведения реестра операторов, осуществляющих обработку персональных данных, утвержден приказом Россвязьохранкультуры от 28.03.08 N 154, в котором определены требования и процедуры включения и исключения операторов в(из) реестр(а). Решение о включении оператора в реестр или об отказе принимается в течение тридцати дней с даты поступления уведомления. Орган по защите прав субъектов ПД вправе осуществлять проверку полноты и достоверности сведений, указанных оператором в уведомлении, а также запрашивать и получать на безвозмездной основе, как у физических, так и у юридических лиц информацию, необходимую для осуществления своих полномочий. При включении в реестр каждому оператору присваивается регистрационный номер. Исключение оператора из реестра осуществляется в следующих случаях: - по письменному заявлению оператора об исключении из реестра с приложением обоснований; - по решению суда о прекращении оператором деятельности по обработке персональных данных; - принятию уполномоченным органом по защите прав субъектов ПД решения по приостановлению или прекращению оператором обработки ПД, осуществляемой с нарушением требований Закона. Информация о включении или исключении оператора в(из) реестр(а) в трехдневный срок публикуется на официальном сайте уполномоченного органа по защите прав субъектов ПД www.rsoc.ru. Сведения об операторах, включенных в реестр, являются общедоступными, за исключением данных о мерах по защите информации. Доступ к реестру осуществляется через Интернет-портал по адресу: http://pd.rsoc.ru. Добровольное письменное согласие пациента на обработку его персональных данных. Образец согласия, подготовленный в соответствии с требованиями статьи 9 Закона, применительно к медицинскому учреждению, работающему в системе ОМС, представлен во врезке 3. В учреждении необходимо наладить учет и хранение этих документов, предъявляемых в качестве доказательства легитимности обработки ПД пациентов (см. часть 3 статьи 9 Закона). Напомним, что в соответствии со статьей 61 Основ предоставление (то есть передача строго определенному кругу лиц) персонифицированных сведений о состоянии здоровья пациента без его согласия допускается: - в целях его обследования и лечения, в случае, если он не способен из-за своего состояния выразить свою волю; - при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений; - по запросу органов дознания, следствия и суда; - при оказании помощи несовершеннолетнему в возрасте до 15 лет для информирования его родителей или законных представителей; - при наличии оснований, позволяющих полагать, что вред здоровью причинен в результате противоправных действий; - в целях проведения военно-врачебной экспертизы. Что касается организаций (операторов), осуществляющих обработку ПД, полученных от других операторов, например, территориальных фондов ОМС, то письменное согласие каждого застрахованного лица (субъекта ПД) может быть оформлено при выдаче им полиса ОМС. Иными словами, в системе ОМС каждое застрахованное лицо (или его законный представитель) должно оформить несколько письменных согласий - для каждого оператора: - для страховой медицинской организации (СМО) и для территориального фонда ОМС (ТФОМС) при получении полиса ОМС; - для каждого медицинского учреждения при первом обращении за медицинской помощью (см. врезку 3). Например, если полис ОМС выдает СМО, то она при этом оформляет два согласия застрахованного лица - и для себя, и для ТФОМС. Имеется в виду, что СМО передает затем в ТФОМС персональные данные граждан, получивших полис ОМС, и документы с согласием на их обработку в ТФОМС. Тем самым выполняется также требование части 3 статьи 18 Закона об обязанности оператора информировать субъекта ПД о получении сведений о нем от третьих лиц (в данном случае ТФОМС обязан проинформировать застрахованного гражданина о получении и обработке его ПД от СМО и медицинских учреждений). Аналогично и с оформлением письменного согласия на обработку и передачу ПД при обращении пациента в органы управления здравоохранением (ОУЗ) за направлением на высокотехнологичную медицинскую помощь (ВМП). В том случае, если персонифицированные данные, помимо ОУЗ и медицинского учреждения, оказывающего ВМП, будут направляться для обработки еще и в некий информационный центр (ИЦ), такое согласие должно быть оформлено также и для него (оно должно быть передано и храниться в ИЦ, который в этом случае также является оператором ПД) <*>. Подобная проблема возникает при ведении любых персонифицированных "сводных" медицинских регистров и баз данных, формируемых вне медицинских учреждений, в частности, в ИЦ, куда непосредственно не обращаются пациенты. Сегодня процедуры их ведения и использования, соответствующие требованиям закона "О персональных данных", в целом пока еще нормативно не регламентированы. -------------------------------- <*> Примером того, как в таких случаях можно организовать оформление и передачу согласия пациента в виде электронного документа, может являться приказ Минздравсоцразвития России от 31.01.05 N 109 "Об утверждении Типовой формы соглашения о взаимном удостоверении подписей при приеме заявлений об отказе от получения социальных услуг (социальной услуги)". Надо сказать, что во многих случаях представление персонифицированных медицинских сведений "наверх", которое сейчас широко практикуется, совершенно не обоснованно ни с правовой, ни с практической точек зрения. Например, совершенно не понятно, зачем территориальные фонды ОМС представляют персонифицированные реестры о медицинской помощи в Федеральный фонд ОМС, о чем пациенты, не дававшие на это своего письменного согласия, даже и не догадываются (см. приказ ФФОМС от 10.01.08 N 2). Для анализа и принятия управленческих решений вполне достаточно псевдонимизированных или даже обезличенных данных об объемах и результатах медицинской помощи. И только в редких, отдельных случаях, например, при выявлении каких-либо отклонений от "нормы", обращении пациента в орган управления, разборе жалобы и т.д., необходимые персонифицированные данные могут быть запрошены и получены с его письменного согласия у соответствующих операторов. При организации работы необходимо стремиться к максимально возможному сокращению перечня сотрудников, имеющих доступ к ПД пациентов. Во всех случаях, когда это возможно, особенно вне медицинских учреждений, целесообразно передавать и хранить медицинские данные в деперсонифицированном - псевдонимизированном или обезличенном виде (так называемые базы "вторичных" данных, см. врезку 2). Это позволит снизить потенциальные риски несанкционированного доступа и утечки данных и в целом сократить совокупные расходы на обеспечение конфиденциальности и защиту персональной информации <*>. Необходимо пересмотреть существующие сегодня полицевые формы отчетности и реестры, представляемые медицинскими учреждениями в страховые компании, фонды ОМС и другие организации, а также нормативно-методические документы, регламентирующие процедуры выполнения надзорно-контрольных функций, медико-экономического контроля и экспертизы качества медицинской помощи, исходя из требований Закона "О персональных данных" и принципа разумной достаточности. -------------------------------- <*> Следует напомнить о многочисленных скандалах с продажей на рынках дисков с базами персональных данных. Во многих случаях виновников так и не нашли. И это удивительно, поскольку применение, например, различных методов стеганографии при организации защиты информации позволяет практически со стопроцентной вероятностью "вычислить" источник ее утечки. Что делать при отказе пациента (для ОМС - застрахованного лица) оформить письменное согласие на обработку его ПД? Полагаем, что при оказании услуг медицинской помощи, предусмотренной программой государственных гарантий гражданам на бесплатную медицинскую помощь, оформление этого документа должно быть обязательным, за исключением случаев, предусмотренных законодательством РФ, когда такое согласие необязательно. Кроме того, необходимо узаконить возможность не собирать и не хранить письменные согласия граждан для тех операторов, например, ИЦ, которые обрабатывают только ПД, полученные от других операторов (в данном случае субъекты ПД непосредственно не обращаются в ИЦ; см. пример с ТФОМС и СМО выше). Достаточно, чтобы согласие для ИЦ было дано при оформлении согласия для оператора - источника "первичных" персонифицированных данных, представляющего их в ИЦ. Целесообразно в явном виде внести эти условия в соответствующие правовые нормативные акты, законодательно установить четкие требования к организации хранения, обмена и доступа к медицинским данным в электронном виде, в том числе с учетом возможной псевдонимизации данных и их разделением на "первичные" и "вторичные", как это сделано в большинстве стран Европейского Союза, США, Канаде, Австралии и других развитых странах <*>. -------------------------------- <*> В перечне поручений Президента РФ по итогам заседания Президиума Госсовета РФ 17.07.08 (утвержден 01.08.08 N Пр-1572ГС) Правительству дано поручение в срок до 1 декабря 2008 г. "утвердить комплекс мер по созданию государственной информационной системы персонифицированного учета оказания медицинской помощи, предусмотрев разработку необходимых нормативных правовых актов, а также подключение государственных и муниципальных медицинских учреждений к сети Интернет" (п. 1 "з"). Еще одно замечание, не имеющее прямого отношения к теме этой статьи, касается согласия медицинского работника на передачу его персональных данных. В соответствии со статьей 88 Трудового кодекса РФ медицинское учреждение при передаче ПД сотрудника в органы Росздравнадзора для ведения федерального регистра медицинских работников (см. приказ Минздравсоцразвития России от 17.01.08 N 14н) обязано получить его письменное согласие. Целесообразно включить это согласие в трудовой договор с сотрудником (см. приказ Минздравсоцразвития России от 19.02.08 N 77н). Организация защиты конфиденциальной информации <*>. Для медицинских учреждений эта актуальная тема в целом требует отдельного, обстоятельного рассмотрения. Отметим только, что работы по информационной безопасности, в том числе защите ПД, должны являться неотъемлемой частью работ по созданию или модернизации ИС (см. п. 4 Положения) и должны быть выделены в отдельный этап или контракт. В общем случае указанные работы включают три фазы: -------------------------------- <*> Защита информации - это комплекс организационно-технических мероприятий, направленных на предотвращение потери, искажения и несанкционированного доступа к данным и документам. 1). предпроектную фазу - обследование и определение класса ИС, предварительное определение способов и состава средств защиты информации (СЗИ); 2). проектную фазу - разработка технического задания на создание комплексной системы защиты информации, в том числе разработка модели угроз, техническое и рабочее проектирование системы; 3). ввод в эксплуатацию - закупка сертифицированных СЗИ, их инсталляция, обучение персонала, издание организационно-распорядительных документов о допуске персонала и регламентах обработки конфиденциальной информации, назначение ответственных, организация контроля, аудита и др., а также аттестация системы на соответствие требованиям безопасности обработки конфиденциальной информации. С порядком аттестации ИС, необходимыми документами и перечнем организаций, уполномоченных проводить аттестационные испытания, можно ознакомиться на сайте ФСТЭК www.fstec.ru. Классификация ИС, в которых обрабатываются персональные данные, должна осуществляться в соответствии с требованиями документа "Порядок проведения классификации информационных систем персональных данных", утвержденного совместным приказом ФСТЭК, ФСБ и Мининформсвязи России от 13.02.08 N 55/86/20. В этом документе (далее - Порядок) указано, что: - классификация осуществляется на основе следующих критериев: категория обрабатываемых данных (сведения о состоянии здоровья относятся к 1-й категории - см. п. 6 Порядка), их объем, характеристики безопасности, структура ИС, наличие подключения к Интернету, режим обработки ПД, режим разграничения прав доступа и местонахождение технических средств; - присвоение класса ИС осуществляется самим оператором ПД (медицинским учреждением), класс должен быть оформлен документально; заметим, что в соответствии с п. 8 Порядка медицинские ИС относятся к специальным системам, поскольку в них обрабатываются данные о состоянии здоровья пациентов. Анализ требований Порядка применительно к медицинским ИС вызывает целый ряд вопросов. В частности, приведенная в п. 15 классификация относится только к типовым ИС. Что касается специальных ИС, в том числе медицинских, то в п. 16 указано, что класс таких ИС определяется на основе анализа данных и модели угроз безопасности ПД в соответствии с методическими документами ФСТЭК и ФСБ. Разработаны ли эти документы ФСБ, в открытых источниках сведений нет, а вот перечень документов ФСТЭК известен (см. www.government. nnov.ru/_data/objects/29371/fstek.ppt): 1. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждена 14.02.08). 2. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждена 15.02.08). 3. Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных (утверждены 15.02.08). 4. Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утверждены 15.02.08). 5. Специальные требования и рекомендации по технической защите конфиденциальной информации (утверждены 30.08.02). 6. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации (утверждены 30.03.1992). Однако указанные документы, утвержденные в 2008 году, имеют гриф "Для служебного пользования" и доступны только для зарегистрированных операторов ПД, являющихся при этом лицензиатами ФСТЭК <*>. -------------------------------- <*> Ознакомиться с этими документами можно также по официальному запросу в органы ФСТЭК. По мнению компетентных специалистов по защите информации, организации здравоохранения как объекты автоматизации необходимо классифицировать (категорировать) по следующим уровням: - класс 1Г (максимальный гриф обрабатываемой информации - "Конфиденциально") - согласно руководящему документу 1992 г., указанному в перечне ФСТЭК под номером 6; - класс К1 (все ИС, в которых обрабатывается информация 1-й категории, имеют класс К1) - согласно документу 2008 г. под номером 4 в перечне. В соответствии с перечисленными выше документами организации, эксплуатирующие информационные системы классов 1Г и К1, обязаны: а) получить лицензию ФСТЭК на техническую защиту информации; б) выполнить все необходимые мероприятия по обеспечению защиты информации для указанных классов ИС; в) провести аттестационные испытания автоматизированной системы по требованиям ФСТЭК. Иными словами, все учреждения здравоохранения, являющиеся операторами ПД, должны иметь лицензию ФСТЭК на организацию технической защиты информации <*>. С порядком ее получения можно ознакомиться на сайте ФСТЭК www.fstec.ru. -------------------------------- <*> Выполнимы ли до 1 января 2010 г. эти требования на практике? Скорее всего, нет. Недавно на "Инфофоруме" (см. www.osp.ru/cw_online/2008/5/4739396) начальник Управления ФСТЭК Владимир Селин заявил, что "все операторы персональных данных должны получить лицензии на защиту конфиденциальной информации. Однако каждая поликлиника в отдельности не должна выступать как оператор персональных данных". Такая политика, скорее всего, приведет к появлению специальных государственных структур, которые будут заниматься хранением персональных данных для нужд поликлиник, ЗАГСов, школ, детских садов и других государственных предприятий, деятельность которых связана с хранением персональных данных населения. Возможно, подобными структурами станут государственные информационные центры (см. Постановление Правительства РФ от 25.12.07 N 931 и приказ Мининформсвязи России от 11.03.08 N 32). Многое здесь сейчас еще не понятно, поэтому возможность реализации такого решения на практике пока вызывает серьезные сомнения. Таким образом, без создания в учреждениях системы комплексной защиты конфиденциальной информации обработка персональных данных пациентов невозможна. И этим должны заниматься компетентные специалисты, имеющие соответствующую профессиональную подготовку. К сожалению, в настоящее время в штатных расписаниях учреждений здравоохранения сотрудники по информационной безопасности, за очень редким исключением, не предусмотрены <*>. Возможность передачи работ по обеспечению защиты информации в медицинских учреждениях на аутсорсинг требует дополнительных исследований и проработки. -------------------------------- <*> Приказом Минздравсоцразвития России от 29.05.08 N 247н в перечень профессиональных квалификационных групп включены должности специалистов (техники, инженеры и т.д.) по защите информации. Рабочей группой Министерства подготовлен проект перечня должностей с окладами для клинических научных центров, в котором предусмотрены должности специалистов по защите информации (см. www.minzdravsoc.ru/labour/switch/13). Отметим, что организация системы информационной безопасности предусматривает значительные ресурсы. Например, в финансово-кредитных организациях расходы на защиту информации составляют около 20% от совокупных расходов на ИТ. Это должно быть учтено в соответствующих бюджетах. В заключение хотелось бы еще раз подчеркнуть, что перечисленные выше проблемы требуют безотлагательного решения. Необходимо разработать и издать нормативно-методические документы по организации обработки персональных данных в учреждениях здравоохранения, так как к 1 января 2010 г., когда по закону "О персональных данных" все информационные системы должны быть приведены в соответствие с его требованиями, в наших лечебно-профилактических учреждениях, страховых медицинских организациях и фондах ОМС все уже было бы lege artis. Заинтересованным читателям советуем ознакомиться с публикациями по вопросам защиты персональных данных и безопасности информации, перечень которых представлен ниже. Автор выражает свою признательность сотрудникам Медицинского информационно-аналитического центра РАМН и кафедры организации здравоохранения с курсом медицинской статистики и информатики Московской медицинской академии им. И.М.Сеченова за полезные замечания и обсуждения при написании данной работы. ИДЕНТИФИКАЦИЯ ПАЦИЕНТОВ. ПЕРСОНИФИЦИРОВАННЫЕ И ДЕПЕРСОНИФИЦИРОВАННЫЕ ДАННЫЕ Идентификатор пациента - уникальный символьный или цифровой код, применяемый для обозначения пациента и относящихся к нему данных в определенной учетной системе (системе учета). Медицинские данные пациента - сведения о физиологических особенностях организма, перенесенных заболеваниях, состоянии здоровья и(или) оказанной пациенту медицинской помощи. Персонифицированные данные - совокупность сведений, включающая персональные данные пациента, которые позволяют идентифицировать его личность. Обезличивание данных - действия по удалению персональных данных пациента, в результате которого ни при каких условиях невозможно определить принадлежность медицинских данных конкретному физическому лицу и идентифицировать его личность. Обезличенные данные не являются конфиденциальными. Обезличивание данных используется в тех случаях, когда не требуется сопоставление медицинских данных с конкретным пациентом, например, для их статистической обработки, научных и учебных целей и т.д. Анонимизация данных - использование для обозначения (пометки) медицинских данных (документов), относящихся к некоторому пациенту, его условного имени - криптонима (от греч. "kryptos" - тайный, скрытый и "onyma" - имя), раскрытие которого возможно только самим пациентом. Предполагается, что при использовании криптонима для идентификации пациента его персональные данные пациента в учетной системе не хранятся. Ответственность за раскрытие своего криптонима несет только сам пациент. Анонимные данные не являются конфиденциальными, поэтому согласия пациента на их обработку не требуется. Анонимизация данных используется, в частности, в тех случаях, когда пациент сам организует сбор, накопление и передачу на хранение своих медицинских данных, например, на серверах в сети Интернет (см. проекты Google Helath и Microsoft HealthVault), а также при анонимном лечении. Псевдонимизация данных - совокупность организационно-технических мероприятий, процедур и действий по присвоению пациенту специального псевдонима (от греч. "pseudo" - ложный и "onyma" - имя) для передачи, сбора, хранения и обработки его медицинских данных, исключающая возможность его несанкционированного сопоставления с конкретным физическим лицом и идентификацию его личности. Формирование псевдонима и его обратное сопоставление с персональными данными пациента осуществляются с помощью криптографических средств, использование которых жестко регламентировано. Псевдоним: а). никогда не указывается на медицинских и иных документах, содержащих персональные данные пациента; б). во всех случаях не известен пациенту и поэтому не может быть им раскрыт или передан кому-либо (в отличие от других его идентификаторов, например, СНИЛС); в). может быть сопоставлен с персональными данными пациента (дешифрован) только с согласия пациента либо в иных случаях, предусмотренных законодательством; г). персональный перечень должностных лиц, которым в этих случаях стала известна информация о соответствии псевдонима конкретному пациенту (его персональным данным), строго определен и также известен. Псевдонимизированные данные не содержат персональных данных пациентов и в этом смысле уже не являются конфиденциальными, что позволяет осуществлять их обработку без согласия пациентов (это положение законодательно определено, например, в Великобритании). Псевдонимизация персонифицированных сведений целесообразна при организации "сводных" медицинских баз данных (БД), когда: а). круг пользователей БД достаточно широк (например, органы управления здравоохранением, надзорно-контрольные органы, страховые организации и фонды ОМС, научно-исследовательские учреждения и т.д.); б). возможны случаи, когда в процессе обработки и анализа данных пациента может возникнуть необходимость идентификации его личности или непосредственного контакта с ним, например, должностных лиц надзорно-контрольных органов. Примерами подобных псевдонимизированных БД могут являться специализированные медицинские регистры: доноров, онкологический, диабетический и т.д., которые ведутся в Великобритании, Германии и Австралии. Основные принципы псевдонимизации при обработке конфиденциальной персональной информации были предложены в начале 1980-х годов (см. [1]). На основе этих принципов с ноября 2005 г. в Международной организации стандартизации (ИСО, www.iso.org) ведется работа над проектом технических спецификаций ISO TS 25237 Health informatics. Pseudonimisation. Отличие псевдонимизации от простого шифрования персональных данных пациента заключается в жесткой регламентации и централизации процедур использования средств шифрования/дешифрования при присвоении псевдонима и его сопоставлении с персональными данными пациента, что в целом и обеспечивает возможность: - сбора и интеграции медицинских данных пациента, помеченных его "единым" псевдонимом из многих независимых источников (учреждений); - получения "открытого" доступа широкого круга пользователей к сводным медицинским базам данных пациентов без какого-либо риска нарушения их конфиденциальности. Принципиально важным является то, что пользователям псевдонимизированных медицинских БД какие-либо критографические средства для обработки псевдонимов не нужны. При этом значительно снижаются требования к средствам защиты таких баз данных и существенно сокращаются совокупные расходы на их создание и эксплуатацию. Заметим, что иногда псевдонимизацией данных называют также их анонимное представление - без указания персональных данных пациента, вместо которых используется его криптоним. Полицевые данные - совокупность данных, относящихся к некоторому физическому лицу (пациенту). В зависимости от наличия в их составе персональных данных и используемых идентификаторов пациентов полицевые данные могут быть (см. выше): а). персонифицированными, б). псевдонимизированными, в). анонимными и г). обезличенными. Деперсонифицированные данные - анонимные данные, а также данные, полученные в результате псевдонимизации или обезличивания. ПЕРВИЧНЫЕ И ВТОРИЧНЫЕ МЕДИЦИНСКИЕ ДАННЫЕ Принято разделять "полицевые" медицинские данные, их потоки и хранилища (базы данных) на две категории (см., например [3]): 1. Первичные данные, которые формируются и используются медицинскими работниками непосредственно в процессе оказания медицинской помощи пациенту и ведения электронной медицинской карты в медицинском учреждении. Доступ к персонифицированным "первичным" данным строго ограничен и жестко регламентирован законодательством. 2. Вторичные данные - интегрированные, агрегированные полицевые медицинские данные, формируемые на основе "первичных" данных, поступающих из множества лечебных учреждений. Обычно такие данные накапливаются в течение продолжительного времени в виде различных "сводных" БД, используемых органами управления для анализа, планирования, выполнения надзорно-контрольных функций, ведения "листов ожидания", а также экспертизы, оплаты (клиринга), эпидемиологических и иных научных исследований и т.д. Пользователи таких БД, как правило, непосредственно не оказывают медицинскую помощь пациентам. Формирование и ведение "сводных" БД в общем случае осуществляются вне медицинских учреждений в специальных центрах сбора и обработки данных. В последнее время наблюдается тенденция ведения "вторичных" баз данных в псевдонимизированном или обезличенном виде. Примерами таких сводных псевдонимизированных БД являются канцер-регистры в Великобритании, Германии и Австралии (см. выше). Разделение медицинских данных на указанные категории, прежде всего, обусловлено требованиями законодательства по защите персональных данных. Кроме того, это позволяет существенно снизить риски нарушения конфиденциальности данных пациентов и значительно сократить совокупные расходы на администрирование и эксплуатацию всей системы в целом. ОБРАЗЕЦ ПИСЬМЕННОГО СОГЛАСИЯ ПАЦИЕНТА НА ОБРАБОТКУ ЕГО ПЕРСОНАЛЬНЫХ ДАННЫХ СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ Я, нижеподписавшийся _ Ф.И.О. полностью _, проживающий по адресу _ по месту регистрации _, паспорт _ серия и номер _, выдан _ дата_ название выдавшего органа _, в соответствии с требованиями статьи 9 Федерального закона от 27.07.06 "О персональных данных" N 152-ФЗ подтверждаю свое согласие на обработку _ название и адрес медицинского учреждения _ (далее - Оператор) моих персональных данных, включающих: фамилию, имя, отчество, пол, дату рождения, адрес проживания, контактный телефон, реквизиты полиса ОМС (ДМС), страховой номер Индивидуального лицевого счета в Пенсионном фонде России (СНИЛС), данные о состоянии моего здоровья, заболеваниях, случаях обращения за медицинской помощью, в медико-профилактических целях, в целях установления медицинского диагноза и оказания медицинских услуг при условии, что их обработка осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну. В процессе оказания Оператором мне медицинской помощи я предоставляю право медицинским работникам передавать мои персональные данные, содержащие сведения, составляющие врачебную тайну, другим должностным лицам Оператора в интересах моего обследования и лечения. Предоставляю Оператору право осуществлять все действия (операции) с моими персональными данными, включая сбор, систематизацию, накопление, хранение, обновление, изменение, использование, обезличивание, блокирование, уничтожение. Оператор вправе обрабатывать мои персональные данные посредством внесения их в электронную базу данных, включения в списки (реестры) и отчетные формы, предусмотренные документами, регламентирующими предоставление отчетных данных (документов) по ОМС (договором ДМС). Оператор имеет право во исполнение своих обязательств по работе в системе ОМС (по договору _ ДМС...) на обмен (прием и передачу) моими персональными данными со страховой медицинской организацией _ название _ [и территориальным фондом ОМС] с использованием машинных носителей или по каналам связи, с соблюдением мер, обеспечивающих их защиту от несанкционированного доступа, при условии, что их прием и обработка будут осуществляться лицом, обязанным сохранять профессиональную тайну. Срок хранения моих персональных данных соответствует сроку хранения первичных медицинских документов и составляет двадцать пять лет (для стационара), пять лет (для поликлиники). Передача моих персональных данных иным лицам или иное их разглашение может осуществляться только с моего письменного согласия. Настоящее согласие дано мной __ дата _ и действует бессрочно. Я оставляю за собой право отозвать свое согласие посредством составления соответствующего письменного документа, который может быть направлен мной в адрес Оператора по почте заказным письмом с уведомлением о вручении либо вручен лично под расписку представителю Оператора. В случае получения моего письменного заявления об отзыве настоящего согласия на обработку персональных данных Оператор обязан прекратить их обработку в течение периода времени, необходимого для завершения взаиморасчетов по оплате оказанной мне до этого медицинской помощи. Контактный телефон(ы) ______________________________ и почтовый адрес ___________________________________ Подпись субъекта персональных данных _______________ |
Похожие:
 | Постановлением Правительства Российской Федерации от 01 ноября 2012 г №1119 «Об утверждении требований к защите персональных данных... |  | Итоги государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской... |
| Правительства Российской Федерации от 15. 09. 2008 №687 «Об утверждении Положения об особенностях обработки персональных данных,... | | Категории обрабатываемых персональных данных, источники их получения, сроки обработки и хранения. 3 |
| Организации и предприниматели, осуществляющие обработку персональных данных, обязаны уведомить Уполномоченный орган по защите прав... | | Постановлением Правительства Российской Федерации от 15. 09. 2008 №687 «Об утверждении Положения об особенностях обработки персональных... |
| Настоящим Положением определяется порядок получения, обработки, хранения, передачи и любого другого использования персональных данных... | | Владельцы персональных данных не возражают против обработки их персональных данных в целях организации пропускного режима на территории... |
| Ии администрации сельского поселения (Н. П. Свистуновой) довести под роспись до сотрудников администрации сельского поселения, обязанности... | | «Об утверждении требований к защите персональных данных при обработке в информационных системах персональных данных», Постановлением... |