Столбов А.П., МИАЦ РАМН Москва, 20 мая 2011 г MedSoft MedSoft Защита персональных данных в здравоохранении: что нового ?

Об организации предоставления государственных и муниципальных услуг, 210-ФЗ от г. ЭДО с Об обязательном медицинском страховании в Российской Федерации, 326-ФЗ от г. Об электронной подписи, 63-ФЗ от г. О лицензировании отдельных видов деятельности, 99-ФЗ от г. Концепция создания единой государственной информационной системы в сфере здравоохранения, приказ МЗСР 364 от Общие принципы построения и функционирования информационных систем и порядок информационного взаимодействия в сфере ОМС, приказ ФФОМС 79 от Правила финансового обеспечения в годах региональных программ модернизации здравоохранения субъектов РФ за счет средств ФФОМС, ПП РФ 85 от Об основах охраны здоровья граждан в Российской Федерации, проект закона г. -> г. -> 1-ое чтение г. 2

Правила обязательного медицинского страхования, приказ МЗСР 158н от (был 1219н от ) Порядок ведения персонифицированного учета в сфере ОМС, приказ МЗСР 29н от Порядок организации и проведения контроля объемов, сроков, качества и условий предоставления медицинской помощи по ОМС, приказ ФФОМС 230 от Порядок ведения реестров экспертов качества медицинской помощи в сфере ОМС, Методические указания ФФОМС от г. 822/30-5/и Формирование Единого регистра полисов ОМС, письма ФФОМС 979/91-и от , 5309/91-и от Порядок организации изготовления бланков временных свидетельств, письмо ФФОМС 1659/91-и от Порядок направления сведений о несчастных случаях на производстве, приказ ФСС 261 от Соглашение об информационном обмене между ПФР и ФФОМС о работающих застрахованных лицах, АД-08-33/03сог/558/91-и от г. 3

Методические рекомендации по организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости ( г., согласованы с ФСТЭК) Методические рекомендации по составлению частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных учреждений и организаций здравоохранения, социальной сферы, труда и занятости ( г., согласованы с ФСТЭК) Модель угроз типовой медицинской информационной системы типового лечебно-профилактического учреждения (согласована с ФСТЭК, письмо от г. 240/2/4009) -> специальная К1, но требования по БИ как к ИС кл. К3 !! Письмо Минздравсоцразвития РФ от г. Письмо ФСТЭК, исх. 240/2/2520 от г. (наличие лицензии на ТЗКИ) !! Письмо ФСТЭК (ЦФО), исх. 957 от г. (аттестация ОИ по ТБИ) !! Об организации работ по технической защите информации (письмо Федерального фонда ОМС от г. 2170/90-и) Типовое соглашение с МЗСР об организации и функционировании защищенного межсетевого взаимодействия по телекоммуникационным каналам передачи данных общего пользования при обмене электронными документами между участниками корпоративной информационной системы [ ] 4 [ актуальность после издания ФСТЭК пр. 58 !? ]

ГОСТ Р Электронная история болезни. Общие положения ГОСТ Р ИСО/ТС Информатизация здоровья. Требования к архитектуре электронного учета здоровья [ 5.4 PRS4, 5.5 MEL5 ] ГОСТ Р ИСО/ТС , Управление полномочиями и контроль доступа. Часть 1 Общие сведения и управление политикой, Часть 2 Формальные модели [ ролевой доступ ] ГОСТ Р ИСО ,2,3, Состав данных на пластиковой карте пациента. Часть 1 Общая структура, Часть 2 Общие объекты, Часть 3 Ограниченные клинические данные, Часть 4 Расширенные клинические данные, Часть 5 (-2010) Идентификационные данные ГОСТ Р ИСО/ТС Инфраструктура с открытым ключом. Часть 1 Структура и общие сведения ГОСТ Р ИСО Цифровые изображения и связь в медицине (DICOM), включая управление документооборотом и данными ГОСТ Р ИСО Сообщения и обмен информацией. Веб-доступ к постоянным объектам DICOM [ есть признак обезличивания ] ISO/TS : 2009 Health informatics. Identification of subject of health care. ISO/TS : 2008 Health informatics. Pseudonymization. prCEN/TR Health informatics. Guidance on patient identification and cross- referencing of identities. 5

Статья 6 Условия обработки персональных данных ( 152-ФЗ) 2. Согласие субъекта ПДн... не требуется в следующих случаях: 1) обработка ПДн осуществляется на основании федерального закона, устанавливающего ее цель, условия получения ПДн и круг субъектов, ПДн которых подлежат обработке, а также определяющего полномочия оператора -> закон "Об обязательном медицинском страховании" !!! 4) обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта персональных данных невозможно = п. 1 ч. 4 ст. 61 Основ... 7) осуществляется обработка ПДн, подлежащих опубликованию в соответствии с федеральными законами... -> общедоступность "профессиональных" данных медработников !? -> право выбора врача Закон "Об обязательном медицинском страховании" 326-ФЗ от г. Глава 10 Организация персонифицированного учета... -> Пр. МЗСР 29н Ст цели персонифицированного учета, участники инф. обмена Ст состав ПДн о застрахованных лицах и оказанной им мед. помощи Ст полис ОМС, Ст порядок выдачи полиса ОМС Ст взаимодействие МО с СМО и ТФОМС, Ст СМО с ТФОМС Ст взаимодействие ПФР, ОИВ, МО и ТФОМС, ст ФСС и ТФОМС 6

{МО} {СМО} оПФР оФСС ФОМС МЗСР ТФ {ТФ др } 11 15, 7? 14 5,6, 7? 9 13 Полис ОУЗ РФ-ЕГИС 7 ЗАГС ОИВс Размещение информации на сайтах !! 2 5,8, 7? 14 {А}{А} Рецепт, дВУТ оСЗН Льготы 16 Территориально-производственная Территориальная модель ОМС доступ ФУО, УО : УЭК ?! {Р}{Р} 18 14,17 20? Р = работодатель, А = аптека {ЮЛ} Портал Э-услуг СНИЛС ИНН ? ИЭМК ? СМР ? Территориально-участковая модель & право выбора МО ПЦ-модель сбора, накопления и использования МДн "Регистр населения" "Реестр случаев" обращения за медицинской помощью Схема обмена данными Не выбравшие МО !? Обмен ЭД : 442-р от

Статья 8. Соблюдение врачебной тайны 4. Предоставление сведений... БЕЗ согласия... допускается : 1) в целях... лечения... не способного... выразить свою волю 2) при угрозе распространения инфекционных заболеваний... 3) по запросу органов дознания и следствия, и суда... 4) в случае оказания помощи несовершеннолетнему для информирования его родителей... 5) в целях информирования ОВД... 6) в целях проведения военно-врачебной экспертизы... 7) в целях расследования несчастного случая на производстве... 8) при обмене информацией в медицинских ИС и в медицинских организациях в целях оказания медицинской помощи с учетом требований законодательства РФ о персональных данных 9) при осуществлении контроля в системе обязательного социального страхования -> проверка документов ВУТ 10) при осуществлении государственного контроля качества и безопасности медицинской деятельности... -> доступ к ЭМК [ проект закона "Об основах охраны здоровья..." ] Возможность анонимного лечения за плату [ ст. 78 проекта ] 8 Надо дать определение МИС !!

Проблемы, вопросы, акценты определить (конкретизировать) в законе состав общедоступных персонифицированных сведений о медицинских работниках ("профессиональные" ПДн) определить в законе состав данных о субъектах обработки (доступа) ПДн, которые предоставляются субъекту ПДн по его запросу (по ст. 14) право пациента знать об аутсорсере, обрабатывающем его ПДн + регистрация аутсорсера в качестве оператора ПДн (ст. 14) определить в законе понятие псевдонимизации персональных (персонифицированных) данных, определить статус псевдонимизированных данных как неконфиденциальных (общедоступных), установить требования к процедурам псевдонимизации и обратной персонификации "удаленная регистратура" без аутентификации личности пациента нормативно-методическое обеспечение функционирования и аттестации федеративных распределенных и "облачных" систем перечень ИР, единый каталог пользователей ЕГИСЗ [ п. 8 Концепции ] 9

26 мая 2011 г. -- заседание РГ РАМН по ИТ -- Основные принципы реализации Концепции информатизации здравоохранения РФ на региональном и муниципальном уровнях, СПАСИБО ! Столбов Андрей Павлович +7(495)