Защита персональных данных Проблемы защиты персональных данных в здравоохранении проф., д.т.н. Столбов А.П., МИАЦ РАМН Москва, 4 марта 2010 г. 2.3.0 Основы законодательства Российской Федерации об охране здоровья граждан ст.ст. 30, 31 права пациента, право на информацию о состянии здоровья ст.ст. 32, 33, 34 согласие на мед.помощь, отказ, оказание помощи без согласия ст. 61 врачебная тайна, согласие пациента на передачу сведений кому-либо !!! О медицинском страховании граждан в Российской Федерациии О психиатрической помощи и гарантиях прав граждан при ее оказании О донорстве крови и ее компонентов В ЕС использование ИКТ в здравоохранении и вопросы О трансплантации органов и тканей человека медицинских Об основах обязательного социального страхования безопасности данных регулируются специальными законами ! О государственной социальной помощи О санитарно-эпидемиологическом благополучии населения Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования Права и обязанности пациента и оператора Рекомендации Госдумы от 20.10.2009 г. !!! согласие на медпомощь = согласие на обработку ПД !? (ст. 6) Нужен ПЛАН подготовки и информирование пациента об обработке его ПД (ст.14) внесения уведомление пациента о получении ПД от третьих лиц (ст.18) изменений !!! уничтожение ПД по требованию пациента \ сроки хранения МД (ст. 21) уведомление об утечке + усиление ответственности (ст. 21) 2 Отраслевые требования и методические рекомендации завышение, неадекватность требований (почти "гостайна") принцип разумной достаточности и необходимости отказ от лицензирования ФСТЭК и аттестации ИС ПДн дефицит (финансы, кадры, время, лицензиаты, документы ...) бюджет + рынок -> нормативы + тарифное регулирование специализация центров компетенции \ целевое дотирование критерии (этика) консалтинга и экспертизы аутсорсинг, аутстаффинг, аренда защищищенных ИС (ОИ) типовые решения \ пакет типовых ОРД \ комплект СЗИ-ЭЦП-ЭДО координация и кооперация : ОУЗ + ТФОМС + РЗН + ... классификация операторов \ аутсорсеры \ реестр операторов !! место хранения согласия для операторов "вторичных" данных* смешанная обработка \ права доступа \ равнопрочность распределенные федеративные системы \ особенности ОРД !? пересмотр форм документов (постановление № 687 от 15.09.2008 г.) обезличивание + псевдонимизация (ISO/TS 25237) !! (анонимность) внедрение социальной карты \ профкарта \ портал госуслуг 3 Модель угроз типовой медицинской информационной системы типового лечебно-профилактического учреждения (согласована с ФСТЭК, письмо от 27.11.09 г. № 240/2/4009) -> К3 Методические рекомендации по организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости (23.12.09 г., согласованы с ФСТЭК) Методические рекомендации по составлению частной модели угроз угроз безопасности персональных данных при их обработке в информационных системах персональных данных учреждений и организаций здравоохранения, социальной сферы, труда и занятости (23.12.09 г.) www.minzdravsoc.ru/docs/mzsr/informatics/ - 26.12.2009 г. Об организации работ по технической защите информации (письмо Федерального фонда ОМС от 22.04.2008 г. № 2170/90-и) Call-центр 8-800-100-3984 (круглосуточно, бесплатно, до июля 2010) !!! Реализация в МИС функций (печать и учет согласия пациента, блокирование и удаление ПДн, печать списка \ журнала доступа и т.д.) и требований по защите ПДн !? 4 Менеджер здравоохранения, 2008 № 4, № 10, № 11, 2010 № 2 Врач и информационные технологии, 2009 № 4, 2010 № 1 - www.idmz.ru PC Week Doctor, 2009 № 4 + PC Week\RE, 2009 № 38 - ww.pcweek.ru Медицинский вестник, 2009, № 32 - www.medvestnik.ru Столбов А.П., Кузнецов П.П. Автоматизированная обработка и защита персональных данных в медицинских учреждениях. - М., 2010 MedSoft - 2010, 14-16 апреля 2010, www.armit.ru - www.idmz.ru СПАСИБО ! Столбов Андрей Павлович stolbov@mcramn.ru ap100lbov@mail.ru www.mcramn.ru 5