Сколько стоят персональные данные?

10071

Необходимость соответствовать вступающим в следующем году в силу требованиям закона «О персональных данных» вызывает у руководителей ЛПУ и других учреждений сферы здравоохранения массу вопросов. И прежде всего — что делать и где взять деньги? О проблемах защиты информации и вариантах их решения рассказал заместитель директора МИАЦ РАМН, профессор Андрей СТОЛБОВ.

 — Андрей Павлович, с 1 января следующего года в полном объеме вступает в силу ФЗ №152, в котором прописаны требования, касающиеся защиты персональных данных. Что это будет означать для ЛПУ?

 — Начну с того, что в требованиях конфиденциальности информации о состоянии здоровья и необходимости согласия пациента на ее передачу кому-либо, в том числе и другому медработнику, нет ничего нового. В статье «Основ законодательства об охране здоровья...», определяющей понятие врачебной тайны, об этом явно сказано. Закон «О персональных данных» лишь расширил и конкретизировал права граждан — субъектов персональных данных, а также обязанности учреждений — операторов персональных данных. Подзаконными актами, изданными во исполнение требований этого закона, конкретизированы требования к мерам защиты ПД при автоматизированной обработке. Эти меры лишь немногим «не дотягивают» до защиты гостайны. То есть организация защиты ПД в медучреждениях требует привлечения профессионалов и использования специальных программно-технических средств, что очень и очень затратно. В ряде регионов уже прошли проверки соответствия медицинских информационных систем (МИС) этим требованиям, выписаны предписания на устранение выявленных недостатков. Но дело в том, что методические документы по защите конфиденциальной информации в медучреждениях, которые разрабатываются по заказу Мин­здравсоцразвития РФ, будут готовы только в первой половине декабря, и выполнить их к началу 2010 года практически невозможно, в том числе и потому, что средства на это в бюджетах учреждений предусмотрены не были.

 — Каков может быть порядок затрат?

 — Сказать, сколько нужно лечебному учреждению в целом, достаточно сложно, но можно говорить о затратах на оборудование одного компьютеризированного рабочего места, на котором обрабатываются персональные данные. С учетом затрат на покупку и установку сертифицированных программных средств защиты информации (они могут устанавливаться только организациями-лицензиатами ФСТЭК и ФСБ, лицензированными специалистами), консалтинговые услуги, обучение персонала понадобится порядка 20 тыс. рублей. Это не считая общих затрат по медучреждению, например, на межсетевые экраны, если локальная сеть подключена к Интернету. Стоимость такого экрана с установкой и техподдержкой в течение года около 200 тыс. рублей. Что касается консалтинговых услуг и стоимости проведения сертификационных испытаний локальной сети из 30—50 компьютеров, компактно размещенной в одном здании, то она составляет от 400 до 600 тыс. рублей. Надо также учесть затраты, например, на контрольные мероприятия и аудит безопасности информации. Замечу, что в ходе подготовки к сертификации и аттестации системы надо разработать и издать около 40 организационно-распорядительных документов.

 — Можно эту работу отдать на аутсорсинг?

 — Возможно привлечение специалистов по защите информации в режиме аутстаффинга или договору аутсорсинга. Но сегодня профессионалов в этой области очень мало и стоят они очень недешево.

 — Не могли бы вы назвать ключевые организационно-технические сложности, возникающие перед медучреждениями в связи с необходимостью защиты персональных данных?

 — Во-первых, в медучреждении необходимо наладить работу по оформлению, учету и хранению письменных согласий пациентов на обработку их персональных данных. В нашем программном комплексе, например, предусмотрена распечатка согласия с уже заполненными реквизитами пациента, которое ему остается только подписать. Но сегодня не решена проблема получения согласий теми операторами ПД, которые непосредственно не работают с пациентом. Это, например, МИАЦы, которые во многих регионах ведут территориально-популяционные регистры. Аналогичная ситуация и в фондах ОМС, которые получают файлы с персональными данными от страховых компаний и медицинских организаций. Как им получить разрешение от человека? Процедура и логистика сбора этих разрешений сегодня не регламентирована ни одним нормативным документом.
 Но главное, повторюсь, средств на это нет. Как выяснилось из бесед с коллегами, подавляющая часть средств на ИТ в бюджетах медицинских учреждений на 2010 год направлена именно на мероприятия по защите информации. При этом средства на остальные направления, в частности на оснащение программными средствами поддержки лечебно-диагностического процесса, практически не выделены.

 — Есть ли возможность вывести из-под действия ФЗ 152 медицинские информационные системы?

 — Сегодня нет. В законе ФЗ 152 записано, что его действие распространяется на все информационные системы за исключением тех, которые регулируются специальными законами. В здравоохранении сегодня у нас таких законов нет. Поэтому вывести МИС из-под действия ФЗ 152 сейчас никак нельзя. Это можно сделать только, опять же, на уровне федерального закона.
 В соответствии с требованиями ФЗ №152 организация здравоохранения (оператор персональных данных (ПД) должна:
• оформить акт об отнесении информационной системы обработки ПД к классу К1;
• зарегистрироваться в качестве оператора ПД, направив уведомление в Роскомнадзор;
• организовать получение, учет и хранение письменного согласия пациента на обработку его ПД;
• организовать информирование пациентов по их запросам о способах и сроках обработки их ПД, лицах, имеющих к ним доступ, а также об обработке их ПД, полученных от третьих лиц;
• организовать и поддерживать систему защиты конфиденциальной информации от несанкционированного доступа. Источник: доклад «Защита персональных данных и медицинских ИС», профессор Столбов А.П., МИАЦ РАМН, Москва, 15 сентября 2009 г. http://www.intersystems.ru/symposium09/stolbov_iss2009.pps

 Сегодня для снижения затрат на обработку ПД в медучреждениях можно и нужно, по моему мнению, сделать следующее. Первое, отказаться от требования получения учреждением лицензий ФСТЭК.Достаточно, чтобы установка сертифицированных средств защиты осуществлялась организацией-лицензиатом ФСТЭК. По аналогии с процедурой использования сертифицированных ФСБ средств криптозащиты. Второе, не нужно использовать специальные средства защиты от утечки через побочные излучения и наводки, а также генераторы акустического шума, это явный «перегиб». Третье, шифрование персональных данных надо осуществлять только тогда, когда они передаются за пределы защищенного «периметра» сети, по каналам связи или на внешних носителях. Предполагается, что защита «периметра», т.е. входа и доступа в систему, осуществляется с помощью сертифицированных средств разграничения и контроля доступа. Замечу, что шифрование баз данных, которое сегодня требуется руководящими документами, снижает быстродействие системы в 5—7 раз.
 Дополнительно к существующим документам надо подготовить и утвердить «Методические рекомендации по классификации и основным мероприятиям по организации и техническому обеспечению безопасности персональных данных в специальных информационных системах, в которых обрабатываются данные о состоянии здоровья» с учетом специфики деятельности государственных и муниципальных учреждений и организаций здравоохранения и системы ОМС. Дело в том, что сегодня классы и соответ­ствующие меры по защите ПД определены только для типовых систем, в которых должна обеспечиваться только конфиденциальность данных. Системы же обработки данных о состоянии здоровья, как специальные, согласно приказу ФСБ, ФСТЭК и Минкомсвязи РФ, должны обеспечивать также целостность (защита от искажений) и(или) постоянную доступность информации, что, естественно, их существенно усложняет и удорожает. Для специальных систем классификация не разработана.
 Однако, по моему мнению, относить МИС к специальным системам излишне, так как это системы со смешанной обработкой данных. А ведь правовой статус электронного медицинского документа у нас сегодня не определен. Врачи не мотивированы на применение электронных медкарт (ЭМК), поскольку приходится вести документы и в электронном, и в бумажном виде, что весьма неудобно и очень затратно. При этом все юридически значимые решения врач принимает на основе бумажных документов, которые, как мы полагаем, всегда доступны. Поэтому требования целостности и доступности в данном случае не являются критичными (естественно, если не ведется юридически значимая ЭМК с электронной подписью).
 Одним из основных принципов построения системы защиты информации как комплекса организационно-технических меро­приятий является требование «равнопрочности». Надо понимать, что основная угроза утечки исходит со стороны инсайдеров — людей, имеющих вполне законный доступ к информации. Нет смысла городить сложную и дорогую систему технической защиты информации, если, например, в холле поликлиники расположен ящик с результатами анализов в бумажном виде — «подходи и бери».
 Нет смысла городить сложную и дорогую систему технической защиты информации, если, например, в холле поликлиники расположен ящик с результатами анализов в бумажном виде — «подходи и бери».  
 Таким образом, смешанная обработка данных в МИС предоставляет нам возможность «поиграть» с требованиями к технической защите информации и снизить затраты на их реализацию. Одним словом, нужен дифференцированный подход. Очевидно, что есть вещи, необходимые в крупном клиническом центре и не актуальные для фельдшерско-акушерского пункта.
 
— Правильно я понимаю, что закон коснется и тех ЛПУ, у которых нет никаких МИСов?

 — Коснется абсолютно всех. В сентябре 2008 года Правительством РФ было принято постановление №687 об особенностях обработки персональных данных без использования средств автоматизации. В нем, в частности, прописаны требования обособления собственно персональных данных от остальных сведений в бумажных формах документов, приведения всех бумажных документов. И это правильно. Но это означает, что всю медицинскую документацию нужно переделывать. Это огромная работа и большие траты. Надо тщательно подумать, насколько это целесообразно сегодня.

 — А зачем вообще потребовался отдельный закон, если вопросы сохранения врачебной тайны прописаны в Основах законодательства об охране здоровья?

 — Началось все с того, что в 2000 году Россия подписала Окинавскую хартию по информационному обществу, потом была ратифицирована европейская конвенция по защите личности при автоматизированном учете персональных данных. Собственно, в русле этих договоренностей и был принят отдельный закон. Тем самым мы приводим наше законодательство в соответ­ствие с международными нормами. Самое большое недоумение вызывает то, что в пояснительной записке к проекту закона было указано, что его принятие не потребует дополнительных трат. Это говорит о некомпетентности и безответственности тех, кто готовил и принимал закон. Экспертное сообщество об обсуждаемых сегодня проблемах предупреждало уже тогда. Но, увы, услышано не было.



Подписка на статьи

Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

Мероприятия

Мероприятия

Повышаем квалификацию

Посмотреть

Самое выгодное предложение

Самое выгодное предложение

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Живое общение с редакцией

А еще...

Интервью

Врачей обяжут сообщать о потенциальных донорах

Врачей обяжут сообщать о потенциальных донорах

Алексей ПИНЧУК: журналу «Здравоохранение». Главные темы беседы – изменение правового поля донорства в России


Рассылка




Наши продукты




















© МЦФЭР, 2006 – 2016. Все права защищены.

Портал zdrav.ru - медицинский портал для медицинских работников. Новости и статьи для главных врачей, медицинских сестер, заместителей главного врача, специалистов по качеству медицинской помощи, заведующих КДЛ, медицинских юристов, экономистов ЛПУ, провизоров и руководителей аптек.

Информация на данном сайте предназначена только для медицинских работников. Ознакомьтесь с соглашением об использовании.
Свидетельство о регистрации средства массовой информации Эл № ФС77-38302 от 30.11.2009


  • Мы в соцсетях
Сайт предназначен для медицинских работников!

Чтобы продолжить чтение статей на портале ZDRAV.RU, пожалуйста, зарегистрируйтесь.
Это займет всего 57 секунд. Для вас будут доступны:

— 9400 статей
— 4000 ответов на вопросы
— 80 видеосеминаров
— множество форм и образцов документов
— бесплатная правовая база
— полезные калькуляторы

Вы также получите подарок — журнал в формате pdf

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Сайт предназначен для медицинских работников!

Чтобы продолжить чтение статей на портале ZDRAV.RU, пожалуйста, зарегистрируйтесь.
Это займет всего 57 секунд. Для вас будут доступны:

— 9400 статей
— 4000 ответов на вопросы
— 80 видеосеминаров
— множество форм и образцов документов
— бесплатная правовая база
— полезные калькуляторы

Вы также получите подарок — pdf- журнал «Здравоохранение»

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
×
Сайт предназначен для медицинских работников!

Чтобы скачать файл на портале ZDRAV.RU, пожалуйста, зарегистрируйтесь.
Это займет всего 57 секунд. Для вас будут доступны:

— 9400 статей
— 4000 ответов на вопросы
— 80 видеосеминаров
— множество форм и образцов документов
— бесплатная правовая база
— полезные калькуляторы

Вы также получите подарок — pdf- журнал «Здравоохранение»

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
×
Сайт предназначен для медицинских работников!

Чтобы скачать файл на портале ZDRAV.RU, пожалуйста, зарегистрируйтесь.
Это займет всего 57 секунд. Для вас будут доступны:

— 9400 статей
— 4000 ответов на вопросы
— 80 видеосеминаров
— множество форм и образцов документов
— бесплатная правовая база
— полезные калькуляторы

Вы также получите подарок — pdf- журнал «Здравоохранение»

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
×