Сегодня, когда в здравоохранении страны создается единая государственная информационная система (ЕГИСЗ) – создание, хранение и передача медицинских данных в электронном виде, – то к этому присоединяется и проблема защиты данных пациентов на электронных носителях, причем как в государственных структурах, так и в частной медицине.
О том, каким образом можно гарантировать конфиденциальность всей врачебной информации, мы поговорили с одним из специалистов в области защиты информации, директором ООО «РЭАЦ «Эксперт» Сергеем Григорьевым.
Закон есть, но не все о нем помнят
Антонина Полежаева, АиФ. Здоровье. Лекарственное обозрение: Сергей Александрович, почему в последнее время вопросам защиты информации о пациентах стало уделяться так много внимания?
– Идея создания ЕГИСЗ, безусловно, прогрессивна, и рано или поздно груды бумажной работы у медиков уйдут в небытие. Главный же вопрос при этом остается в том, как сохранить, и не только в электронном варианте, недоступность для посторонних лиц всей информации: как о пациентах, так и о деятельности самого ЛПУ. Причина любого острого вопроса в нашей стране обычно продиктована законодательными требованиями. Так вот, еще в 2006 году был принят Федеральный закон № 152‑ФЗ «О персональных данных», обязавший любую организацию и любое учреждение выполнять необходимые требования по организации обработки и защите персональных данных. Не обошел стороной этот закон и медицинские учреждения, в которых помимо общих персональных данных (ФИО, паспортные данные, адрес и т. д.) обрабатываются так называемые специальные категории персональных данных – сведения о состоянии здоровья. И по сей день данный закон вызывает множество споров и разногласий.
Но с каждым днем все больше организаций и учреждений понимают, что они обязаны выполнять его требования.
Кроме того, в Федеральном законе «Об основах охраны здоровья граждан в Российской Федерации» есть такой термин, как врачебная тайна, и установлены требования к медицинским работникам и медицинским учреждениям о ее неразглашении. В том числе это прописано и в клятве врача. Однако эти требования не всегда выполняются. К сожалению, о защите информации у нас вспоминают либо после вступления в силу каких-то законодательных требований, либо когда «грянет гром» и факт разглашения уже свершится. К сожалению, страна пока далека от того момента, когда защита информации станет повседневной потребностью любой организации. Особенно важно об этом задуматься именно медицинским учреждениям, так как они обрабатывают информацию о состоянии здоровья и даже об интимной жизни своих пациентов. А ведь с каждым годом пациенты все интенсивнее отстаивают свои права. С учетом развития судебной системы мы в ближайшее время можем подойти к резкому увеличению денежных сумм, взысканных именно за нарушение морального вреда, причиненного пациентам. Кроме финансовых потерь такие судебные дела против частных клиник могут привести к удару по репутации и оттоку клиентов.
Узкое место – регистратура
– Есть ли какие-то особенности защиты информации о пациентах в медицинских учреждениях?
– По большому счету – нет. Одна из основных проблем государственных и частных медицинских учреждений – это хранение материальных носителей персональных данных – медицинских карт пациентов и другой медицинской документации в общедоступных местах и без надлежащей защиты. Чаще всего единственное правильно оборудованное место хранения – это регистратура. Но дальше начинаются сложности. Часто можно встретить медицинские карты на постах медицинских сестер. В большинстве случаев они лежат стопочкой сверху стола или стойки, и фактически любой может их забрать. Другое частое место хранения – ординаторская. Там тоже карты могут находиться на рабочем месте врача без должного внимания.
По требованиям законодательства о персональных данных медицинское учреждение должно исключить возможность несанкционированного доступа, то есть обеспечить безопасное хранение документов, содержащих персональные данные. При этом ни в каких законодательных документах нет требований хранить истории болезни в железных сейфах, достаточно обеспечить самую простую защиту.
Зачастую, даже если с хранением все в порядке, сотрудники учреждения сами могут допускать халатность. Например, чтобы обслужить как можно быстрее больных, регистратор сама предлагает пациенту в стопке медицинских карт на определенную букву найти свою. Получается: из благих намерений она нарушила врачебную тайну, не подозревая этого. Нарушением врачебной тайны является и выдача результатов анализов на руки ближайшим родственникам.
К достаточно частным случаям нарушения законодательства относятся списки пациентов, вывешенные в холлах больниц. И хотя руководство обычно это объясняет тем, что информация необходима родственникам и посетителям для быстрого поиска, такие действия – серьезное нарушение. Если вспомнить закон «Об основах охраны здоровья граждан в Российской Федерации», то в нем указано, что даже факт обращения за медицинской помощью является врачебной тайной. Требования по защите информации не очень сложные, но они предполагают создание отлаженного механизма. Мы называем его «режим конфиденциальности». Если режим установлен и отлажен, он не приносит ни больших затрат, ни больших физических усилий. И самое главное, что он помогает защищать пациентов и защищаться руководству медицинского учреждения от возможных проблем.
Общая проблема
– Бумажные носители постепенно уходят в прошлое, а как обстоят дела с защитой электронных баз данных о пациентах?
– Что касается создания электронных баз данных пациентов, то здесь главная проблема – большие затраты на средства защиты информации. Государство выделяет большие деньги не только на создание электронных баз, но и на их защиту. К сожалению, при такой заботе государства многие медицинские учреждения забывают о собственных базах данных, которые также требуют защиты. Это базы для ведения кадрового и бухгалтерского учета. Отсутствие должного внимания к ним часто приводит к проблемам при проверках.
Другой проблемой в сфере информатизации медицины является отсутствие подготовленного персонала. Почти в каждой больнице есть IT-специалист, но почти нигде нет специалистов по технической защите информации. Ведь это разные направления деятельности, но не все это понимают, вешая на своих компьютерщиков часто непосильные задачи. Здесь речь идет не только о поддержании в рабочем состоянии системы защиты информации, но и о разработке необходимых документов. Да и держать такого специалиста в поликлиниках почти невозможно. Это общая проблема всей страны. По самым скромным подсчетам экспертов, нехватка квалифицированного персонала в этой отрасли составляет примерно 70–90 тысяч рабочих мест. И то эта цифра взята из существующих вакансий в тех организациях, которые определились в необходимости такого специалиста. А с учетом потребности всей страны эти цифры в два раза больше. Конечно, здесь на помощь может прийти множество интеграторов – компаний, оказывающих услуги по технической защите информации. Можно отдать указанные работы им на аутсорсинг. Но для медицинских учреждений это большая головная боль, связанная, прежде всего, с поиском необходимого финансирования.
– А с какими проблемами сталкиваются частные медицинские учреждения?
– Частные медицинские учреждения очень осторожно подходят к теме защиты информации. Они сейчас, как и многие другие частные организации в других сферах деятельности, заняли выжидательную позицию. И это понятно: штрафы мизерные (до 10 тысяч рублей), а затраты на выполнение требований закона в разы больше.
Большой проблемой является база данных клиентов. Многие частные клиники сейчас формируют свои клиентские базы данных, но при этом даже не догадываются, что делают это с нарушением. Когда клиент приходит в поликлинику, его данные вносят в базу. Однако согласия на это действие не берут.
Штрафы увеличат
– Сергей Александрович, а какие-то санкции сегодня предусмотрены для медицинских учреждений за невыполнение требований законодательства о защите информации? Кто может прийти их проверить?
– В сфере защиты информации действуют три контролирующих органа: Федеральная служба безопасности РФ (ФСБ РФ), Федеральная служба по техническому и экспортному контролю РФ (ФСТЭК РФ) и Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций РФ (Роскомнадзор РФ). ФСБ РФ и ФСТЭК РФ регулируют сферу технической защиты информации, а Роскомнадзор РФ является уполномоченным органом по защите прав субъектов персональных данных. Как я уже говорил, штрафы сейчас небольшие – до 10 тысяч рублей, но уже несколько лет их хотят существенно поднять, и, думаю, в ближайшем будущем это произойдет.
Основная проблема в том, что в большинстве своем руководители медицинских учреждений уверены, что выполнение требований закона состоит из внедрения технических средств защиты информации и подготовки пакета документов. На самом деле этого недостаточно. Этого будет достаточно, если проверяет ФСТЭК РФ или ФСБ РФ. Если придет проверять Роскомнадзор РФ, то их интересует только правовая основа обработки информации. То есть то, на каком основании медицинские учреждения обрабатывают ту или иную информацию и должным ли образом обеспечивается защита. Тогда и всплывет, что ксерокопии паспортов требовать с пациентов нельзя, что списки пациентов на проходной и разбросанные медицинские карты по всей больнице – это существенные нарушения. Как, впрочем, и многое, многое другое.
Другим немаловажным фактором являются жалобы пациентов в суд. Все чаще в России пациенты стремятся взыскать моральный вред за те или иные проступки медицинских учреждений. И не за горами то время, когда пациенты будут более жестко относиться к вопросам защиты своих личных данных. У нас в практике был случай, когда пациент дочитался в законе «О персональных данных», что может потребовать от своей сельской больницы ответить на запрос: с какой целью обрабатываются его персональные данные. Представляете лица медиков, которые об этом законе и не слышали?
Именно поэтому заключение договора на подготовку необходимых документов со сторонней организацией не избавит медицинские учреждения от проблем. Интеграторы придут, сделают документы, поставят средства защиты и уйдут. А главный врач останется один на один с множеством вопросов и проблем в будущем. Чтобы этого избежать, мы рекомендуем в каждом медицинском учреждении назначить ответственного за защиту информации и заставить этого работника изучить нужное законодательство. А еще лучше, отправить этого работника на обучение хоть на самые краткосрочные курсы. Это поможет ему разобраться в перипетиях существующего законодательства.
