В Україні є кілька приватних медичних інформаційних систем, через які медзаклади передають медичні дані до центральної бази. Одна з таких приватних систем почала співпрацю з великим мобільним оператором. Чи не опиняться після цього дані українців під загрозою і як вони захищені?
Часто медичну інформаційну систему ототожнюють із всією електронною системою охорони здоров’я. Але це різні речі.
Медичні інформаційні системи (МІС) – це лише один із двох компонентів загальної електронної системи охорони здоров’я, яким користуються лікарні, працівники аптек та пацієнти. За допомогою МІС до центральної бази даних передається інформація.
Сама центральна база даних належить державі, яка і відповідає за безпеку даних. Саме в центральній базі даних, а не в МІС, зберігається низка державних реєстрів – реєстр пацієнтів, декларацій про вибір лікарів, медичних висновків, медичних записів, записів про направлення та рецепти та ін.
Відповідальність за захист персональних даних несе власник системи – Національна служба здоров’я України. А також ті, хто здійснює обробку персональних даних – медичні працівники.
Разом центральна база даних та МІС формують загальнонаціональну електронну систему охорони здоровʼя. У ній ведеться облік медичних даних про пацієнтів, які звертаються до лікарень за медичною допомогою.
Лікарі приймають пацієнтів, консультують, проводять процедури, діагностику, роблять призначення, вносять дані до системи. Пацієнти можуть отримувати послуги за направленнями і рецептами безоплатно, НСЗУ бачить, хто саме надає послуги, і оплачує їх конкретній лікарні. Але виникає питання: чи це безпечно?
Як захищені дані в системі
Електронна система – це не паперова картка, яка може загубитись або потрапити до рук сторонньої особи. Дані в системі доступні лише тим лікарям, яким пацієнт надає доступ, – вашому сімейному лікарю або лікуючому лікарю. Немедичні працівники, зокрема і чиновники, доступу до персональних медичних даних пацієнта не мають.
Уся робота електронної системи охорони здоровʼя регламентується українським законодавством і кращими практиками міжнародного законодавства, Законом України «Про захист персональних даних», який визначає, хто і яким чином може використовувати персональні дані українців.
Система розробляється з урахуванням вимог законодавства до захисту інформації та кіберзахисту, це досить серйозні вимоги. Реєстри в системі захищені за допомогою технічних та криптографічних стандартів.
Так само захищені й приватні інформаційні системи, з якими працюють медичні заклади. Для того щоб стати частиною електронної системи охорони здоровʼя, МІС мають відповідати технічним вимогам, які висуває до них НСЗУ. Зокрема, щодо конфіденційності та цілісності даних і розмежування доступу.
Перед тим, як підключити системи до центральної бази даних, їх тестують. Також є процедура періодичного перетестування – щоб переконатися, що МІС продовжує відповідати вимогам.
У системі чітко розмежовано, хто має доступ до персональних даних пацієнта та за яких умов. Обійти ці обмеження неможливо – не може випадкова людина подивитись, які діагнози має певний пацієнт. Так, в системі впроваджено рекомендації GDPR щодо розмежування обробки персональних і медичних даних та розділені доступи в системі (зокрема, доступ до медичної інформації мають тільки лікуючі лікарі).
Хто має доступ до персональних медичних даних пацієнтів
У системі є декілька видів користувачів. Це насамперед медичні та аптечні працівники: лікарі, середній медичний персонал, фармацевти. А також адміністративний персонал: керівники закладів охорони здоровʼя, уповноважені особи, працівники підрозділів, які займаються персоналом чи бухгалтерським обліком.
Для того щоб отримати можливість працювати в системі, користувача необхідно зареєструвати. Такі повноваження є лише в керівника закладу або в працівників, які займаються кадровими питаннями.
Адміністративний персонал доступу ні до персональних, ні до медичних даних про пацієнта не має. В системі вони здійснюють свої функції: реєструють інших користувачів, вносять зміни в реєстраційні дані закладів, займаються договірною роботою з НСЗУ.
Медичні працівники мають право на доступ до персональних даних пацієнта в межах своїх медичних обовʼязків. Обсяг доступу до персональних даних пацієнта обмежується виконанням професійних обов’язків. Тобто медичні працівники мають доступ лише до тих даних і в тому обсязі, який необхідний для їхньої роботи.
Лікарі мають право подавати запити та отримувати доступ до даних про пацієнта, що містяться в центральній базі даних, для встановлення діагнозу, забезпечення лікування або надання медичних послуг.
При цьому в медичних працівників обовʼязків щодо персональних даних пацієнта набагато більше, ніж прав. Вони зобовʼязані не розголошувати дані, не переглядати їх, якщо це не повʼязано з виконанням професійних обовʼязків, надавати на прохання пацієнта виписку з електронної системи, проходити навчання щодо роботи з персональними даними.
Передавати персональні дані пацієнта третім особам лікарі можуть лише у випадках, передбачених законом, і якщо це не нашкодить пацієнту або лікуванню. Наприклад, лікар може надавати інформацію про стан здоровʼя неповнолітнього пацієнта його батькам або опікунам. Про стан здоровʼя людини має право знати наречений чи наречена.
Важливо розуміти, що доступ лікарю до власних даних надає сам пацієнт. Сімейний лікар має доступ до медичних даних пацієнта, оскільки пацієнт обрав саме цього лікаря і подав йому декларацію. Лікарю-спеціалісту для отримання доступу до даних про пацієнта через систему необхідно надіслати відповідний запит. Пацієнту прийде повідомлення з кодом підтвердження на телефон. Якщо пацієнт погодиться надати доступ, то називає цей код лікарю – і той отримує доступ.
Чи може МІС обробляти персональні дані пацієнта
Законодавством передбачено, що пацієнт може надати згоду на обробку своїх персональних даних третій особі. Це може бути і МІС. Але це винятково волевиявлення пацієнта, і примушувати до цього його ніхто не може.
Дійсно, досить часто під час реєстрації в тій чи іншій МІС або у разі отримання медичних послуг в різних закладах у пацієнта запитують згоду на обробку його даних конкретною МІС. При цьому така згода має бути поінформованою, тобто містити весь перелік інформації про те, хто буде обробляти дані, з якою метою, в якому обсязі, скільки часу, кому і за яких умов вони можуть бути передані. Тому потрібно уважно читати такі документи. І памʼятати, що надавати таку згоду – це добра воля. Пацієнт можете відмовитися, і це жодним чином не вплине на надання йому медичної допомоги.
Також слід памʼятати, що, навіть надавши згоду на обробку персональних даних, людина може в будь-який момент її відкликати, після чого обробку персональних даних має бути припинено.
Ви знайшли помилку чи неточність?
Залиште відгук для редакції. Ми врахуємо ваші зауваження якнайшвидше.