Категория
Инновации
Дата

В Украине работают несколько частных медицинских информационных систем. Как там защищены данные украинцев

В Украине есть несколько частных медицинских информационных систем, через которые медучреждения передают медицинские данные в центральную базу. Одна из таких частных систем начала сотрудничество с крупным мобильным оператором. Не окажутся ли после этого данные украинцев под угрозой и как они защищены?

Часто медицинская информационная система отождествляется со всей электронной системой здравоохранения. Но это разные вещи.

Медицинские информационные системы (МИС) – это один из двух компонентов общей электронной системы здравоохранения, которым пользуются больницы, работники аптек и пациенты. С помощью МИС в центральную базу данных передается информация.

Сама центральная база данных принадлежит государству, которое и отвечает за их безопасность. Именно в центральной базе данных, а не в МИС, хранится ряд государственных реестров – реестр пациентов, деклараций о выборе врачей, медицинских выводов, медицинских записей, записей о направлении и рецептах и т. д.

Ответственность за защиту персональных данных несет владелец системы – Национальная служба здоровья Украины. А также те, кто производит обработку персональных данных – медицинские работники.

Вместе центральная база данных и МИС формируют общенациональную электронную систему здравоохранения. В ней ведется учет медицинских данных о пациентах, обращающихся в больницы за медицинской помощью.

Врачи принимают пациентов, консультируют, проводят процедуры, диагностику, производят назначение, вносят данные в систему. Пациенты могут получать услуги по направлениям и рецептам бесплатно, НСЗУ видит, кто именно оказывает услуги, и оплачивает их конкретной больнице. Но возникает вопрос: безопасно ли это?

Как защищены данные в системе

Электронная система – это не бумажная карта, которая может потеряться или попасть в руки постороннего лица. Данные в системе доступны только тем врачам, которым пациент предоставляет доступ, – вашему семейному врачу или лечащему врачу. Немедицинские работники, в том числе и чиновники, доступа к персональным медицинским данным пациента не имеют.

Вся работа электронной системы здравоохранения регламентируется украинским законодательством и лучшими практиками международного законодательства, Законом Украины «О защите персональных данных», определяющим, кто и как может использовать персональные данные украинцев.

Система разрабатывается с учетом требований законодательства к защите информации и киберзащиты, это достаточно серьезные требования. Реестры в системе защищены с помощью технических и криптографических стандартов.

Также защищены и частные информационные системы, с которыми работают медицинские учреждения. Для того чтобы стать частью электронной системы здравоохранения, МИС должны отвечать техническим требованиям, предъявляемым к ним НСЗУ. В частности, относительно конфиденциальности и целостности данных и разграничения доступа.

Перед тем как подключить системы к центральной базе данных, их тестируют. Также есть процедура периодического перетестирования – чтобы убедиться, что МИС продолжает отвечать требованиям.

В системе четко разграничено, кто имеет доступ к персональным данным пациента и при каких условиях. Обойти эти ограничения невозможно – не может случайный человек посмотреть, какие диагнозы имеет определенный пациент. Так, в системе внедрены рекомендации GDPR по разграничению обработки персональных и медицинских данных и разделены доступы в системе (в частности, доступ к медицинской информации имеют только лечащие врачи).

Кто имеет доступ к персональным медицинским данным пациентов

В системе есть несколько видов юзеров. Это прежде всего медицинские и аптечные работники: врачи, средний медперсонал, фармацевты. А также административный персонал: руководители здравоохранительных учреждений, уполномоченные лица, работники подразделений, которые занимаются персоналом или бухгалтерским учетом.

Чтобы получить возможность работать в системе, пользователя необходимо зарегистрировать. Такие полномочия есть только у руководителя заведения или у работников, занимающихся кадровыми вопросами.

Административный персонал доступа ни к персональным, ни к медицинским данным о пациенте не имеет. В системе они осуществляют свои функции: регистрируют других пользователей, вносят изменения в регистрационные данные заведений, занимаются договорной работой по НСЗУ.

Медицинские работники имеют право на доступ к персональным данным пациента в пределах своих медицинских обязанностей. Объем доступа к персональным данным пациента ограничивается исполнением профессиональных обязанностей. То есть медицинские работники имеют доступ только к тем данным и в том объеме, который необходим для их работы.

Врачи имеют право подавать запросы и получать доступ к данным о пациенте, содержащимся в центральной базе данных, для установления диагноза, обеспечения лечения или предоставления медицинских услуг.

При этом у медицинских работников обязанностей по персональным данным пациента гораздо больше прав. Они обязаны не разглашать данные, не пересматривать их, если это не связано с выполнением профессиональных обязанностей, предоставлять по просьбе пациента выписку из электронной системы, проходить обучение по работе с персональными данными.

Передавать персональные данные пациента третьим лицам врачи могут только в случаях, предусмотренных законом, и если это не навредит пациенту или лечению. Например, врач может предоставлять информацию о состоянии здоровья несовершеннолетнего пациента его родителям или опекунам. О состоянии здоровья человека имеет право знать жених или невеста.

Важно понимать, что доступ врачу к собственным данным предоставляет сам пациент. Семейный врач имеет доступ к медицинским данным пациента, поскольку пациент избрал именно этого врача и подал ему декларацию. Врачу-специалисту для получения доступа к данным о пациенте через систему необходимо послать соответствующий запрос. Пациенту придет уведомление с кодом подтверждения на телефон. Если пациент согласится предоставить доступ, то называет этот код врачу – и тот получает доступ.

Может ли МИС обрабатывать персональные данные пациента

Законодательством предусмотрено, что пациент может дать согласие на обработку своих персональных данных третьему лицу. Это может быть и МИС. Но это исключительно волеизъявление пациента и принуждать его к этому никто не может.

Действительно, довольно часто при регистрации в той или иной МИС или в случае получения медицинских услуг в разных учреждениях у пациента запрашивают согласие на обработку данных конкретным МИС. При этом такое согласие должно быть информированным, то есть содержать весь перечень информации о том, кто будет обрабатывать данные, с какой целью, в каком объеме, сколько времени, кому и при каких условиях они могут быть переданы. Потому нужно внимательно читать документы. И помнить, что давать такое согласие – это добрая воля. Пациент можете отказаться, и это никак не повлияет на оказание ему медицинской помощи.

Также следует помнить, что, даже дав согласие на обработку персональных данных, человек может в любой момент его отозвать, после чего обработка персональных данных должна быть прекращена.

Материалы по теме
Контрибьюторы сотрудничают с Forbes на внештатной основе. Их тексты отражают личную точку зрения. У вас другое мнение? Пишите нашему редактору Катерине Рещук - [email protected]
Предыдущий слайд
Следующий слайд
Специальный военный выпуск Forbes ко Дню Независимости

Специальный военный выпуск Forbes ко Дню Независимости

Заказывайте с бесплатной курьерской доставкой по Украине