реестр СМО

Защита персональных данных:
от модернизации к исполнению
Проблемы организации
обработки персональных
данных в здравоохранении
проф., д.т.н. Столбов А.П., РАМН
Москва, 21 марта 2013 г.
19.3.3
О трансплантации органов и(или) тканей человека,
№ 4180-1 от 22.12.1992 г. (ред. от 20.06. 2000)*
О психиатрической помощи и гарантиях прав граждан при её
оказании, № 3185-1 от 02.07.1992 г.
О предупреждении распространения в Российской Федерации
заболевания, вызываемого вирусом иммунодефицита
человека (ВИЧ-инфекции), № 38-ФЗ от 30.03.1995 г.
Об иммунопрофилактике инфекционных болезней,
№ 157-ФЗ от 17.09.1998 г. (ред. ... от 25.12.2012 г.)
О государственной социальной помощи, № 178-ФЗ от 17.07.1999г.
(ред. ... от 22.08.2004 г. № 122-ФЗ, … от 08.12.2010 г.)
О государственной геномной регистрации в Российской
Федерации, № 242-ФЗ от 03.12.2008 г.
Об обращении лекарственных средств, № 61-ФЗ от 12.04.2010 г.*
Об обязательном медицинском страховании в Российской
Федерации, № 326-ФЗ от 29.11.2010 г. (ред. от 11.02.2013 г.)
Об основах охраны здоровья граждан в Российской Федерации,
№ 323-ФЗ от 21.11.2011 г.
О донорстве крови и её компонентов, № 125-ФЗ от 20.07.2012 г.
2
"Регистр населения" !!
ФОМС НВП
Реестр всех* случаев обращения
за мед. помощью в ТФОМС !!
ОИВс
? 2
ЗАГС 3
ФМБА
?
РДК
ЕРЗ
{ТФдр}
15,7
МСЭ
{СМО}
12,9
Б
К
СМЭВ
Э-услуги
ФУО, УО : УЭК ?!
ИЭМК
19
{МО}
{С}
оСЗН
{А}
14,17
СМР
рецепт, дВУТ
Регистр прикрепленного населения
16
16
18
20 ?
19
13
ОУЗ
доступ
оФСС
К
полис ОМС
14
19
?
ИЭМК
СМР+ФЭР
ВМП
14
ТФомс
{МОдр}
СЭС
оПФР
ФРМР
1
10,11
доноры крови


5,8,7
5,6,7
{СПК}
выбор
до 1.11
РЭК
МЗ РФ
?
?!
Льготы

С = страхователь
А = аптека
3
Проблемы, вопросы, акценты
(1)
 включение в состав "публичных" ПДн врачей




статистических данных о врачебных ошибках (как в США)
формирование регистров неработающего населения (ст. 13)
нормативное определение понятий
 "медицинская информационная система" (№ 323-ФЗ, ст.13)
 "сведения о состоянии здоровья" ("инвалид", "годен" etc)
 "псевдонимизация", "обратная персонификация"
процедуры псевдонимизации и обратной персонификации
вторичных "медицинских" данных (как SUS NHS UK)
ISO/TS 25237, рекомендации по обезличиванию РКН
исчерпывающие перечни случаев, когда необходимо:
 оформлять согласие субъекта на обработку ПДн
 уведомлять его о получении ПДн от третьих лиц (ст.18)
или предоставлении их третьим лицам
4
Проблемы, вопросы, акценты
(2)
 новый "отраслевой" комплект методических документов по
организации обработки ПДн и защите информации
 отраслевая модель угроз безопасности ПДн (вместе с ОМС)




(ст.19) ПП № 1119, приказы ФСТЭК № 17, 21 и др. -> ТТ* стеганография
ЕГИСЗ = ГИС и ИСПДн -> оценка вреда (ст.18.1) (методики):
а) субъекту ПДн (пациент, работник), б) оператору ГИС
ЕГИСЗ = федеративная ИС с "облачными" подсистемами ->
ответственность операторов и "аутсорсеров"
классификация ролей (оператор, "аутсорсер") и операторов
(кто, от кого, какие ПДн получает и предоставляет)
федеративная система идентификации, аутентификации и
управления полномочиями (+ электронная подпись) (ЕСИА)
 "безопасное" включение медицинской техники в МИС
 "кибербезопасность" медицинской техники
 обеспечение конфиденциальности при использовании
Интернет ("удаленная регистратура", "личный кабинет", заявления в
СМО, медицинскую организацию, фонд ОМС и т.д.)
5
26-28 марта 2013 г., MedSoft-2013,
www.armit.ru
СПАСИБО !
Всем удачи !!!
Столбов Андрей Павлович
AP100Lbov@mail.ru
+7(495) 724-70-46
6
[1] оПФР --> ТФОМС:
- данные о работающих лицах (к)
[2] ОИВс --> ТФОМС: !? (ст.13 зак. № 152-ФЗ)
- данные о неработающих лицах (м)
[3] ЗАГС --> ТФОМС:
- данные о смерти (м)
Стоп-листы полисов?
[8] ТФОМС () --> ФФОМС:
-
регистр застрахованных лиц (д)
реестр мед. организаций (2 д)
реестр СМО (д)
реестр экспертов качества (м)
[9] СМО --> МО:
- данные о смерти !?
- данные о лицах, получивших травмы на производстве (10 д)
[4] оФСС --> ТФОМС:
[5] СМО <--> ТФОМС <--> ФФОМС:
-
запросы к регистру застрахованных (д) [Б] МО --> СЭС : ф.058/у и др.
[К] отд. медицинские документы
ответы на запросы к регистру
заявки на изготовление полисов
Не показаны потоки
сведения о полисах + на портале ФФОМС
протоколов и актов
[6] ТФОМС --> СМО:
-
контроля и экспертизы
реестров (счетов)
сведения о лицах, не выбравших СМО (м)
данные о смерти застрахованных лиц (м)
данные о лицах, получивших травмы на производстве (5 д)
реестр экспертов качества медпомощи
[7] ФФОМС \ ТФдр --> ТФОМС --> СМО
- уведомление о смене СМО
7
[10] МО --> ТФОМС: реестры учета
-
медпомощи по ОМС для СМО субъекта РФ
медпомощи "иногородним"
диспансеризации работающих граждан
диспансеризации детей-сирот ...
[11] ТФОМС --> МО:
- реестры учета медпомощи "по СМО" (2 д)
[12] МО --> СМО:
- список прикрепившихся от "этой СМО" !!
- реестр + счет за медпомощь по ОМС (м)
[13] МО --> оФСС: (ПП РФ № 1233 от 31.12.2010)
- реестр талонов родовых сертификатов
[16] оПФР -> oСЗН -> ОУЗ
- регистры "льготников"
[17] МО --> ОУЗ:
- реестр амб. помощи
- реестр рецептов
!?
[18] Аптека --> ОУЗ:
- реестр отпущ. лекарств
- реестр отлож. рецептов
- реестр забрак. рецептов
скорая помощь с 01.01.2013 г. !!
"неидентифицированные" !?
[14] МО --> ОУЗ --> МЗСР:
-
паспорт мед. организации
[19] ТФОМС \ МО --> оФСС:
регистр мед. работников (ФРМР) ~ СНИЛС [20] Работодатель --> оФСС:
- реестр документов ВУТ !?
реестр медицинской техники (РМТ)
данные для мониторинга ПМЗ +"медстат"
[15] ТФОМС <--> ТФОМС при ТМП  ТОМС :
- реестры счетов по "иногородним" (м)
- данные о лицах, получивших травмы на производстве
- данные о смерти, полученные от ЗАГС (5 д)
8
ГОСТ Р 52636-2006 Электронная история болезни. Общие
положения
ГОСТ Р ИСО/ТС 18308-2008 Информатизация здоровья. Требования
к архитектуре электронного учета здоровья [ 5.4 PRS4, 5.5 MEL5 ]
ГОСТ Р ИСО/ТС 22600-1, 2-2009 Информатизация здоровья.
Управление полномочиями и контроль доступа. Часть 1 Общие
сведения и управление политикой, Часть 2 Формальные
модели
ГОСТ Р 54472-2011 Информатизация здоровья. Передача
электронных медицинских карт. Часть 4 Безопасность
ISO/TS 25237:2008 Health informatics. Pseudonymization.
ISO/TS 22220:2009 Health informatics. Identification of subject of
health care.
Health Insurance Portability and Accountability Act (HIPAA), США, 1996
Guidance Regarding Methods for De-identification of Protected Health Information in
Accordance with the Health Insurance Portability and Accountability Act (HIPAA)
Privacy Rule (26.11.2012, www.hhs.gov)
9