Форум / Методические материалы / Обсуждение Требований к медицинской информационной системе

Требования к МИС вопросы защиты информации в МИС
Литвинов Михаил, Калининградская область, ОУЗ, Пользователь, Калининградская область, 76 месяцев назад

В разделе 2.3 Нормативно-правовые акты в области защиты информации необходимо ссылаться на приказ ФСТЭК 2013 года № 17, а не на приказ № 21, так как ЕГИСЗ относится к государственным информационным системам.

Ссылки на Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости, которые были утверждены 23.12.2009, а также ссылки на Методические рекомендации по составлению Частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных учреждений здравоохранения, социальной сферы, труда и занятости, неправомерны.

Вышеуказанные Методические рекомендации были разработаны под приказ ФСТЭК № 58, который был отменен приказом ФСТЭК 2013 года № 21.

Согласие на обработку персональных данных в настоящее время в соответствии с Федеральным законом № 152-ФЗ не требуется, за исключением случаев оказания медицинской помощи по ДМС или при оказании платных медицинских услуг. Поэтому целесообразно из обязательных требований 8.1.1 Подсистема «Регистратура амбулаторно-поликлинической организации» перенести печать согласия на обработку ПДн в рекомендации. Аналогично по пункту 8.1.2. Аналогичную фразу надо убрать из раздела 16.

Стрыгин Андрей, Орловская область, ОУЗ, 73 месяца назад
Сообщение от Казаков Алексей, Орловская область, ОУЗ, Пользователь, Орловская область, 73 месяца назад

Постановлением Правительства № 211 от 21 марта 2012 г к нам не относится, т.к. мы не проходим по 6 статье 152ФЗ. У нас (в здравоохранении) с ПД должны работать медработники на целей исполнения своих должностных обязанностей. И соответственно на их уровне должно произойти обезличивание ПД. Не плохо бы увидеть такие формулировки в требованиях к МИС уровня ЛПУ (там им самое место).

Казаков Алексей, Орловская область, ОУЗ, Пользователь, Орловская область, 73 месяца назад
Сообщение от Модератор Портала, г.Москва, Пользователь, 74 месяца назад

БУЗ ОО "МИАЦ"… В соответствии с 7-ФЗ "О некоммерческих организациях" бюджетное учреждение относится либо к государственным, либо к муниципальным, но наши работники не относятся ни к гос, ни к муниципальным служащим. Я думаю, такая практика применяется из-за того, что регион наш дотационный и подавляющее большинство работающего населения занято именно в бюджетной сфере, а так как Правительством РФ и руководством Федерального уровня постоянно выдвигаются требования о сокращении штата государственных и муниципальных служащих, то дабы не гневить высокое начальство и имеем такое положение дел: учреждения государственные, а служащие в них – нет.

Модератор Портала, г.Москва, Пользователь, 74 месяца назад
Сообщение от Казаков Алексей, Орловская область, ОУЗ, Пользователь, Орловская область, 75 месяцев назад

Алексей, какая организация является оператором персональных данных в вашем регионе? Это государственный или муниципальный орган?

Стрыгин Андрей, Орловская область, ОУЗ, 75 месяцев назад

В ветке Уральского округа "Абрак Андраникович, полностью поддерживаю Ваши предложения. Не согласен с Модератором. Министерство ДОЛЖНО глубже погружаться в проблемы. От себя хочу добавить несколько предложений.

- Мы находимся на закрытой площадке (о чем я и говорил, когда просил её организовать). Предлагаю обсудить ОПЫТ реализации различных решений (начистоту, без галочки).

- У меня, да и у многих коллег, есть видение решения вопросов информатизации здравоохранения в общем, а своих регионов тем паче. Предлагаю обменяться мнениями (ресурс надеюсь закрытый).

- По общей организации (единой государственной информационной системы здравоохранения) хорош опыт Минэконома (СМЭВ). Я считаю, для нас он очень хорошо подойдет."

Казаков Алексей, Орловская область, ОУЗ, Пользователь, Орловская область, 75 месяцев назад

Коллеги! А как вы обходите требования, утвержденные Постановлением Правительства № 211 от 21 марта 2012 г., а именно п.1 пп. "а)" в перечне мер:

"1. Операторы, являющиеся государственными или муниципальными органами, принимают следующие меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами:

а) назначают ответственного за организацию обработки персональных данных в государственном или муниципальном органе из числа государственных или муниципальных служащих (далее - служащие) данного органа;"

Если у оператора нет в штате служащих ни государственных, ни муниципальных?

Казаков Алексей, Орловская область, ОУЗ, Пользователь, Орловская область, 76 месяцев назад

После обезличивания персональные данные перестают быть таковыми. Единственная заминка, что обезличивание ПДн - это тоже обработка. Таким образом если ПДн обезличены "... лицом, профессионально занимающимся медицинской деятельностью...", то дальнейшие действия могут производить и обычные служащие. )

Стрыгин Андрей, Орловская область, ОУЗ, 76 месяцев назад
Сообщение от Казаков Алексей, Орловская область, ОУЗ, Пользователь, Орловская область, 76 месяцев назад

Было-бы неплохо, но к сожалению наши данные попадают во 2 пункт этой статьи. И соответственно без расписок могут обрабатывать медики для целей лечения. Хотя, как я уже писал, врачу не важна фамилия пациента. И если иметь центр авторизации, который будет выдавать код-id пациента для работы с его медицинской картой, а перед выдачей кода проверять ЭЦП врача и регистрировать обращение, то наверно все требования будут соблюдены. Да, совсем забыл, "единая карта" никому не нужна. Это ложная цель.

Казаков Алексей, Орловская область, ОУЗ, Пользователь, Орловская область, 76 месяцев назад
Сообщение от Литвинов Михаил, Калининградская область, ОУЗ, Пользователь, Калининградская область, 76 месяцев назад

Извините, коллеги, я здесь не давно, так что не ругайте если я что-то упущу (все-таки форум и нужен для обсуждения).

Ситуация такова, что согласие пациента на обработку его ПДн нужно, но, если, в случае с вновь обратившимися, этот вопрос можно решить, например вписав согласие в бумажный талон, с которым он идет на прием к врачу, то создать реестр электронных историй болезней (т.е. перевести уже существующие) будет весьма проблематично, ведь пациент может еще очень долгое время не появиться в поликлинике и не подписать свое согласие на обработку ПДн. Например, такая хорошая идея, как нозологические регистры уже реализована (во всяком случае в полном объеме) не будет.

Может быть стоит зайти с другой стороны и обрабатывать данные в соответствии со статьей 6. п.1.пп.4 152-ФЗ: "обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг..."?

Стрыгин Андрей, Орловская область, ОУЗ, 76 месяцев назад
Сообщение от Квашнина Елена, Новосибирская область, ОУЗ, Пользователь, Новосибирская область, 76 месяцев назад

Мы обсуждаем работу по информатизации здравоохранения. В частности уровень ЛПУ. Помимо цитат из 152-ФЗ, Вы высказали свое мнение по реализации этого ФЗ на практике. Я считаю, что нам надо выработать пути реализации МИС с учетом всех законов (в том числе и 152-ФЗ). При практической реализации необходимо предусмотреть защиту информации, которая не позволит случиться описанным Вами случаям (прямой доступ к базам посторонних, использование информации о пациенте не по назначению). Мое предложение: 1) При работе медицинских систем должен использоваться единый центр авторизации (возможно на базе ТФОМС или ЕСИА). 2) Все медицинские системы, имея права на авторизацию пациента (для целей в соответствии с пп 4 и 8 152-ФЗ) и доказав ЭЦП, что это именно они, получают информацию о пациенте и ключ (можно использовать ЕНП). 3) Во всех системах персональные данные заменены ключом (врач лечит не по фамилии). 4) При необходимости врачом получить данные пациента от предыдущих приемов (в т.ч. других ЛПУ), при условии, что это ему необходимо для здоровья пациента, врач формирует запрос с ключом пациента и своей подписью. Системы такого обмена уже достаточно обкатали на СМЭВ.

Гулиев Ядулла, Ярославская область, Эксперт, Пользователь, 76 месяцев назад
Сообщение от Модератор Портала, г.Москва, Пользователь, 76 месяцев назад

Считаю, что это слишком короткий срок для ознакомления, проработки и подачи предложений.

Предлагаю срок сбора предложений продлить.

Вход на Портал осуществляется через ЕСИА (единую систему идентификации и аутентификации). Для того, чтобы посещать Портал в качестве зарегистрированного пользователя (с возможностью обсуждения тем на форуме) необходимо зарегистрироваться на ЕПГУ (Едином Портале Государственных услуг). В качестве логина можно использовать телефон, e-mail или номер СНИЛС. После регистрации (входа) на ЕПГУ, Вы будете обратно перенаправлены на Портал. Вход