Сегодня, когда в государственных и муниципальных медицинских учреждениях создаются единые информационные системы, обрабатывающие данные пациентов, а в частных клиниках заводятся электронные медицинские карты и наполняются клиентские базы, как никогда остро стоит проблема защиты личной информации пациентов в медицинских учреждениях.
Почему в последнее время вопросам защиты информации о пациентах уделяется так много внимания?
Главная причина любого острого вопроса в нашей стране обычно продиктована законодательными требованиями. Еще в 2006 году был принят Федеральный закон N 152-ФЗ «О персональных данных», обязавший любую организацию и любое учреждение выполнять необходимые требования по организации обработки и защите персональных данных. Не обошел стороной этот закон и медицинские учреждения, в которых помимо общих персональных данных (ФИО, паспортные данные, адрес и т.д.) обрабатываются, так называемые, специальные категории персональных данных - сведения о состоянии здоровья. И по сей день, данный закон вызывает множество споров и разногласий, но с каждым днем все больше организаций и учреждений понимают что они обязаны выполнять его требования.
Кроме того, в Федеральном законе "об основах охраны здоровья граждан в Российской Федерации" есть такой термин как врачебная тайна и установлены требования к медицинским работникам и медицинским учреждениям о её неразглашении. В том числе, это прописано и в клятве врача. Однако эти требования не всегда выполняются. К сожалению, о защите информации у нас принято вспоминать именно после вступления в силу именно каких-либо законодательных требований, либо когда "грянет гром" и факт разглашения уже свершится. У нас еще не сложился необходимый менталитет, когда о защите информации надо думать не "из под палки", а из нормальной повседневной потребности. Особенно важно об этом задуматься именно медицинским учреждениям, так как они обрабатывают информацию о состоянии здоровья и даже об интимной жизни своих пациентов. Ведь с каждым годом пациенты все интенсивней борются за свои права и все чаще мы встречаем судебные дела к медицинским учреждениям из-за халатного отношения к информации пациентов. А с учетом развития судебной системы мы в ближайшем времени можем подойти к резкому увеличению денежных сумм взысканных именно за нарушение морального вреда, причиненного пациентам. Кроме финансовых потерь, такие судебные дела против частных клиник, конечно, могут привести к удару по репутации и оттоку клиентов.
Какие особенности и основные проблемы защиты информации о пациентах в медицинских учреждениях?
Как ни странно, большинство этих проблем весьма банальны. Одна из основных проблем государственных и муниципальных медицинских учреждений, это хранение материальных носителей персональных данных - медицинских карт пациентов и другой медицинской документации в общедоступных местах и без надлежащей защиты. Чаще всего, единственное правильно оборудованное место хранения это регистратура. Там есть условный барьер между регистратором и пациентом, через который довольно сложно проникнуть не привлекая внимания и зачастую хранение в регистратуре соответствует требованиям законодательства. Но дальше начинаются сложности. Часто мы можем встретить медицинские карты на постах медицинских сестер. В большинстве случаев они лежат стопочкой сверху стола или стойки и, фактически, любой может их забрать. Другое частое место хранения это ординаторская. Там тоже карты могут валяться на столах без должного к ним внимания. В одной из больниц мы видели коробки со статистическими картами, которые стоят при входе в больницу. Все это случаи нарушения требований по хранению документов, содержащих персональные данные.
По требованиям законодательства о персональных данных, медицинское учреждение должно исключить возможность несанкционированного доступа, то есть обеспечить безопасное хранение документов, содержащих персональные данные: кабинеты необходимо оборудовать запирающимися шкафами для хранения документов, посты медицинских сестер - запирающимися тумбочками. Нигде нет требований хранить в железных сейфах, достаточно обеспечить самую простую защиту.
Зачастую, даже если с хранением все в порядке, сотрудники учреждения сами могут допускать халатность. Так на моих глазах в одной из поликлиник регистратор дала стопку медицинских книжек на определенную букву и предложила пациенту найти в этой стопке свою книжку самому. Получается что она сама разгласила сведения о нескольких десятках пациентов, не подозревая этого. Или в другой поликлинике был похожий случай, когда я получил результаты диагностики за жену.
Из нестандартных случаев нарушения законодательства,- в одной поликлинике мы столкнулись со списками всех пациентов на проходной. Они висели на стене и в них было указано пофамильно кто в каком отделении сейчас проходит лечение. Главный врач объяснил это тем, что эта информация необходима родственникам и посетителям для быстрого поиска. Конечно это серьезное нарушение. Если вспомнить закон "об основах охраны здоровья граждан в Российской Федерации", то в нем указано что даже факт обращения за медицинской помощью является врачебной тайной. Фактически с легкой руки Главного врача этой поликлиники разглашалась врачебная тайна тысяч пациентов и таких примеров сотни.
Требования по защите информации не очень сложные. Они требуют отлаженного механизма. Мы называем его режимом конфиденциальности. Если режим установлен и отлажен, он не приносит ни больших затрат, ни больших физических усилий. И самое главное, что он помогает защищать пациентов и защищаться руководству медицинского учреждения от возможных проблем.
Что касается создания электронных баз данных пациентов, то здесь, конечно, главная проблема это большие затраты на средства защиты информации. Так как сейчас действует единая государственная политика и эта тема сейчас имеет большое значение, то государство выделяет большие деньги не только на создание электронных баз, но и на их защиту. К сожалению, за такой заботой государства многие медицинские учреждения забывают о собственных базах данных, которые также требуют защиты. Это базы для ведения кадрового и бухгалтерского учета. Отсутствие должного внимания к ним часто приводит к проблемам при проверках.
Другой проблемой в сфере информатизации медицины является отсутствие подготовленного персонала. Почти в каждой больнице есть it-специалист, но почти нигде нет специалистов по технической защите информации. Ведь это разные направления деятельности, но не все это понимают, вешая на своих компьютерщиков часто непосильные задачи. Ведь речь идет не только о поддержании в рабочем состоянии системы защиты информации, но и о разработке необходимых документов. Да и держать такого специалиста в поликлиниках почти невозможно. Это общая проблема всей страны. По самым скромным подсчетам экспертов: нехватка квалифицированного персонала в этой отрасли примерно 70-90 тысяч рабочих мест. И то эта цифра взята из существующих вакансий в тех организациях, кто определился в необходимости такого специалиста. А с учетом потребности всей страны эти цифры в два раза больше. Конечно, здесь на помощь может прийти множество интеграторов - компаний, оказывающих услуги по технической защите информации. Можно отдать указанные работы им на аутсорсинг. Но для медицинских учреждений это большая головная боль связанная с поиском необходимого финансирования и т.п.
А с какими проблемами сталкиваются частные медицинские учреждения?
Частные медицинские учреждения очень осторожно подходят к теме защиты информации. Так как им брать финансирование неоткуда, они сейчас, как и многие другие частные организации в других сферах деятельности, заняли выжидательную позицию. И это понятно: штрафы мизерные (до 10 тысяч рублей), а затраты на выполнение требований закона в разы больше. В этом году должны существенно подняться штрафы (до 300 тысяч рублей), вот тогда и начнется активность.
Из тех случаев, что мы сталкивались с частными медицинскими учреждениями, а это и стоматологии и офтальмологические поликлиники, большой проблемой является база данных клиентов. Многие частные клиники сейчас формируют свои клиентские базы данных, но даже не догадываются что делают это с нарушением. Когда клиент приходит в поликлинику, его данные вносят в базу. Но, согласие именно на это действие не берут. Получается, когда услуга оказана, цель обработки персональных данных достигнута и контактные данных в базе данных частные клиники обрабатывать уже не могут. А что в реальной жизни? Эти данные там хранятся годами.
А какие вообще санкции предусмотрены для медицинских учреждений за невыполнение требований законодательства о защите информации? Кто может прийти проверить?
В сфере защиты информации действуют три контролирующих органа: Федеральная служба безопасности РФ (ФСБ РФ), Федеральная служба по техническому и экспортному контролю РФ (ФСТЭК РФ), и Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций РФ (Роскомнадзор РФ). ФСБ РФ и ФСТЭК РФ регулируют сферу технической защиты информации, а Роскомнадзор РФ является уполномоченным органом по защите прав субъектов персональных данных. Как я уже говорил штрафы сейчас небольшие - до 10 тысяч рублей, но уже несколько лет их хотят существенно поднять и в ближайшем будущем мы это увидим.
Основная проблема в том, что в большинстве своем, руководители медицинских учреждений уверены, что выполнение требований закона состоит из внедрения технических средств защиты информации и подготовки пакета документов. На самом деле этого недостаточно. Этого будет достаточно, если проверяет ФСТЭК РФ или ФСБ РФ. Если придет проверять Роскомнадзор РФ, то их интересует только правовая основа обработки информации. То есть то, на каком основании медицинские учреждения обрабатывают ту или иную информацию и должным ли образом обеспечивается защита. Тогда и всплывет, что ксерокопии паспортов требовать с пациентов нельзя, что списки пациентов на проходной и разбросанные медицинские карты по всей больнице это существенные нарушения. И многое, многое другое.
Другим немаловажным фактором являются жалобы пациентов в суд. Все чаще в России пациенты стремятся взыскать моральный вред за те или иные проступки медицинских учреждений. И не за горами то время, когда пациенты будут более жестко относиться к вопросам защиты своих личных данных. У нас в практике был случай, когда пациент дочитался в законе "о персональных данных", что может потребовать от своей сельской поликлиники ответить на запрос: с какой целью обрабатываются его персональные данные. Представляете лица работников поликлиники, которые об этом законе не слышали? Пациент потом и в Роскомнадзор пожаловался, что ему не ответили на запрос в установленное время, чем наделал очень много шума.
Именно поэтому, заключение договора на подготовку необходимых документов со сторонней организацией не избавит медицинские учреждения от проблем. Интеграторы придут, сделают документы, поставят средства защиты и уйдут. А главный врач останется один на один с множеством вопросов и проблем в будущем. Чтобы этого избежать мы рекомендуем в каждом медицинском учреждении назначить ответственного за защиту информации и заставить этого работника изучить нужное законодательство. А еще лучше, отправить этого работника на обучение по данной теме хоть на несколько дней. Это поможет ему разобраться в перипетиях законодательства.