А.П. Столбов,
д.т.н., заместитель директора Медицинского информационно-аналитического центра РАМН, профессор кафедры организации здравоохранения, медицинской статистики и информатики факультета управления и экономики здравоохранения Первого московского государственного медицинского университета им. И.М. Сеченова, г. Москва
ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
В ЗДРАВООХРАНЕНИИ:
НОВЫЕ ТРЕБОВАНИЯ И ПРОБЛЕМЫ
УДК 614.2
Столбов А.П. Обработка персональных данных в здравоохранении: новые требования и проблемы
(Медицинский информационно-аналитический центр РАМН; Первый московский государственный медицинский университет им. И.М. Сеченова)
Аннотация: Рассмотрены новые требования к организации обработки и защиты персональных данных медицинских работников и пациентов в связи с принятием закона об обязательном медицинском страховании в Российской Федерации. Перечислены некоторые проблемы, обусловленные отсутствием необходимых нормативных и методических документов и официальных разъяснений со стороны регуляторов в области защиты прав субъектов персональных данных и информационной безопасности.
Ключевые слова: защита персональных данных, здравоохранение.
Сегодня компьютеры и Интернет все шире используются в здравоохранении. Руководством страны поставлена задача: в течение одного—двух лет подключить к Интернету все государственные и муниципальные медицинские учреждения и обеспечить гражданам возможность получения с помощью ИКТ информации о расписании работы поликлиник, записи на прием к врачу и других государственных услуг. В программах модернизации здравоохранения на 2011-2012 годы на внедрение современных информационных и коммуникационных технологий (ИКТ) предусмотрено выделение более 20 млрд. рублей. Уже сейчас во многих регионах России реализуются проекты по ведению в поликлиниках и больницах электронных медицинских карт пациентов, предоставлению услуг «электронной регистратуры», созданию территориальных медицинских регистров и информационных систем (ИС) в здравоохранении. Однако эта качественно новая технологическая среда информационного взаимодействия создает также и множество новых проблем, связанных с обеспечением конфиденциальности медицинской информации и сохранением врачебной тайны при использовании ИКТ. Заметим, что здравоохранение — это та область деятельности, где вопросам сохранения врачебной тайны, конфиденциальности персональных данных (ПДн) всегда уделялось особое внимание и которые традиционно решались на основе клятвы врача, часто именуемой клятвой Гиппократа, что нашло свое отражение и в нашем законодательстве. В частности, гарантии конфиденциальности и необходимость письменного согласия пациента на передачу сведений, составляющих врачебную тайну, другим гражданам, в том числе должностным лицам, в интересах
© А.П. Столбов, 2011 г.
Менеджер №7
\ здравоохранения 3011
его обследования и лечения, за исключением специально оговоренных случаев (при невозможности пациента выразить свою волю, угрозе жизни и здоровью третьих лиц, для информирования родителей детей или их законных представителей, в интересах суда, органов дознания и следствия, для уведомления правоохранительных органов в случаях, когда вред здоровью причинен в результате противоправных действий, по требованию военно-врачебной комиссии), закреплены в статьях 31 и 61 «Основ законодательства Российской Федерации об охране здоровья граждан» №5487-1 от 22 июля 1993 года (далее — Основы), что в целом совпадает с нормами, приведенными в части 2 статьи 6 Федерального закона «О персональных данных» № 152-ФЗ, принятого 27 июля 2006 г. (далее — Закон; напомним, что Законом № 359-Ф3 от 29 декабря 2010 г. установлен очередной, новый срок приведения всех информационных систем в соответствие с требованиями закона «О персональных данных» — теперь до 1 июля 2011 года).
Реализация положений закона «О персональных данных» потребовала по-новому взглянуть на проблемы обеспечения конфиденциальности информации и сохранения служебной тайны в процессе профессиональной деятельности медицинских работников. Закон конкретизировал как права граждан — субъектов персональных данных, так и обязанности организаций — операторов, осуществляющих обработку их персональных данных.
Новые требования к автоматизированной обработке и обеспечению конфиденциальности ПДн, помимо обязательного применения специальных программных и технических средств защиты информации, предопределяют также необходимость внесения соответствующих изменений в организацию рабочих процессов, уточнения должностных инструкций и регламентов взаимодействия между подразделениями медицинского учреждения, а также изменения содержания и требований
к профессиональной подготовке персонала. При создании в учреждении комплексной системы защиты и безопасности информации необходимо подготовить и издать целый ряд организационно-распорядительных документов: приказов, положений, инструкций, журналов, ведомостей и проч., всего около сорока документов, которые ранее не были обязательными и не требовались [1], для чего нужны и специальные знания, и ресурсы, и время. Напомним, что в соответствии с российским законодательством ответственность за организацию защиты конфиденциальной информации от несанкционированного доступа и неукоснительное выполнение требований по обработке персональных данных несет руководитель учреждения (организации).
Во исполнение и для реализации требований закона «О персональных данных» Правительством РФ, Министерством связи и массовых коммуникаций РФ, ФСТЭК, ФСБ и Роскомнадзором (уполномоченным органом по защите прав субъектов персональных данных) был издан целый ряд нормативных и методических документов (см. ВРЕЗКУ 1). Организован официальный Интернет-портал Роскомнадзора по вопросам защиты персональных данных www.pd.rsoc.ru. Министерство здравоохранения и социального развития РФ также подготовило пакет методических документов, которые в конце декабря 2009 года были опубликованы на его сайте (см. ВРЕЗКУ-2).
Напомним, что учреждение здравоохранения, медицинская организация, фонд ОМС, страховая медицинская организация как операторы персональных данных должны:
1) провести обследование своей ИС, выделить в ее составе (под)системы обработки персональных данных (ИС ПДн), провести их классификацию и оформить соответствующий акт; подчеркнем, что все ИС ПДн, в которых обрабатываются данные о состоянии здоровья, являются специальными системами и относятся к классу К1 (см. При-
№7
2011
Менеджер
каз ФСТЭК, ФСБ и Минкомсвязи России №55/85/20 от 13.02.2008);
2) зарегистрироваться в качестве оператора ПДн — направить уведомление в территориальный орган Роскомнадзора (ст. 22 Закона) (см. Приказ Минкомсвязи России № 18 от 30.01.2010, Приказ Роскомнадзора № 482 от 16.07.2010);
3) организовать получение, учет и хранение письменного согласия пациентов (субъектов ПДн) на обработку, в том числе передачу их персональных данных (ст. 6, 9 и 10 Закона); напомним, что необходимость согласия пациента на передачу кому-либо сведений о нем, содержащих врачебную тайну, предусмотрена также ст. 61 Основ (о необходимости получения письменного согласия см. далее);
4) организовать информирование пациентов по их запросам о целях, способах и сроках обработки и хранения их ПДн, лицах, имеющих к ним доступ (часть 4 ст. 14 Закона), а также об обработке их ПДн, полученных от третьих лиц (ст. 18 Закона); заметим, что пациент имеет право ознакомиться с его персональными данными (статьи 14, 20) и запретить оператору обрабатывать их в случае обнаружения их недостоверности или неправомерных действий с ними (ст. 21);
5) создать и поддерживать систему обеспечения безопасности информации в соответствии с установленным классом ИС ПДн, с использованием специальных средств защиты информации (СЗИ), сертифицированных в установленном порядке;
6) провести анализ и оценку соответствия ИС требованиям по защите информации, установленным для ИС ПДн данного класса, с оформлением подтверждающего документа — аттестата (сертификата) соответствия (см. ВРЕЗКУ2; письмо управления ФСТЭК по Центральному федеральному округу в адрес Ярославского МИАЦ от 24.06.2010 № 957);
7) получить лицензию ФСТЭК на техническую защиту информации; это требование установлено (см. ВРЕЗКУ2; письмо ФСТЭК в
адрес Минздравсоцразвития России от 18.06.2010 №240/2/2520).
Должно быть организовано обучение персонала и предусмотрено выделение необходимых финансовых и материальных средств на создание, ввод в действие и эксплуатацию системы защиты информации в учреждении.
Сразу же заметим, что получение лицензий ФСТЭК на техническую защиту информации и проведение аттестации на соответствие требованиям безопасности для большинства учреждений здравоохранения является трудноразрешимой проблемой. По разным оценкам, число организаций-операторов, которые должны до 1 июля 2011 года пройти эти процедуры, составляет от 3 до 5 миллионов (число операторов в системе здравоохранения — около 30-50 тысяч). В стране просто нет такого количества организаций-лицензиатов ФСТЭК, которые смогут провести аттестацию, а органы ФСТЭК не смогут выдать столько лицензий за это время, не говоря уже о том, что у нас нет такого количества «сертифицированных» специалистов для всех операторов, без которых нельзя получить лицензию (учебная программа — не менее 72 часов). Объем финансовых затрат, необходимых для выполнения всех требований, — это особая тема (в 2009 году банковским сообществом было заявлено, что для этого потребуется около 6% ВВП).
Что касается перечня основных организационных мероприятий и состава специальных технических и программных средств защиты конфиденциальной информации в учреждениях здравоохранения, то они достаточно хорошо известны и практически ничем не отличаются от тех, которые применяются в организациях в других сферах деятельности. Поэтому представляется целесообразным более подробно рассмотреть некоторые особенности и проблемы, специфические именно для здравоохранения.
Однако начнем с того, что в 2010 году были приняты два федеральных закона, в которых имеются нормы, касающиеся обра-
енеджер №7
здравоохранения 3011
ботки и защиты персональных данных при использовании ИКТ. Это, во-первых, Закон «Об организации предоставления государственных и муниципальных услуг» №210-ФЗ от 27 июля 2010 г., в котором определены основные принципы использования ИКТ при взаимодействии граждан с органами власти всех уровней, с государственными и муниципальными учреждениями, а также применения универсальной электронной карты гражданина (УЭК), в том числе в здравоохранении и системе ОМС1. И во-вторых, это Федеральный закон «Об обязательном медицинской страховании в Российской Федерации» № З26-ФЗ от 29 ноября 2010 г., в котором сказано, что персонифицированный учет в системе ОМС осуществляется в электронном виде, определен состав персональных данных, которые обрабатываются с использованием ИКТ при оказании медицинской помощи по программе ОМС и приведен перечень субъектов информационного обмена: медицинских организаций, страховых компаний, Федерального и территориальных фондов ОМС и органов исполнительной власти субъектов РФ. Медицинским учреждениям, фондам ОМС и страховым медицинским организациям, участвующим в оказании населению бесплатной медицинской помощи по программе ОМС, теперь нет необходимости оформлять специальное письменное согласие гражданина на обработку и передачу его ПДн и уведомлять его об их получении от третьих лиц, поскольку это осуществляется в соответствии с федеральным законом, что предусмотрено пунктом1 части 2 статьи 6 закона «О персональных данных».
28 февраля 2011 года на сайте Минздрав-соцразвития России был опубликован проект закона «Об основах охраны здоровья граждан в Российской Федерации», в котором
1 Распоряжением Правительства РФ от 17.03.2011 № 442-р утвержден перечень документов, обмен которыми с 1 июля 2011 г. при оказании государственных услуг должен осуществляться в электронном виде. Органы управления здравоохранением и медицинские учреждения должны будут по запросу соответствующих органов передавать электронные документы о гражданах, указанные в этом перечне, по защищенным каналам связи, используя средства электронной цифровой подписи.
также предусмотрено ведение медицинских документов и персонифицированных баз данных, содержащих сведения о состоянии здоровья, а также обмен этой информацией в электронном виде. Кроме того, в проект закона введены важные, с точки зрения организации обработки ПДн, требования о том, что согласие пациента не требуется: а) в медицинских организациях при оказании ему медицинской помощи, б) при обработке в медицинских информационных системах (но определения, что такое МИС не дано), в) при осуществлении государственного контроля качества медицинских услуг. Таким образом, перечень случаев, когда письменное согласие гражданина (пациента) на обработку его персональных данных не требуется, значительно расширен.
Однако следует отметить, что если в медицинскую карту вносятся персональные данные родственников, то для этого необходимо их письменное согласие (если, конечно, это не данные родителей или законных представителей детей в возрасте до 15 лет, а также лиц признанных недееспособными). В случае смерти пациента письменное согласие на обработку его ПДн дают наследники, если такое согласие не было дано пациентом при его жизни (часть 7 статьи 9 Закона). В обязательном порядке оформляется письменное согласие на трансграничную передачу персонифицированных данных пациента.
Законом об ОМС предусмотрена публикация «профессиональных» персональных данных о медицинских работниках, их образовании и квалификации, в том числе на сайтах в Интернете («общедоступные персональные данные», см. статьи 3 и 7 закона № 152-ФЗ). Это необходимо для реализации права гражданина на выбор медицинской организации и выбор врача, а также, напри-
Л/°7 Менеджер
3011 здравоохранения /
мер, при записи на прием через «удаленную регистратру». Пока остается не совсем ясным вопрос о возможности публикации вместе с указанными персональными, точнее, персонифицированными данными о медработниках сведений об ошибках и дефектах, допущенных ими при оказании медицинской помощи. В статье 38 Закона № 326-Ф3 об ОМС сказано, что страховая медицинская организация (СМО) обязана уведомлять застрахованного гражданина о качестве и условиях предоставления ему медицинской помощи, а также о выявленных нарушениях при оказании ему медицинской помощи (по закону территориальные фонды и СМО осуществляют экспертизу качества медпомощи; в соответствии с порядком проведения контроля и экспертизы качества медицинской помощи, утвержденным Приказом Федерального фонда ОМС №230 от 01.12.2010, в акте экспертизы и реестре дефектов указываются Ф.И.О. лечащего врача). В этой же статье СМО предписано публиковать на официальном сайте в Интернете информацию о качестве медпомощи. В проекте федерального закона «Об основах охраны здоровья...» аналогичные требования о публикации в Интернете сведений о качестве оказываемой медицинской помощи предъявляются и к медицинским организациям. Отметим, что, например, в США персональная статистика врача о выявленных ошибках, летальности (в частности, для кардиохирургов) и прочие «профессиональные» персональные данные публикуются в специальных общедоступных изданиях и в Интернете.
Одной из наиболее перспективных моделей ИТ-обеспечения учреждений здравоохранения являются так называемые «облачные» технологии, когда доступ пользователей к необходимым информационно-вычислительным ресурсам и обработка данных реализуются в виде Интернет-сервисов, в том числе при необходимости по защищенным каналам связи с соблюдением требований по обеспечению конфиденциальности информации [2].
В концепции создания единой информационной системы отрасли (ЕИС) и программах модернизации здравоохранения на 2011-2012 годы «облачная» модель принята в качестве основной для дальнейшего развития ЕИС. В организационно-правовом аспекте обработка информации в «облаке», в том числе ПДн, осуществляется в режиме аутсорсинга, что допускается законом «О персональных данных» (часть 4 статьи 6 Закона). Однако надо отметить, что в целом нормативно-методические вопросы аутсорсинга обработки ПДн сегодня практически не проработаны, несмотря на общую тенденцию расширения такой формы деятельности и «облачных» технологий в различных областях, в том числе в здравоохранении. Формально, исходя из определения в ст. 3 Закона, аут-сорсер — уполномоченная оператором организация, выполняющая автоматизированную обработку данных в его интересах, не является оператором ПДн, поскольку не он (аут-сорсер) определяет цели и содержание их обработки. Однако последний, по всей видимости, также должен зарегистрироваться в качестве оператора, указав в уведомлении реквизиты всех операторов-заказчиков, для которых он обрабатывает ПДн. Что касается оператора-заказчика, то явных требований указывать в уведомлении, что обработка персональных данных осуществляется внешней организацией-аутсорсером, также нет. Видимо, в уведомлении при регистрации оператора ко всему прочему надо указать еще и реквизиты организации-аутсорсера. Совсем ничего не указывать об этом при регистрации в качестве оператора персональных данных в Роскомнадзоре, наверное, будет не совсем правильно, поскольку это существенная информация, необходимая для выполнения уполномоченным органом по защите прав субъектов ПДн возложенных на него функций. Кроме того, субъект персональных данных (пациент) также имеет право знать об аутсорсере и о том, кто имеет доступ к его ПДн (ст. 14 Закона). Сегодня не совсем
енеджер №7
здравоохранения 3011
понятно, достаточно ли указать только наименование должностных лиц (должностей) или необходимы также конкретные Ф.И.О. людей, имеющих доступ к персональным данным. Каких-либо официальных разъяснений по этому поводу, к сожалению, пока нет.
Безусловно, рассмотренные выше вопросы далеко не исчерпывают всего множества проблем и аспектов, связанных с организацией автоматизированной обработки и защиты персональных данных в здравоохранении. Например, не рассмотрены технологии псев-донимизации персонифицированных медицинских данных, которые сейчас начинают приме-
няться за рубежом и позволяют существенно сократить расходы на защиту информации [3, 4], особенности организации управления доступом в медицинских информационных системах [5, 6], вопросы, связанные с подключением к медицинским ИС несертифицирован-ных ФСТЭК компьютеризированных медицинских приборов, куда вводятся персональные данные пациента (например, компьютерный томограф) [7] и многие другие.
Автор будет признателен всем, кто пришлет свои замечания и предложения по рассмотренным вопросам по электронной почте на адрес [email protected].
1. Столбов А.П. Аннотированный перечень организационно-распорядительных документов по защите персональных данных в медицинском учреждении//Мене-джер здравоохранения. — 2010. — №2. — С. 39-52; Врач и информационные технологии. — 2010. — № 1. — С. 4-20.
2. Гусев А.В. Перспективы «облачных» вычислений и информатизация учреждений здравоохранения//Врач и информационные технологии. — 2011. — №2. — С. 6-17 (см. также на сайте www.kmis.ru).
3. ISO/TS 25237:2008 Health informatics. Pseudonymization.
4. Столбов А.П. Особенности автоматизированной обработки персональных данных о состоянии здоровья//Менеджер здравоохранения. — 2008. — № 11. — С. 39-50.
5. ГОСТ Р 52636-2006 Электронная история болезни. Общие положения.
6. ГОСТ Р ИСО/ТС 22600-1,2-2009 Информатизация здоровья. Управление полномочиями и контроль доступа. Часть 1. Общие сведения и управление политикой. Часть 2. Формальные модели.
7. Столбов А.П. Организация защиты информации о пациентах при ее компьютерной обработке в соответствии с требованиями Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ//Врач и информационные технологии. — 2010. — Ч. 1. — № 5. — С. 59-68; Ч. 2. — № 6. — С. 69-73.
UDC 614.2
Stolbov A.P. Processing of the personal data in public health services: new requirements and problems
(State First Moscow State Medical University after I.M. Sechenov, Moscow; Russia)
Abstract: New requirements to the organisation of processing and protection of the personal given medical staff and patients, due to by an adoption of law about obligatory medical insurance in the Russian Federation are considered. Some problems caused absence necessary standard and methodical documents and official explanations from outside of regulators in the field of protection of the rights of subjects personal data and information safety are listed.
Keywords: personal data protection, public health services.
№7
2011
Менедже]
ВРЕЗКА 1
Указы Президента РФ, нормативные и методические документы
Правительства РФ, Минкомсвязи России, Роскомнадзора, ФСТЭК и ФСБ России
• Перечень сведений конфиденциального характера (Указы Президента РФ от 06.03.1997 № 188, от 23.09.2005 № 1111).
• О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена (Указ Президента РФ от 17.03.2008 № 351).
• Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (утверждено Постановлением Правительства РФ от 17.11.2007 № 781).
• Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных (утверждены Постановлением Правительства РФ от 06.07.2008 № 512).
• Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утверждено Постановлением Правительства РФ от 15.09.2008 № 687).
• О лицензировании деятельности по технической защите информации (утверждено Постановлением Правительства РФ от 15.08.2006 № 504).
• Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами (утверждено Постановлением Правительства РФ от 29.12.2007 № 957).
• Порядок проведения классификации информационных систем персональных данных, Приказ ФСТЭК, ФСБ, Мининформсвязи России от 13.02.2008 № 55/86/20 («приказ трех»).
• Методика определения актуальных угроз безопасности персональным данным при их обработке в информационных системах персональных данных (ФСТЭК, 14.02.2008, гриф «ДСП» снят 16.11.2009).
• Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ФСТЭК, 15.02.2008, ДСП, «открытая» выписка на сайте www.fstec.ru).
• Положение о методах и способах защиты информации в информационных системах персональных данных (Приказ ФСТЭК от 05.02.2010 № 58, рег. № 16456 в Минюсте РФ от 19.02.2010).
• Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (ФСБ, 21.02.2008).
• Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (ФСБ, 21.02.2008).
• Об утверждении Административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по исполнению государственной функции «Ведение реестра операторов, осуществляющих обработку персональных данных», Приказ Минкомсвязи России от 30.01.2010 № 18.
Менеджер №7
\ здравоохранения 3011
• Об утверждении образца формы уведомления об обработке персональных данных, Приказ Роскомнадзора от 16.07.2010 № 482.
• Типовой регламент проведения в пределах полномочий мероприятий по контролю (надзору) за выполнением требований, установленных Правительством Российской Федерации, к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утвержден ФСБ 08.08.2009).
• Административный регламент проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных (утвержден Приказом Роскомнадзора от 01.12.2009 № 630).
ВРЕЗКА 2
Методические документы Минздравсоцразвития России и Федерального
фонда ОМС
• Методические рекомендации по организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости (23.12.2009, согласованы с ФСТЭК).
• Методические рекомендации по составлению частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных учреждений и организаций здравоохранения, социальной сферы, труда и занятости (23.12.2009, согласованы с ФСТЭК).
• Модель угроз типовой медицинской информационной системы типового лечебно-профилактического учреждения (согласована с ФСТЭК, Письмо от 27.11.09 № 240/2/4009).
• Письмо Минздравсоцразвития России № 328-29 от 05.03.2010.
Об организации работ по технической защите информации, Письмо Федерального фонда ОМС от 22.04.2008 № 2170/90-и.
• Письмо ФСТЭК в адрес Минздравсоцразвития России, № 240/2/2520 от 18.06.2010.
«...В соответствии с п. 1 ст. 49 части первой ГК РФ отдельными видами деятельности, перечень которых определяется законом, юридическое лицо может заниматься только на основании специального разрешения (лицензии). Пунктом 11 части 1 ст. 17 закона от 08.08.2001 № 128-ФЗ «О лицензировании отдельных видов деятельности» установлено, что деятельность по технической защите конфиденциальной информации является лицензируемым видом деятельности. Порядок получения лицензий определен Постановлением Правительства РФ от 15.08.2006 № 504».
• Письмо Управления ФСТЭК по Центральному федеральному округу в адрес Ярославского МИАЦ, № 957 от 24.06.2010.
«...Объекты, обрабатывающие государственные и муниципальные информационные ресурсы, подлежат учету и защите, в том числе и аттестации по требованиям безопасности информации [СТР-К, п. 3.19]. Порядок организации работ, требования и рекомендации по технической защите информации определены в нормативно-методическом документе «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К, утверждены Гостехкомиссией РФ, Приказ №282 от 30.08.2002)»
№7 Менеджер
2011 здравоохранения /