MedSoft - 2011 Защита персональных данных в здравоохранении: что нового ? Столбов А.П., МИАЦ РАМН Москва, 20 мая 2011 г. 17.5.1 Об организации предоставления государственных и муниципальных услуг, № 210-ФЗ от 27.07.2010 г. ЭДО с 01.07.2011 Об обязательном медицинском страховании в Российской Федерации, № 326-ФЗ от 29.11.2010 г. Об электронной подписи, № 63-ФЗ от 06.04.2011 г. О лицензировании отдельных видов деятельности, № 99-ФЗ от 04.05.2011 г. Концепция создания единой государственной информационной системы в сфере здравоохранения, приказ МЗСР № 364 от 28.04.2011 Общие принципы построения и функционирования информационных систем и порядок информационного взаимодействия в сфере ОМС, приказ ФФОМС № 79 от 07.04.2011 Правила финансового обеспечения в 2011-2012 годах региональных программ модернизации здравоохранения субъектов РФ за счет средств ФФОМС, ПП РФ № 85 от 15.02.2011 Об основах охраны здоровья граждан в Российской Федерации, проект закона 28.02.2011 г. -> 19.04.2011 г. -> 1-ое чтение 20.05.2011 г. 2 Правила обязательного медицинского страхования, приказ МЗСР № 158н от 28.02.2011 (был № 1219н от 28.12.2010) Порядок ведения персонифицированного учета в сфере ОМС, приказ МЗСР № 29н от 25.01.2011 Порядок организации и проведения контроля объемов, сроков, качества и условий предоставления медицинской помощи по ОМС, приказ ФФОМС № 230 от 01.12.2010 Порядок ведения реестров экспертов качества медицинской помощи в сфере ОМС, Методические указания ФФОМС от 17.02.2011 г. № 822/30-5/и Формирование Единого регистра полисов ОМС, письма ФФОМС № 979/91-и от 25.02.2011, № 5309/91-и от 02.11.2010 Порядок организации изготовления бланков временных свидетельств, письмо ФФОМС № 1659/91-и от 25.03.2011 Порядок направления сведений о несчастных случаях на производстве, приказ ФСС № 261 от 08.12.2010 Соглашение об информационном обмене между ПФР и ФФОМС о работающих застрахованных лицах, № АД-08-33/03сог/558/91-и от 31.01.2011 г. 3 Методические рекомендации по организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости (23.12.2009 г., согласованы с ФСТЭК) Методические рекомендации по составлению частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных учреждений и организаций здравоохранения, социальной сферы, труда и занятости (23.12.2009 г., согласованы с ФСТЭК) [ актуальность после издания ФСТЭК пр. № 58 !? ] Модель угроз типовой медицинской информационной системы типового лечебно-профилактического учреждения (согласована с ФСТЭК, письмо от 27.11.09 г. № 240/2/4009) -> специальная К1 , но требования по БИ как к ИС кл. К3 !! Письмо Минздравсоцразвития РФ № 328-29 от 05.03.2010 г. Письмо ФСТЭК, исх. № 240/2/2520 от 18.06.2010 г. (наличие лицензии на ТЗКИ)!! Письмо ФСТЭК (ЦФО), исх. № 957 от 24.06.2010 г. (аттестация ОИ по ТБИ)!! Об организации работ по технической защите информации (письмо Федерального фонда ОМС от 22.04.2008 г. № 2170/90-и) Типовое соглашение с МЗСР об организации и функционировании защищенного межсетевого взаимодействия по телекоммуникационным каналам передачи данных общего пользования при обмене электронными документами между участниками корпоративной информационной системы [ www.crt.rosminzdrav.ru/vipnet.doc ] 4 ГОСТ Р 52636-2006 Электронная история болезни. Общие положения ГОСТ Р ИСО/ТС 18308-2008 Информатизация здоровья. Требования к архитектуре электронного учета здоровья [ 5.4 PRS4, 5.5 MEL5 ] ГОСТ Р ИСО/ТС 22600-1,2-2009 Управление полномочиями и контроль доступа. Часть 1 Общие сведения и управление политикой, Часть 2 Формальные модели [ ролевой доступ ] ГОСТ Р ИСО 21549-1,2,3,4-2009 Состав данных на пластиковой карте пациента. Часть 1 Общая структура, Часть 2 Общие объекты, Часть 3 Ограниченные клинические данные, Часть 4 Расширенные клинические данные, Часть 5 (-2010) Идентификационные данные ГОСТ Р ИСО/ТС 17090-1-2009 Инфраструктура с открытым ключом. Часть 1 Структура и общие сведения ГОСТ Р ИСО 12052-2009 Цифровые изображения и связь в медицине (DICOM), включая управление документооборотом и данными ГОСТ Р ИСО 17432-2009 Сообщения и обмен информацией. Веб-доступ к постоянным объектам DICOM [ есть признак обезличивания ] ISO/TS 22220:2009 Health informatics. Identification of subject of health care. ISO/TS 25237:2008 Health informatics. Pseudonymization. prCEN/TR 15872 Health informatics. Guidance on patient identification and crossreferencing of identities. 5 Статья 6 Условия обработки персональных данных (№ 152-ФЗ) 2. Согласие субъекта ПДн ... не требуется в следующих случаях: 1) обработка ПДн осуществляется на основании федерального закона, устанавливающего ее цель, условия получения ПДн и круг субъектов, ПДн которых подлежат обработке, а также определяющего полномочия оператора -> закон "Об обязательном медицинском страховании" !!! 4) обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта персональных данных невозможно = п. 1 ч. 4 ст. 61 Основ ... 7) осуществляется обработка ПДн, подлежащих опубликованию в соответствии с федеральными законами ... -> общедоступность "профессиональных" данных медработников !? -> право выбора врача Закон "Об обязательном медицинском страховании" № 326-ФЗ от 29.11.2010 г. Глава 10 Организация персонифицированного учета ... -> Пр. МЗСР № 29н Ст.43 -- цели персонифицированного учета, участники инф. обмена Ст.44 -- состав ПДн о застрахованных лицах и оказанной им мед. помощи Ст.45 -- полис ОМС, Ст.46 -- порядок выдачи полиса ОМС Ст.47 -- взаимодействие МО с СМО и ТФОМС, Ст.48 -- СМО с ТФОМС Ст.49 -- взаимодействие ПФР, ОИВ, МО и ТФОМС, ст.32 -- ФСС и ТФОМС 6 Территориально-производственная Территориальная модель ОМС !? Территориально-участковая ФОМС "Регистр населения" модель & право выбора МО ПЦ-модель сбора, накопления и использования МДн ОИВс ЗАГС 3 "Реестр 15, 7? случаев" {ТФдр} обращения за медицинской помощью Размещение 5,6, 7? информации на сайтах !! ФУО, УО : УЭК ?! Обмен ЭД: № 442-р от 17.03.2011 {ЮЛ} 5,8, 7? 2 оПФР 14 ТФ доступ 19? 4 13 Схема обмена данными ОУЗ 16 18 20? 11 9 Полис 16 ИЭМК ? СМР ? оФСС {Р} ИНН Портал Э-услуг СМР ? РФ-ЕГИС {СМО} СНИЛС 14 1 10 12 МЗСР {А} 14,17 {МО} Не выбравшие МО !? оСЗН Рецепт, дВУТ Льготы Р = работодатель, А = аптека 7 Статья 8. Соблюдение врачебной тайны 4. Предоставление сведений ... БЕЗ согласия ... допускается: 1) в целях ... лечения ... не способного ... выразить свою волю 2) при угрозе распространения инфекционных заболеваний ... 3) по запросу органов дознания и следствия, и суда ... 4) в случае оказания помощи несовершеннолетнему для информирования его родителей ... Надо дать определение МИС !! 5) в целях информирования ОВД ... 6) в целях проведения военно-врачебной экспертизы ... 7) в целях расследования несчастного случая на производстве ... 8) при обмене информацией в медицинских ИС и в медицинских организациях в целях оказания медицинской помощи с учетом требований законодательства РФ о персональных данных 9) при осуществлении контроля в системе обязательного социального страхования -> проверка документов ВУТ 10) при осуществлении государственного контроля качества и безопасности медицинской деятельности ... -> доступ к ЭМК [проект закона "Об основах охраны здоровья ..." ] Возможность анонимного лечения за плату [ ст. 78 проекта ] 8 Проблемы, вопросы, акценты определить (конкретизировать) в законе состав общедоступных персонифицированных сведений о медицинских работниках ("профессиональные" ПДн) определить в законе состав данных о субъектах обработки (доступа) ПДн, которые предоставляются субъекту ПДн по его запросу (по ст. 14) право пациента знать об аутсорсере, обрабатывающем его ПДн + регистрация аутсорсера в качестве оператора ПДн (ст. 14) определить в законе понятие псевдонимизации персональных (персонифицированных) данных, определить статус псевдонимизированных данных как неконфиденциальных (общедоступных), установить требования к процедурам псевдонимизации и обратной персонификации "удаленная регистратура" без аутентификации личности пациента нормативно-методическое обеспечение функционирования и аттестации федеративных распределенных и "облачных" систем перечень ИР, единый каталог пользователей ЕГИСЗ [ п. 8 Концепции ] 9 26 мая 2011 г. -- заседание РГ РАМН по ИТ -- Основные принципы реализации Концепции информатизации здравоохранения РФ на региональном и муниципальном уровнях, www.mcramn.ru СПАСИБО ! Столбов Андрей Павлович Stolbov@mcramn.ru AP100Lbov@mail.ru +7(495) 724-70-46 www.mcramn.ru 10