Защита данных пациента - это огромный пласт информации и обязательных требований для медицинских центров. В статье подробно остановились на том, какие есть основные нормативные требования по защите персональных данных для клиники, с какими основными проблемами сталкиваются клиники при проверке со стороны контролирующих органов, как избежать замечаний со стороны проверяющих органов, какие существуют варианты для взаимодействия с ЕГИСЗ и типовые схемы построения защиты информации.
Что такое персональные данные
Закон о персональных данных вступил в силу с 2006 года и многие организации уже сталкивались с контролирующими органами по вопросам выполнения требований законодательства. Персональные данные - это информация которая относится к тому или иному субъекту персональных данных, физическому лицу. Это может быть имя, адрес электронной почты, номер телефона, адрес проживания, паспортные данные данные, СНИЛС, полис страхования и так далее.
Какие органы осуществляют контроль исполнения ФЗ-152
Основным контролирующим органом в сфере обработки персональных данных является Роскомнадзор, он контролирует деятельность операторов персональных данных. Помимо этого, другими контролирующими органами являются Федеральная служба по техническому и экспортному контролю (ФСТЭК) и Федеральная Служба Безопасности (ФСБ). Роскомнадзор в целом контролирует полное соблюдение законодательства о персональных данных, трансграничную передачу данных, ФСБ отвечает за эксплуатацию средств криптографической защиты информации, а ФСТЭК - за техническую защиту информации. И все эти контролеры могут прийти к оператору персональных данных и начать проверку.
Если вы подавали уведомление об обработке персональных данных и указывали, что используете средства криптозащиты, то вы потенциально попадаете под проверку ФСБ.
Как клинике выполнить требования по защите персональных данных пациентов
Чтобы клинике соответствовать требованиям ФЗ-152, необходимо следовать четкому порядку действий:
- Провести аудит информационной системы. Нужно понять, где обрабатываются персональные данные, на каких компьютерах, на каких серверах, в каком виде.
- После этого определить угрозы безопасности персональных данных. Если у вас большая информационная система, нужно разработать технические параметры системы защиты информации (приказы, инструкции, журналы). Всё это требуется в соответствии с Законодательством, а грамотное ведение документации проверяет Роскомнадзор.
- Следующим шагом необходимо определить технические мероприятия по защите информации и провести аттестацию информационной системы по требованиям безопасности информации.
При этом чтобы выполнить весь блок мероприятий, необходимо очень четко понимать, какие нормативно-правовые акты к вам в целом применимы, какие требования законодательства вы должны выполнять.
Медицинская организация обязана выполнять целый ряд требований законодательства ФЗ-152, приказ ФСТЭК № 21, приказ ФСБ №378, который определяет меры по криптографической защите информации. Но помимо этого есть множество документов от Минздрава, которые медицинские организации должны соблюдать, в частности методические рекомендации по организации взаимодействия частных медорганизаций с ЕГИСЗ.
Свежие изменения в ФЗ-152
Законодательство о персональных данных постоянно меняется, несмотря на то, что сам закон вышел в 2006 году, в него регулярно вносятся новые требования. С осени 2022 года вступили свежие изменения:
- Ужесточены требования к трансграничной передаче персональных данных, то есть к обмену персональными данными пациентов и сотрудников с другими государствами.
- Появилась обязанность передавать информацию об инцидентах, связанных с персональными данными в Государственную систему обнаружения предотвращения компьютерных атак (ГосСОПКА). О каких инцидентах нужно будет передавать информацию: сканирование ресурсов, нахождение запрещенного контента, попытки эксплуатации взаимности, попытки несанкционированного доступа, DoS/DDoS атаки.
- Активно обсуждается ужесточение штрафов, в том числе введение оборотного штрафа до 1% от годового оборота за утечки персональных данных.
Варианты подключения клиники к ЕГИСЗ
Но помимо соблюдения ФЗ-152 медицинские организации должны обеспечивать взаимодействие с Единой государственной информационной системой в сфере здравоохранения (ФЗ-323 и Постановление правительства 555). Для медицинских организаций предусмотрено три варианта подключения к ЕГИСЗ.
- Наиболее простой вариант для реализации взаимодействия с ЕГИСЗ через государственную информационную систему. В каждом регионе существует региональная информационная медицинская система (РМИС), с помощью которой осуществляется подключение к ЕГИСЗ, а данные передаются по защищенной сети. В этом случае необходимо взаимодействие с местным медицинским информационно-аналитический центром (МИАЦ), который выдает требования для подключения. В данном варианте вы не отвечаете за саму систему. При этом вы обязаны выполнять требования, которые выставляет местный оператор, он же отвечает за саму РМИС.
- Взаимодействие через иные информационные системы (ИИС). Частная клиника заключает соглашение с аттестованным ФСТЭК облачным оператором из реестра иных информационных систем (ИИС), подключенных к ЕГИСЗ. В этом случае обязанность оператора обеспечить защищенный канал передачи данных до ЕГИСЗ. Клиника в очередь должна обеспечить передачу данных в облачную информационную систему. Такой вариант с точки зрения требований наиболее лояльный, так как оператор коммерческий, то и количество требований выдвигаемых к системе клиники будет минимально.
- Взаимодействие напрямую через медицинскую систему клиники. Чаще применим к медцентрам, которые могут взаимодействовать с ЕГИСЗ напрямую путем организации защищенных каналов передачи данных. В этом случае, существует ряд требований к обеспечению безопасности информации, и нагрузка по их выполнению ложится полностью на медицинскую организацию.
Какие требования по защите информации должна выполнять клиника с точки зрения законодательства
Во-первых надо выполнять требования по защите информационных систем это приказ ФСТЭК №17 и приказ правительства 911н. Сама медицинская информационная система должна иметь подтверждение соответствия требованиям безопасности. Это может быть либо оценка эффективности, либо аттестация информационной системы. Кроме того, средства защиты информации, в том числе средства криптографической защиты информации должны обязательно быть сертифицированы. И помимо этого надо выполнять требование 187 Федерального закона.
Основные меры по защите информации, которые необходимо обеспечить медцентру:
- Требования по идентификации и аутентификации
- Защита машинных носителей информации
- Регистрация событий безопасности
- Антивирусная защита
- Анализ защищенности персональных данных
- Защита среды виртуализации
- Защита технических средств
Исходя из этого появляется блок средств защиты информации, которые должны быть внедрены в клинике:
- Средства защиты от несанкционированного доступа
- Средства антивирусной защиты информации
- Сканеры уязвимостей
- Средства защиты среды визуализации
- Межсетевые экраны
- Средства криптографической защиты информации
Формы контроля Роскомнадзора
Новое мероприятие, которое появилось у Роскомнадзора - это систематическое наблюдение. Данная проверка проводится без уведомления и в удалённом формате. Единственный способ узнать - посмотреть план мероприятий по отраслям деятельности операторов персональных данных на сайте роскомнадзора. Например, на сайте написано, что в марте проверяем медцентры, в апреле - операторов сотовой связи, в мае - оператор интернет. Таким образом под проверку попадают именно те операторы, которые находятся в реестре и осуществляют обработку персональных данных. Главным образом проверяется сайт на наличие форм согласия, пользовательского соглашения и политики обработки персональных данных.
Плановая проверка проводится в выездном формате по конкретным организациям, которым заранее будет прислано уведомление. Данная проверка предполагает контроль внутренних документов и документов, содержащих персональные данные.
Внеплановая проверка. Формат и объекты проверки такие же как в плановой, единственное отличие, что основанием для проверки может являться обращение граждан, например, по факту утечки персональных данных.
Как снизить риски штрафов и избежать наказаний
В первую очередь - правильный сбор персональных данных, то есть не надо собирать избыточные персональные данные, если они не нужны для обработки.
Поддержание уведомлений в актуальном состоянии. Важно понимать, что вообще любая работа по защите информации при обработке персональных данных - процесс, поэтому не забывайте актуализировать уведомления, которые отправляете в Роскомнадзор.
Также на сайте должна быть опубликована политика обработки персональных данных, хотя бы минимально адаптированная под медицинскую организацию, а не просто шаблон, скачанный с интернета.
Часто клиники размещают на сайте персональные данные своих сотрудников. В связи со свежими изменениями в законодательстве это считается распространением персональных данных и на публикацию личной информации персонала на сайте нужно получать отдельное разрешение. Не забывайте этот момент.
За что еще могут наказать?
Статья 19.7 КоАП. Непредоставление или несвоевременное предоставление сведений органу, осуществляющему государственный надзор. Штраф 3000-5000 руб.
Статья 19.5 КоАП. Невыполнение в срок законного предписания органа, осуществляющего государственный надзор. Штраф 10000-20000 руб.
Типовые нарушения операторов персональных данных
- Отсутствие пунктов о конфиденциальности в договорах с субъектами и третьими лицами
- Отсутствие пунктов о получении согласия на передачу персональных данных в договорах ДМС и аналогичных с организациями
- Согласие субъекта персональных данных не соответствует ФЗ-152
- Состав персональных данных, не соответствует целям
- Несоответствие данных, указанных в уведомлении, действительности
- Создание своих форм документов без приведения их в соответствие с ПП-687
- Сбор избыточной информации с работников при трудоустройстве
- Несоблюдение правил хранения и уничтожения персональных данных
Как минимизировать затраты на создание средств защиты персональных данных пациентов клиники
Самое главное - это четкое понимание инфраструктуры, что надо защищать.
Если система большая, то необходимо обязательно произвести проектирование, то есть заранее понять какими средствами вы будете защищать информацию, как лучше выстроить систему защиты информации.
Использование встроенных механизмов защиты, например, 1С. Очень часто наложенные средства защиты информации для баз данных стоят дороже, чем, например, сама сертифицированная СУБД, и по возможности применение средств защиты информации с централизованным управлением. Это позволяет снизить затраты как при закупке, так и при последующем администрировании.
Как реализована защита персональных данных пациентов в БИТ.УМЦ
Медицинская информационная система БИТ.Управление медицинским центром написана на базе 1С. Как только мы говорим о медицинской информационной системе, мы говорим о защите персональных данных пациентов, поскольку нас есть обмен и с ЕГИСЗ, и мы храним персональные данные наших сотрудников и пациентов. Поэтому в любом случае мы сразу же возвращаемся к тому, что защита персональных данных должна и обязана быть. В любой информационной системе на базе 1С бухгалтерия, зарплата, управление медицинским центром есть пользователи.
Но в любом случае, наверное, самый правильный вариант - это иметь защищенную платформу z. У неё достаточно небольшая стоимость. К сожалению, она очень мало получила распространение в Российской Федерации, возможно потому что у нас суровость закона нивелируется необязательностью его исполнения. Это не просто платформа, которая имеет все те же возможности что и обычно платформа 1С. Она сертифицирована ФСТЭК для защиты данных не имеющих секретности, она обладает определенными контурами защиты, но ещё она обладает и определенными возможностями, которые даются пользователю. Т.е. можно посмотреть с какими персональными данными работал пользователь, можем настроить регламентное задание, которое раз в какой-то период если к нам не обращается пользователь позволит нам удалять персональные данные наших клиентов. Это вообще такой набор инструментов, которые сильно увеличивает возможности по разграничения прав доступа. Это недорогое, но очень эффективное средство.
Меры по защите информации - это огромный комплекс мер, разговор с пользователями, отсутствие паролей на мониторе, заведение паролей в информационной базе, определенные технические средства защитой, это понимание о том, как должны храниться данные, кто должен иметь права доступа к этим данным. Защита персональных данных - это форма мышления, которая начинается с каждого из нас с каждого сотрудника компании. Постарайтесь максимально найти все средства, которые вы можете использовать, чтобы защитить себя и данные своих пользователей и пациентов.
Подробнее узнать о том, как клинике выполнить требования по защите персональных данных пациентов можно из видео: