Исенов Сергей Константинович, главный врач ГБУЗ АО «Областной клинический стоматологический центр», Россия, 41400, г. Астрахань, ул. Кирова, д. 38, тел. (8512) 39-10-63, e-mail: [email protected].
Сердюков Анатолий Гаврилович, доктор медицинских наук, профессор, заведующий кафедрой общественного здоровья, экономики и управления здравоохранением ГБОУ ВПО «Астраханская государственная медицинская академия» Минздравсоцразвития России, Россия, 414000, г. Астрахань, ул. Бакинская, д. 121, тел. (8512) 52-51-46, e-mail: [email protected].
Юрьев Вадим Кузьмич, доктор медицинских наук, профессор, заслуженный деятель науки РФ, заведующий кафедрой общественного здоровья и здравоохранения ГБОУ ВПО «Санкт-Петербургская государственная педиатрическая медицинская академия» Минздравсоцразвития России, 194100, г. Санкт-Петербург, ул. Литовская, д. 2, тел. (812) 295-17-42, e-mail: [email protected].
УДК 004.056 © И.Ю. Кучин, 2011
И.Ю. Кучин
АНАЛИЗ И КЛАССИФИКАЦИЯ ПРОБЛЕМ ОБРАБОТКИ ПЕРСОНИФИЦИРОВАННОЙ ИНФОРМАЦИИ В МЕДИЦИНСКИХ УЧРЕЖДЕНИЯХ
ФГБОУ ВПО «Астраханский государственный технический университет»
Рассмотрены специфические проблемы, связанные с реализацией Федерального Закона № 152 «О персональных данных» в медицинских учреждениях, вместе с обзором национального законодательства в области обработки медицинской информации.
Ключевые слова: персональные данные в медицине, ФЗ № 152 «О персональных данных», проблема анонимного лечения, защита медицинской информации, обезличивание данных.
I.Yu. Kuchin
THE ANALYSIS AND CLASSIFICATION OF PROCESSING PROBLEMS OF PERSONALIZING INFORMATION IN THE MEDICAL ESTABLISHMENTS
The article deals with specific problems of Federal Law № 152 “About personal data”, its realization in health facilities together with review of national legislation in the sphere of medical information processing.
Key words: personal data in medicine, Federal Law № 152 “About personal data ”, problem of anonymous treatment, protecting of health information, depersonalization of data.
Введение. В июле 2006 г. был принят Федеральный Закон (далее - ФЗ) № 152 «О персональных данных» [9], установивший требования к обработке персональных данных в нашей стране. Все учреждения, в которых обрабатывается информация, так или иначе характеризующая личность (паспортные данные, сведения об образовании, здоровье, контактные данные и т.д.), в терминах ФЗ № 152 [9] стали называться «операторами персональных данных», по понятным причинам уч-реждЗения медицины также вошли в эту категорию. Помимо «типовых» проблем, возникающих у всех операторов, в конкретных областях обработки персональных данных появляются и специфические, вызванные множеством факторов. В сфере медицинских услуг рассматриваемый закон не просто установил трудновыполнимые требования, а поднял на поверхность давно назревавшие вопросы, не имевшие должного разрешения.
Проблема анонимного получения медицинских услуг. Д. Брин (автор статьи «Прозрачное общество» [13]) считает, что лучший способ решить неподъемную проблему медицинской приватности - просто уничтожить ее: раскрыть файлы и банки данных, сделав медицинские карты свободно доступными для всех. Сторонников такой идеи обращения с медицинской информацией гораздо меньше, чем противников. «Люди заслуживают того, чтобы контролировать свои медицинские вопросы и приватность своих медицинских карт» - так считает большинство.
Получение медицинских услуг анонимно является наилучшей гарантией сохранения конфиденциальности чувствительной информации, а потому объяснимым желанием многих пациентов. В ст. 41 Конституции РФ [5] закреплено право каждого на охрану здоровья и медицинскую помощь. В недавно принятом и широко обсуждаемом федеральном законе «Об основах охраны здоровья гра-
ждан в РФ» [11] основополагающее право на медицинскую помощь вновь связано с любым лицом, хотя в «Основах законодательства об охране здоровья граждан» [7] от 22.07.1993 г. аналогичное право имели только граждане РФ. В данном случае «гражданин» отличается от «любого лица» тем, что он прошел процедуру подтверждения своей личности.
Такое внимание к деталям не является случайным. Человек, являясь частью общества, не может жить от него изолированно и быть единоличным владельцем всех своих персональных данных. Получение закрепленного законодательством права на бесплатную медицинскую помощь в системе обязательного медицинского страхования (ОМС) предполагает вступление в контакт с лечебным учреждением в качестве гражданина и идентификацию собственной личности. В ст. 16 ФЗ № 326 «Об обязательном медицинском страховании» [10] закреплена обязанность гражданина «предъявлять полис ОМС при обращении за медицинской помощью, за исключением случаев оказания экстренной помощи». Формы медицинских карт (амбулаторного и стационарного лечения), разработанные еще во времена СССР, также содержат идентифицирующие личность сведения. Таким образом, возможность получения бесплатной медицинской помощи анонимно законодательно не предусматривается, за исключением лечения в наркологических учреждениях. Подобное ограничение прав граждан может быть оправдано, в том числе, необходимостью в отчетности бюджетных организаций за расходованием их средств. В ФЗ № 326 [10] даже введен термин «персонифицированный учет граждан в сфере ОМС».
В платной медицине все происходит иначе: человек хочет получить услуги в частной медицинской клинике, причем естественно его желание сделать это анонимно. Более того, именно возможность получения анонимного лечения для многих является одним из основных факторов, делающих частную медицину более привлекательной. В условиях фактического отсутствия законодательного регулирования процесса получения платных медицинских услуг вопросы идентификации и персонифицированного учета в этой сфере также не регламентированы. В частных медицинских учреждениях даже одного профиля подход к этой проблеме может кардинально отличаться:
• в одних клиниках не требуют предъявления никаких идентифицирующих личность документов, лечение производится полностью анонимно;
• в других персональные данные (фамилия, имя, отчество, дата рождения, место проживания и т.д.) записываются при регистрации со слов пациента, без сверки с документами;
• многие клиники требуют предоставления полных паспортных данных с обязательным предъявлением оригинала документа, удостоверяющего личность.
В Конституции РФ [5] и ФЗ «Об основах охраны здоровья граждан в РФ» [10] четко прописано право каждого (не обязательно гражданина) на получение медицинской помощи в нашей стране. Так почему даже в частных клиниках, полностью оплатив лечение, мы не можем получить его анонимно, и чем вызвано желание этих клиник собирать идентифицирующие данные? Все дело в том, что платная медицинская помощь - достаточно новое для нашей страны явление, а законодательство РФ, система налогообложения физических и юридических лиц постоянно меняются, нередко возникают противоречия между формальными требованиями к финансовой отчетности и базовыми конституционными принципами [12]. Аналогичным образом сотрудники бухгалтерии «на всякий случай» иногда хранят копии паспортов или вахтеры записывают полные паспортные данные посетителя в журнал «на случай проверки». Но если в двух последних примерах прослеживается явное противоречие ФЗ № 152 [9], то в случае с идентификацией личности при его обращении в частную клинику не все так однозначно.
Подобная ситуация лаконично описывается в правовой системе «Гарант»: «Действующее российское законодательство не предусматривает обязанность по соблюдению письменной формы для договора возмездного оказания платных медицинских услуг. Однако по общим правилам соблюдение письменной формы необходимо, в случае если исполнение соответствующих услуг носит пролонгированный по времени характер. Заключение договоров возмездного оказания медицинских услуг с физическими лицами в устной форме возможно только в случаях оказания услуг непосредственно при заключении договора. При этом письменная форма договора возмездного оказания медицинских услуг сделки считается соблюденной как в случае составления и подписания сторонами соответствующего документа (договора), так и в случае совершения клиентом действий (например, оплата услуг) по выполнению условий публичной оферты, определенных и зафиксированных медицинской организацией в виде общедоступной информации» [4].
Следовательно, каждое частное медицинское учреждение вправе само решать, в каком режиме работать со своими клиентами. Важно, чтобы в договоре с пациентом были максимально прозрачно прописаны следующие разделы:
• возможность или невозможность получения медицинских услуг анонимно; перечень персональных данных, которые пациент должен предоставить при заключении договора;
• описание процесса идентификации личности в клинике при повторных приемах.
Не рационально, конечно, требовать от пациента приносить с собой паспорт на каждый прием, если врач визуально его узнает. С другой стороны, пациент может обратиться к другому специалисту клиники впервые или между последними приемами у одного и того же специалиста пройдет много времени. Для соблюдения баланса между безопасностью и удобством, а также во избежание конфликтных ситуаций все подобные нюансы должны быть отражены в договоре, либо в отдельном нормативном документе медицинского учреждения.
Проблема отсутствия четко прописанного регламента идентификации актуальна и для государственных учреждений. Так, согласно ФЗ № 326 [10], при приеме в поликлинику достаточно предъявить полис обязательного медицинского страхования. В регистратуре поликлиник можно увидеть предупреждение о том, что пациентам необходимо иметь при себе паспорт, страховой медицинский полис и свидетельство пенсионного страхования. При непосредственном обращении к сотруднику регистратуры, например, для получения выписки из амбулаторной карты, могут попросить предъявить указанные документы в любых сочетаниях, руководствуясь, видимо, какими-то внутренними предпочтениями.
Проблема обезличивания информации в медицине. Идентифицирующие личность сведения собираются в частных клиниках только для заключения договора на медицинские услуги, в государственных лечебных учреждениях - для осуществления персонифицированного учета. На проведение непосредственно самого процесса лечения ни в первом, ни во втором случаях эти данные никак не влияют. В этой связи весьма рациональным решением проблемы обеспечения безопасности медицинской информации может быть использование механизма обезличивания на определенном технологическом этапе ее обработки. В таком подходе нет ничего нового, например, в книге С. Гарфинкель приводит следующий пример: «Когда в 1993 году я начал встречаться с моей будущей женой, мы решили пройти обследование на СПИД в городском госпитале Бостона. Медсестра, которая брала у меня кровь на анализ, не знала, кто я, и не требовала от меня никакой идентификации. Она дала мне контрольный номер, чтобы я мог получить результаты». [1, с. 102]. В этом примере медицинская информация фигурирует в информационной системе в обезличенном виде совместно с идентификаторами. Возможность сопоставления медицинских данных с конкретной личностью есть только у ограниченного числа сотрудников. За счет такой организации работы можно значительно упростить процесс приведения информационных систем учреждения в соответствие требованиям безопасности и, как следствие, уменьшить расходы на эти мероприятия.
Департамент здравоохранения Краснодарского края в методических рекомендациях по защите персональных данных, предназначенных для руководителей служб здравоохранения, рекомендует использовать процедуру обезличивания следующим образом: «...если при обработке персональных данных фамилию, имя и отчество (ФИО) субъекта заменить некоторым идентификатором, можно добиться понижения класса информационной системы. Например, на сервере базы данных останутся данные первой категории, а на рабочих станциях будут обрабатываться данные в обезличенном виде, а значит, четвертой категории» [3, с. 51]. Кроме того, в книге приводится схема обезличивания, уточняющая предложенный технологический процесс (рис.).
Рис. Схема обезличивания персональных данных, предложенная департаментом здравоохранения Краснодарского края
К сожалению, деятели, предлагающие подобные схемы обезличивания, забывают упомянуть о сложностях, непременно возникающих в подобных случаях. Процедура обезличивания описывается в
упомянутых методических рекомендациях только тремя предложениями. Во-первых, представленной информации недостаточно для реализации схемы в медицинском учреждении лицом, не посвященным в проблему идентификации по персональным данным и особенностей законодательства в этой сфере. Во-вторых, схема, изображенная на рисунке, является, на наш взгляд, не совсем корректной.
Кроме ФИО пациентов, в базе данных присутствует множество других атрибутов, позволяющих в совокупности идентифицировать личность, например: «прописка, пол, место работы и должность, контактный телефон» и др. Если их сохранить в единой базе данных вместе с медицинской информацией, то последнюю нельзя считать обезличенной и принимать относительно нее «облегченные» требования безопасности.
Даже если безопасность схемы обезличивания тщательно продумана, возникают сложности с ее функциональностью. Например, в частной медицинской клинике принимается решение об обработке обезличенной информации в информационной системе, а каждому пациенту планируется выдавать идентификатор (числовой код, штрих-код, электронный браслет и т.д.). «Привязку» идентификатора к паспортным данным будут хранить в изолированной и защищенной информационной системе со строго регламентированным доступом. Сотрудники регистратуры за день до очередного приема в обязательном порядке созваниваются с каждым клиентом для напоминания о приеме или корректировки расписания специалиста, значит, в обезличенной базе данных, помимо идентификатора, должны содержаться имя и отчество пациента, чтобы можно было к нему корректно обратиться. Согласно анализу имеющейся базы паспортных данных жителей Астраханской области (актуальность базы данных: 2006 г., число записей: 732 453), уникальное сочетание имени и отчества в нашей области имеют 138 008 человек (19 % записей). Таким образом, модернизация технологического процесса обработки информации в лечебном учреждении, безукоризненно выглядящая «на бумаге», требует корректировки с учетом реальных потребностей на конкретном объекте ее реализации.
Проблема использования электронной истории болезни. Соблюдение врачебной тайны считается основополагающим принципом медицинской деонтологии. Доверительные отношения между врачом и пациентом - естественная необходимость при оказании медицинской помощи. Еще в Древней Индии существовала пословица: «Можно страшиться брата, матери, друга, но врача - никогда». Получая медицинские услуги, мы готовы полностью доверить самую важную информацию - информацию о своем здоровье - лечащему врачу. В то же время с этой информацией зачастую получают возможность ознакомиться и другие сотрудники учреждения. Ранее конфиденциальную информацию можно было получить только у лечащего врача, либо имея непосредственный доступ к истории болезни, сегодня применение информационных технологий открывает новые возможности для злоумышленников.
Единых критериев к информационным системам, применяемым в сфере медицины, нет. Приказ Федеральной службы технического и экспертного контроля (ФСТЭК) России № 58 [8] утверждает Положение, содержащее требования к информационным системам, обрабатывающим персональные данные. Эти требования являются настолько «жесткими», что фактически лишь единицы из ныне эксплуатируемых систем могут им потенциально соответствовать в полном объеме.
Используемые в большинстве медицинских программ системы управления базами данных (FireBird, MySQL и т.д.) отсутствуют в перечне сертифицированных средств защиты ФСТЭК России. Если при обработке менее критичных сведений специалисты по защите информации могут «перекрыть» эти требования, применяя дополнительные средства защиты, то в ситуации с медицинской информацией альтернативы нет.
ГОСТ Р.52636-2006 «Электронная история болезни. Общие положения» [2], носящий рекомендательный характер, определяет гораздо более четкие и обоснованные условия проектирования и эксплуатации медицинских информационных системам, однако даже их соблюдение может оказаться непосильной задачей для большинства учреждений отрасли, испытывающих известные сложности с финансированием и информатизацией в целом. Дело в том, что в обсуждаемом стандарте содержится требование по использованию электронной цифровой подписи (ЭЦП) для подтверждения авторства, а это означает необходимость:
• дополнительных расходов (закупка средств ЭЦП, обучение персонала);
• существенного изменения информационной системы (чаще всего замена существующей);
• соответствия требованиям нормативных документов ФСБ в области криптографии, что означает необходимость привлечения лицензиатов для осуществления работ по установке и настройке средств криптографической защиты информации и подготовке помещений.
В рассматриваемом стандарте, утвержденном несколько лет назад, говорилось о необходимости разработки нормативных документов, регламентирующих использование электронных историй болезни. До сих пор в этом направлении ничего не сделано. Вместо этого Министерство здравоохранения и социального развития РФ в 2009 г. выпустило «Методические рекомендации» [6] для решения узких вопросов защиты тех систем, которые формально вообще не могут использоваться по названным выше причинам.
Заключение. Все три рассмотренных проблемы, актуальных в сфере медицины, взаимосвязаны. Нерешенность каждой из них, помноженная на отсутствие необходимого законодательного регулирования приводит к тому, что в наиболее критичной с точки зрения утечек сфере обработки информации, очень сложно организовать работу таким образом, чтобы соблюдались требования безопасности при адекватном уровне функциональности. В связи с этим, ФЗ № 152 «О персональных данных» [9] может стать катализатором давно ожидаемых изменений в этой сфере.
Список литературы
1. Гарфинкель, С. Все под контролем : кто и как следит за тобой / С. Гарфинкель. - Екатеринбург : У-Фактория, 2004. - 228 с.
2. ГОСТ Р.52636-2006 «Электронная история болезни. Общие положения». Дата издания 15.03.2007. - Режим доступа: http://www.gostedu.ru/385.html, свободный. - Заглавие с экрана. - Яз. рус. - Дата обращения: 24.11.2011).
3. Дементеева, А. А. Защита персональных данных: метод. рек. для руководителей служб здравоохранения Краснодарского края / А. А. Дементеева, Е. В. Дерябин; под ред. Л. Н. Шмыгленко, В. Н. Зиманина. - Краснодар : ГУЗ МИАЦ, 2010. - 88 с.
4. Информационно-правовой портал «Гарант». Ответ эксперта. - Режим доступа:
http://www.garant.ru/consult/civil_law/9180/, свободный. - Заглавие с экрана. - Яз. рус. - Дата обращения: 23.11.2011.
5. Конституция Российской Федерации. - М. : Проспект, 2000. - 48 с.
6. Минздравсоцразвития России: метод. рек. для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости (утв. 23.12.2009). - Режим доступа: http://www.minzdravsoc.ru/docs/mzsr/informatics/5, свободный. -Заглавие с экрана. - Яз. рус. - Дата обращения: 10.11.2011.
7. Основы законодательства Российской Федерации об охране здоровья граждан (утв. ВС РФ 22.07.1993 г. № 5487-1) // Ведомости СНД и ВС РФ. - 19.08.1993. - № 33. - Ст. 1318.
8. Приказ ФСТЭК России от 5.02.2010 № 58. Зарегистрирован в Минюсте России 19.02.2010 № 16456. - Режим доступа: http://www.fstec.ru/_docs/doc_781.htm, свободный. - Заглавие с экрана. -Яз. рус. - Дата обращения: 24.11.2011.
9. Федеральный закон РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных». - Режим доступа: http://www.rg.ru/2006/07/29/personaljnye-dannye-dok.html, свободный. - Заглавие с экрана. -Яз. рус. - Дата обращения: 25.11.2011.
10. Федеральный закон РФ от 29.11.2010. № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации». - Режим доступа: http://www.rg.ru/2010/12/03/oms-dok.html, свободный. - Заглавие с экрана. - Яз. рус. - Дата обращения: 25.11.2011.
11. Федеральный закон РФ от 21.11.2011. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации». - Режим доступа: http://www.minzdravsoc.ru/docs/laws/104, свободный. - Заглавие с экрана. - Яз. рус. - Дата обращения: 25.11.2011.
12. Центр практической психологии «София». Контракт со специалистом. Анонимность и конфиденциальность. - Режим доступа: http://www.litiana.ru/chitalnyj_zal/1_psihologiya_mify_i_ realnost/anonimnost, свободный. - Заглавие с экрана. - Яз. рус. - Дата обращения: 25.11.2011.
13. Brin, D. The Transparent Society [Тех^ / D. Brin // Wired. - 1996. - № 2. - Р. 12.
Кучин Иван Юрьевич, аспирант/ассистент кафедры информационной безопасности ФГБОУ ВПО «Астраханский государственный технический университет», 414025, г.Астрахань, ул. Татищева, д. 16, тел. (8512) 61-43-00; email: [email protected].