В Украине есть несколько частных медицинских информационных систем, через которые медучреждения передают медицинские данные в центральную базу. Одна из таких частных систем начала сотрудничество с крупным мобильным оператором. Не окажутся ли после этого данные украинцев под угрозой и как они защищены?
Amazon інвестує мільярди доларів у ШІ, роботів та машинне навчання. Якими принципами й правилами керується компанія?
Дізнайтеся вже 22 листопада на Forbes Tech 2024. Купуйте квиток за посиланням!
Часто медицинская информационная система отождествляется со всей электронной системой здравоохранения. Но это разные вещи.
Медицинские информационные системы (МИС) – это один из двух компонентов общей электронной системы здравоохранения, которым пользуются больницы, работники аптек и пациенты. С помощью МИС в центральную базу данных передается информация.
Сама центральная база данных принадлежит государству, которое и отвечает за их безопасность. Именно в центральной базе данных, а не в МИС, хранится ряд государственных реестров – реестр пациентов, деклараций о выборе врачей, медицинских выводов, медицинских записей, записей о направлении и рецептах и т. д.
Ответственность за защиту персональных данных несет владелец системы – Национальная служба здоровья Украины. А также те, кто производит обработку персональных данных – медицинские работники.
Вместе центральная база данных и МИС формируют общенациональную электронную систему здравоохранения. В ней ведется учет медицинских данных о пациентах, обращающихся в больницы за медицинской помощью.
Врачи принимают пациентов, консультируют, проводят процедуры, диагностику, производят назначение, вносят данные в систему. Пациенты могут получать услуги по направлениям и рецептам бесплатно, НСЗУ видит, кто именно оказывает услуги, и оплачивает их конкретной больнице. Но возникает вопрос: безопасно ли это?
Как защищены данные в системе
Электронная система – это не бумажная карта, которая может потеряться или попасть в руки постороннего лица. Данные в системе доступны только тем врачам, которым пациент предоставляет доступ, – вашему семейному врачу или лечащему врачу. Немедицинские работники, в том числе и чиновники, доступа к персональным медицинским данным пациента не имеют.
Вся работа электронной системы здравоохранения регламентируется украинским законодательством и лучшими практиками международного законодательства, Законом Украины «О защите персональных данных», определяющим, кто и как может использовать персональные данные украинцев.
Система разрабатывается с учетом требований законодательства к защите информации и киберзащиты, это достаточно серьезные требования. Реестры в системе защищены с помощью технических и криптографических стандартов.
Также защищены и частные информационные системы, с которыми работают медицинские учреждения. Для того чтобы стать частью электронной системы здравоохранения, МИС должны отвечать техническим требованиям, предъявляемым к ним НСЗУ. В частности, относительно конфиденциальности и целостности данных и разграничения доступа.
Перед тем как подключить системы к центральной базе данных, их тестируют. Также есть процедура периодического перетестирования – чтобы убедиться, что МИС продолжает отвечать требованиям.
В системе четко разграничено, кто имеет доступ к персональным данным пациента и при каких условиях. Обойти эти ограничения невозможно – не может случайный человек посмотреть, какие диагнозы имеет определенный пациент. Так, в системе внедрены рекомендации GDPR по разграничению обработки персональных и медицинских данных и разделены доступы в системе (в частности, доступ к медицинской информации имеют только лечащие врачи).
Кто имеет доступ к персональным медицинским данным пациентов
В системе есть несколько видов юзеров. Это прежде всего медицинские и аптечные работники: врачи, средний медперсонал, фармацевты. А также административный персонал: руководители здравоохранительных учреждений, уполномоченные лица, работники подразделений, которые занимаются персоналом или бухгалтерским учетом.
Чтобы получить возможность работать в системе, пользователя необходимо зарегистрировать. Такие полномочия есть только у руководителя заведения или у работников, занимающихся кадровыми вопросами.
Административный персонал доступа ни к персональным, ни к медицинским данным о пациенте не имеет. В системе они осуществляют свои функции: регистрируют других пользователей, вносят изменения в регистрационные данные заведений, занимаются договорной работой по НСЗУ.
Медицинские работники имеют право на доступ к персональным данным пациента в пределах своих медицинских обязанностей. Объем доступа к персональным данным пациента ограничивается исполнением профессиональных обязанностей. То есть медицинские работники имеют доступ только к тем данным и в том объеме, который необходим для их работы.
Врачи имеют право подавать запросы и получать доступ к данным о пациенте, содержащимся в центральной базе данных, для установления диагноза, обеспечения лечения или предоставления медицинских услуг.
При этом у медицинских работников обязанностей по персональным данным пациента гораздо больше прав. Они обязаны не разглашать данные, не пересматривать их, если это не связано с выполнением профессиональных обязанностей, предоставлять по просьбе пациента выписку из электронной системы, проходить обучение по работе с персональными данными.
Передавать персональные данные пациента третьим лицам врачи могут только в случаях, предусмотренных законом, и если это не навредит пациенту или лечению. Например, врач может предоставлять информацию о состоянии здоровья несовершеннолетнего пациента его родителям или опекунам. О состоянии здоровья человека имеет право знать жених или невеста.
Важно понимать, что доступ врачу к собственным данным предоставляет сам пациент. Семейный врач имеет доступ к медицинским данным пациента, поскольку пациент избрал именно этого врача и подал ему декларацию. Врачу-специалисту для получения доступа к данным о пациенте через систему необходимо послать соответствующий запрос. Пациенту придет уведомление с кодом подтверждения на телефон. Если пациент согласится предоставить доступ, то называет этот код врачу – и тот получает доступ.
Может ли МИС обрабатывать персональные данные пациента
Законодательством предусмотрено, что пациент может дать согласие на обработку своих персональных данных третьему лицу. Это может быть и МИС. Но это исключительно волеизъявление пациента и принуждать его к этому никто не может.
Действительно, довольно часто при регистрации в той или иной МИС или в случае получения медицинских услуг в разных учреждениях у пациента запрашивают согласие на обработку данных конкретным МИС. При этом такое согласие должно быть информированным, то есть содержать весь перечень информации о том, кто будет обрабатывать данные, с какой целью, в каком объеме, сколько времени, кому и при каких условиях они могут быть переданы. Потому нужно внимательно читать документы. И помнить, что давать такое согласие – это добрая воля. Пациент можете отказаться, и это никак не повлияет на оказание ему медицинской помощи.
Также следует помнить, что, даже дав согласие на обработку персональных данных, человек может в любой момент его отозвать, после чего обработка персональных данных должна быть прекращена.
Вы нашли ошибку или неточность?
Оставьте отзыв для редакции. Мы учтем ваши замечания как можно скорее.
