Защита персональных данных в здравоохранении: что нового ?

MedSoft - 2011
Защита
персональных данных
в здравоохранении:
что нового ?
Столбов А.П., МИАЦ РАМН
Москва, 20 мая 2011 г.
17.5.1
Об организации предоставления государственных и
муниципальных услуг, № 210-ФЗ от 27.07.2010 г. ЭДО с 01.07.2011
Об обязательном медицинском страховании в
Российской Федерации, № 326-ФЗ от 29.11.2010 г.
Об электронной подписи, № 63-ФЗ от 06.04.2011 г.
О лицензировании отдельных видов деятельности,
№ 99-ФЗ от 04.05.2011 г.
Концепция создания единой государственной
информационной системы в сфере здравоохранения,
приказ МЗСР № 364 от 28.04.2011
Общие принципы построения и функционирования
информационных систем и порядок информационного
взаимодействия в сфере ОМС, приказ ФФОМС № 79 от 07.04.2011
Правила финансового обеспечения в 2011-2012 годах
региональных программ модернизации здравоохранения
субъектов РФ за счет средств ФФОМС, ПП РФ № 85 от 15.02.2011
Об основах охраны здоровья граждан в Российской Федерации,
проект закона 28.02.2011 г. -> 19.04.2011 г. -> 1-ое чтение 20.05.2011 г.
2
Правила обязательного медицинского страхования,
приказ МЗСР № 158н от 28.02.2011 (был № 1219н от 28.12.2010)
Порядок ведения персонифицированного учета в сфере ОМС,
приказ МЗСР № 29н от 25.01.2011
Порядок организации и проведения контроля объемов,
сроков, качества и условий предоставления медицинской
помощи по ОМС, приказ ФФОМС № 230 от 01.12.2010
Порядок ведения реестров экспертов качества медицинской
помощи в сфере ОМС, Методические указания ФФОМС от
17.02.2011 г. № 822/30-5/и
Формирование Единого регистра полисов ОМС, письма ФФОМС
№ 979/91-и от 25.02.2011, № 5309/91-и от 02.11.2010
Порядок организации изготовления бланков временных
свидетельств, письмо ФФОМС № 1659/91-и от 25.03.2011
Порядок направления сведений о несчастных случаях на
производстве, приказ ФСС № 261 от 08.12.2010
Соглашение об информационном обмене между ПФР и
ФФОМС о работающих застрахованных лицах,
№ АД-08-33/03сог/558/91-и от 31.01.2011 г.
3
Методические рекомендации по организации защиты информации при
обработке персональных данных в учреждениях здравоохранения,
социальной сферы, труда и занятости (23.12.2009 г., согласованы с ФСТЭК)
Методические рекомендации по составлению частной модели угроз
безопасности персональных данных при их обработке в информационных
системах персональных данных учреждений и организаций
здравоохранения, социальной сферы, труда и занятости (23.12.2009 г.,
согласованы с ФСТЭК)
[ актуальность после издания ФСТЭК пр. № 58 !? ]
Модель угроз типовой медицинской информационной системы типового
лечебно-профилактического учреждения (согласована с ФСТЭК, письмо от
27.11.09 г. № 240/2/4009) -> специальная К1 , но требования по БИ как к ИС кл. К3 !!
Письмо Минздравсоцразвития РФ № 328-29 от 05.03.2010 г.
Письмо ФСТЭК, исх. № 240/2/2520 от 18.06.2010 г. (наличие лицензии на ТЗКИ)!!
Письмо ФСТЭК (ЦФО), исх. № 957 от 24.06.2010 г. (аттестация ОИ по ТБИ)!!
Об организации работ по технической защите информации (письмо Федерального
фонда ОМС от 22.04.2008 г. № 2170/90-и)
Типовое соглашение с МЗСР об организации и функционировании
защищенного межсетевого взаимодействия по телекоммуникационным
каналам передачи данных общего пользования при обмене
электронными документами между участниками корпоративной
информационной системы [ www.crt.rosminzdrav.ru/vipnet.doc ]
4
ГОСТ Р 52636-2006 Электронная история болезни. Общие положения
ГОСТ Р ИСО/ТС 18308-2008 Информатизация здоровья. Требования к
архитектуре электронного учета здоровья [ 5.4 PRS4, 5.5 MEL5 ]
ГОСТ Р ИСО/ТС 22600-1,2-2009 Управление полномочиями и контроль
доступа. Часть 1 Общие сведения и управление политикой, Часть 2
Формальные модели [ ролевой доступ ]
ГОСТ Р ИСО 21549-1,2,3,4-2009 Состав данных на пластиковой карте
пациента. Часть 1 Общая структура, Часть 2 Общие объекты, Часть 3
Ограниченные клинические данные, Часть 4 Расширенные
клинические данные, Часть 5 (-2010) Идентификационные данные
ГОСТ Р ИСО/ТС 17090-1-2009 Инфраструктура с открытым ключом.
Часть 1 Структура и общие сведения
ГОСТ Р ИСО 12052-2009 Цифровые изображения и связь в медицине
(DICOM), включая управление документооборотом и данными
ГОСТ Р ИСО 17432-2009 Сообщения и обмен информацией. Веб-доступ к
постоянным объектам DICOM [ есть признак обезличивания ]
ISO/TS 22220:2009 Health informatics. Identification of subject of health care.
ISO/TS 25237:2008 Health informatics. Pseudonymization.
prCEN/TR 15872 Health informatics. Guidance on patient identification and crossreferencing of identities.
5
Статья 6 Условия обработки персональных данных (№ 152-ФЗ)
2. Согласие субъекта ПДн ... не требуется в следующих случаях:
1) обработка ПДн осуществляется на основании федерального закона,
устанавливающего ее цель, условия получения ПДн и круг субъектов,
ПДн которых подлежат обработке, а также определяющего полномочия
оператора -> закон "Об обязательном медицинском страховании" !!!
4) обработка ПДн необходима для защиты жизни, здоровья или иных
жизненно важных интересов субъекта ПДн, если получение согласия
субъекта персональных данных невозможно = п. 1 ч. 4 ст. 61 Основ ...
7) осуществляется обработка ПДн, подлежащих опубликованию в
соответствии с федеральными законами ... -> общедоступность
"профессиональных" данных медработников !? -> право выбора врача
Закон "Об обязательном медицинском страховании" № 326-ФЗ от 29.11.2010 г.
Глава 10 Организация персонифицированного учета ... -> Пр. МЗСР № 29н
Ст.43 -- цели персонифицированного учета, участники инф. обмена
Ст.44 -- состав ПДн о застрахованных лицах и оказанной им мед. помощи
Ст.45 -- полис ОМС, Ст.46 -- порядок выдачи полиса ОМС
Ст.47 -- взаимодействие МО с СМО и ТФОМС, Ст.48 -- СМО с ТФОМС
Ст.49 -- взаимодействие ПФР, ОИВ, МО и ТФОМС, ст.32 -- ФСС и ТФОМС
6
Территориально-производственная
Территориальная модель ОМС
!?
Территориально-участковая
ФОМС "Регистр
населения"
модель & право выбора МО
ПЦ-модель сбора,
накопления и
использования МДн
ОИВс
ЗАГС 3
"Реестр
15, 7?
случаев" {ТФдр}
обращения
за медицинской
помощью
Размещение 5,6, 7?
информации
на сайтах !!
ФУО, УО : УЭК ?!
Обмен ЭД:
№ 442-р от 17.03.2011
{ЮЛ}
5,8, 7?
2
оПФР
14
ТФ
доступ
19?
4
13
Схема обмена данными


ОУЗ
16
18
20?
11
9
Полис
16
ИЭМК ?
СМР ?
оФСС
{Р}
ИНН
Портал
Э-услуг
СМР ?
РФ-ЕГИС
{СМО}
СНИЛС
14
1
10
12
МЗСР
{А}
14,17
{МО}
Не выбравшие МО !?
оСЗН
Рецепт, дВУТ
Льготы

Р = работодатель, А = аптека
7
Статья 8. Соблюдение врачебной тайны
4. Предоставление сведений ... БЕЗ согласия ... допускается:
1) в целях ... лечения ... не способного ... выразить свою волю
2) при угрозе распространения инфекционных заболеваний ...
3) по запросу органов дознания и следствия, и суда ...
4) в случае оказания помощи несовершеннолетнему для
информирования его родителей ...
Надо дать определение МИС !!
5) в целях информирования ОВД ...
6) в целях проведения военно-врачебной экспертизы ...
7) в целях расследования несчастного случая на производстве ...
8) при обмене информацией в медицинских ИС и в медицинских
организациях в целях оказания медицинской помощи с учетом
требований законодательства РФ о персональных данных
9) при осуществлении контроля в системе обязательного
социального страхования -> проверка документов ВУТ
10) при осуществлении государственного контроля качества и
безопасности медицинской деятельности ... -> доступ к ЭМК
[проект закона "Об основах охраны здоровья ..." ]
Возможность анонимного лечения за плату [ ст. 78 проекта ]
8
Проблемы, вопросы, акценты







определить (конкретизировать) в законе состав общедоступных
персонифицированных сведений о медицинских работниках
("профессиональные" ПДн)
определить в законе состав данных о субъектах обработки
(доступа) ПДн, которые предоставляются субъекту ПДн по его
запросу (по ст. 14)
право пациента знать об аутсорсере, обрабатывающем его ПДн +
регистрация аутсорсера в качестве оператора ПДн (ст. 14)
определить в законе понятие псевдонимизации персональных
(персонифицированных) данных, определить статус
псевдонимизированных данных как неконфиденциальных
(общедоступных), установить требования к процедурам
псевдонимизации и обратной персонификации
"удаленная регистратура" без аутентификации личности пациента
нормативно-методическое обеспечение функционирования и
аттестации федеративных распределенных и "облачных" систем
перечень ИР, единый каталог пользователей ЕГИСЗ [ п. 8 Концепции ]
9
26 мая 2011 г. -- заседание РГ РАМН по ИТ -- Основные принципы
реализации Концепции информатизации здравоохранения РФ на
региональном и муниципальном уровнях, www.mcramn.ru
СПАСИБО !
Столбов Андрей Павлович
Stolbov@mcramn.ru
AP100Lbov@mail.ru
+7(495) 724-70-46
www.mcramn.ru
10