— Тему защиты информации в медицинских учреждениях можно условно разделить на три основных раздела. Это защита персональных данных, защита врачебной тайны и защита коммерческой тайны. А также по двум основным критериям, таким как защита информации в бюджетном медицинском учреждении и в коммерческом медицинском учреждении. Без преувеличения могу сказать, что любое медучреждение обрабатывает информацию, актуальность и необходимость защиты которой зачастую выясняются после какого-либо инцидента. В итоге, так как речь прежде всего идет о пациентах, цена утечки информации может быть существенной как в материальном выражении — претензии пациента, так и в нематериальном — в ударе по репутации медицинского учреждения и потере постоянных и потенциальных клиентов.
Еще в 2006 году был принят Федеральный закон № 152-ФЗ «О персональных данных», обязавший любую организацию, работающую с персональными данными, выполнять необходимые требования по организации их обработки и защите. И по сей день данный закон вызывает множество споров и разногласий, но с каждым годом все больше организаций и учреждений понимают, что они обязаны выполнять его требования.
— Каковы особенности и основные проблемы организации обработки и защиты персональных данных в медицинских учреждениях?
— Зачастую, если организация или учреждение имеют ярко выраженный отраслевой характер, они заостряют внимание на этом отраслевом моменте обработки персональных данных, забывая, что они еще обрабатывают персональные данные своих работников. При этом выполнить требования закона в отношении своих сотрудников труднее, чем в отношении иных лиц. Это связано с Трудовым кодексом РФ, который в своих положениях установил особенности обработки персональных данных работников, подбросив немало трудностей при их реализации. Так, если работодатель передает персональные данные работников третьим лицам, например в банк по зарплатному проекту или в учебное заведение для направления на повышение квалификации, он должен получить письменное согласие работника на такую передачу. Согласие должно быть конкретным и распространяться на каждый отдельный случай передачи конкретному третьему лицу. То есть недостаточно при приеме на работу составить документ о том, что работник разрешает передачу своих данных любым третьим лицам (как делают почти все организации). Необходимо каждый раз при каждом новом случае передачи брать письменное согласие работника. Другим непростым вопросом для кадровой службы любого оператора персональных данных является состав личного дела сотрудника. Мы привыкли хранить в личном деле работника все подряд: автобиографию, анкету при приеме на работу, ксерокопию паспорта, ксерокопию военного билета, ксерокопию свидетельства о постановке на учет в налоговом органе (ИНН), копию СНИЛС, копию свидетельства о рождении и другие немаловажные документы. При проверках Роскомнадзора инициатива по хранению такого объема информации о наших работниках наказывается. Контролирующий орган исходит из того, что ТК содержит исчерпывающий перечень необходимых при приеме на работу документов! То есть устроился на работу, показал паспорт, данные из него переписали в Т-2 и вернули. Никаких ксерокопий!
— А какие особенности и проблемы существуют при обработке персональных данных пациентов?
— Одна из основных проблем крупных поликлиник — свободное хранение материальных носителей персональных данных (медицинских карт пациентов и другой медицинской документации). По требованиям закона оператор должен обеспечить безопасное хранение документов, содержащих персональные данные. Как правило, помещения необходимо оборудовать запирающимися шкафами для хранения документов. Что касается обработки персональных данных в информационных системах, то здесь, конечно, главная проблема — это большие затраты на средства защиты информации. В частных медучреждениях большой проблемой является база данных клиентов. Во многих учреждениях есть база данных с контактными данными постоянных пациентов. Основная проблема здесь — отсутствие согласия на обработку этих контактных данных. Получается, что услуга оказана, пациент ушел домой, а его данные хранятся годами. Чтобы это делать без нарушения закона, необходимо соответствующее согласие включить в договор с пациентом или взять его отдельно. Согласие на обработку контактной информации может быть в любой форме, но письменное надежнее, а вот согласие на обработку сведений о состоянии здоровья — тут только согласие по форме части 4 статьи 9 закона «О персональных данных». И, конечно, большой проблемой будет получить это согласие с тех, кто уже завершил курс лечения.
— Какой подход при защите персональных данных в медицинских учреждениях использует ваша компания?
— Мы всегда работаем над оптимизацией затрат. Как-то к нам обратилась частная поликлиника с просьбой просчитать затраты на защиту персональных данных. Обычно мы без обследования не даем коммерческих предложений, но их интересовала только стоимость средств защиты для их информационной системы. Изучив структуру сети, мы увидели, что только на одном ПК из нескольких обрабатывались специальные категории персональных данных, а на остальных либо вообще не было персональных данных, либо были персональные данные работников. Обычно наши конкуренты защищают всю сеть по наивысшему — 1-му — классу защиты только из-за такого одного ПК с врачебной тайной. Мы же выделили этот ПК из сети и защитили остальные по 3-му классу, что привело к серьезной экономии средств. Опыт по защите информации, накопленный за 18 лет, помог нам выработать свою стратегию. Любую работу по защите информации мы начинаем с обследования. Очень часто слова заказчика и реальная обстановка отличаются. Так, на одном предприятии нас попросили защитить четыре ПК в бухгалтерии. Заказчик считал, что персональные данные работниками других отделов не обрабатываются. Мы уговорили его запустить анкету. По результатам анкетирования выяснилось, что в организации обрабатывают персональные данные 72 человек. Главное преимущество нашего подхода в том, что мы считаем правовую основу обработки персональных данных базисом для выполнения всех требований закона. Вы можете защитить 100 ПК, а потом выяснить, что не имеете права обрабатывать эти персональные данные, и деньги будут потрачены впустую.
Одно из главных заблуждений всех операторов — это то, что для выполнения требований закона нужно только поставить средства защиты и подготовить комплект документов. Его легко опровергнуть, изучив сайт Роскомнадзора: в ходе проверок Роскомнадзора почти все нарушения вообще не связаны с комплектом документов по защите информации. С большим интересом Роскомнадзор проверяет именно правовую основу обработки: есть ли необходимые фразы в договорах, правильно ли составлено соглашение и, главное, может ли вообще оператор обрабатывать эти данные. С выяснения этих вопросов мы и начинаем работу с клиентами. Дальше уже готовим документы, устанавливаем режим конфиденциальности информации и защищаем ПК.
— Может ли медучреждение самостоятельно защитить персональные данные?
— Многие спорят по этому поводу. Одни считают, что для этого нужна лицензия, другие эту позицию критикуют. Мы исходим из того, что может, но для этого лучше иметь подготовленного специалиста. Притом как в правовых вопросах, так и в технических. С прошлого года мы регулярно проводим консультационные семинары для лиц, ответственных за защиту и организацию обработки персональных данных в своих организациях. Иметь своего специалиста, разбирающегося в законе «О персональных данных», очень важно для любого оператора. Прежде всего потому, что перед субъектами и перед регуляторами отвечать будет именно оператор. Наемная компания выполнит вам все работы и уйдет, оставив заказчика один на один с законодательством, которое постоянно меняется.
344022 г. Ростов-на-Дону,
ул. Станиславского, 167/25, 4-й этаж,
тел.: (863) 263-30-63,
www.centre-expert.ru