защита персональных данных в ЛУ

Кафедра управления и социологии здравоохранения ФУВ РНИМУ

Псевдонимизация данных – совокупность организационно-технических мероприятий, процедур и действий по присвоению пациенту специального псевдонима (от греч. «pseudo» – ложный и «onyma» - имя) для передачи, сбора, хранения и обработки его медицинских данных, исключающая возможность его несанкционированного сопоставления с конкретным физическим лицом и идентификацию его личности.

Формирование псевдонима и его обратное сопоставление с персональными данными пациента осуществляется с помощью криптографических средств, использование которых жестко регламентировано.

Кафедра управления и социологии здравоохранения ФУВ РНИМУ

Примерами подобных псевдонимизированных БД

могут являться специализированные медицинские регистры: доноров, онкологический, диабетический и т.д., которые ведутся в Великобритании, Германии и Австралии.

Например, в государственной системе здравоохранения Великобритании (NHS) ведение канцер-регистра, а также обмен данными о психиатрической помощи осуществляются в псевдонимизированном виде, что обусловлено требованиями законодательства по защите персональных данных.

Для доступа к псевдонимизированным базам данных в NHS организована специальная служба SUS (Secondary Uses Service), которая формирует и обрабатывает псевдонимы пациентов. Их использование позволяет существенно снизить риски нарушения конфиденциальности данных пациентов и значительно сократить совокупные расходы на администрирование и эксплуатацию единой информационной системы NHS в целом.

Кафедра управления и социологии здравоохранения ФУВ РНИМУ

При утверждении новых учетных форм в МЗ и СР РФ соблюдаются требования Постановления Правительства РФ № 687 от 15.09.2008, согласно которым:

•персональные данные, обрабатываемые на бумажных носителях, должны обособляться от иной информации: путем их представления на отдельных листах, в специальных разделах или в полях форм (бланков) документов (п. 4 этого Постановления);

•в типовых формах документов должно быть предусмотрено поле, в котором субъект ПДн может поставить отметку о своем согласии на обработку его ПДн (подпункт «б» пункта 7).

Примером практической реализации указанных требований может служить учетная форма № 025/у-ВМП «Талон на оказание ВМП» (утверждена Приказом Минздравсоцразвития России от 18.03.2009 № 119 н «Об утверждении и порядке ведения форм статистического учета и отчетности по реализации государственного задания на оказание высокотехнологичной медицинской помощи гражданам РФ за счет ассигнований федерального бюджета».

Кафедра управления и социологии здравоохранения ФУВ РНИМУ

23 декабря 2009 года в МЗ и СР РФ утверждены методические рекомендации

для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости.

Данные рекомендации согласованы ФСТЭК.

Кафедра управления и социологии здравоохранения ФУВ РНИМУ

22 марта 2010 года Департамент здравоохранения города Москвы

Регламент выполнения мероприятий по организации защиты персональных данных в учреждениях здравоохранения города Москвы

Кафедра управления и социологии здравоохранения ФУВ РНИМУ

К 1 июля 2011 года все информационные системы персональных

данных должны быть приведены в соответствие с требованиями закона № 152ФЗ «О персональных данных» от 27.07.2006

(Федеральный закон от 27.12.2009 № 363-ФЗ)

Кафедра управления и социологии здравоохранения ФУВ РНИМУ

Выбор средств защиты информации:

Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия.

П.5 «Положения…» (ПП № 781)».

В настоящее время в составе СЗПДн должны использоваться сертифицированные СЗИ, рекомендованные для защиты ПДн и включенные в Государственный реестр СЗИ (www.fstec.ru).

Кафедра управления и социологии здравоохранения ФУВ РНИМУ

Материал подготовлен с использованием нормативных документов: ФЗ 152, 149, постановлений Правительства РФ № 781, 687, 512 и материалов Булаева М.А. (ЦБИ)