Prelucrarea datelor cu caracter personal în instituțiile medicale
Sâmbătă seara, am primit comunicări de la Google despre blocarea Gmail a unui cont cu ocazia „încercări de a OMM.
Această problemă a apărut ieri în timpul unui interviu cu candidatul pentru deputați municipale din zona noastră implicate.
În ciuda faptului că în Legea federală № 276-FZ „cu privire la modificările la Legea federală“ Cu privire la informații.
Unul dintre argumentele tradiționale în favoarea alegerii software-ului intern (și nu numai, și nu numai).
- Bună dimineața, Johann! - Bună dimineața, dle comisar! Ai probleme din nou? - Și cum ...
- Bună dimineața, șefu '! Pentru a vă o delegație ciudat pic. - Bună dimineața, Mary! Și în ceea ce ...
- Bună dimineața, Potapych! - Bună dimineața, porc! Ce sa întâmplat? Ce te-a adus la mine într-o astfel de ...
- Bună dimineața, Johann! - Bună dimineața, Rita! Noi facem bine? - Mă tem că nu. Am fost ieri ...
Venind Era de calcul cuantic va necesita noi tehnologii și abordări pentru a păstra fiabilitatea criptografie ...
Una dintre cele mai presante probleme care trebuie rezolvate astăzi într-o instituție medicală cu utilizarea calculatoarelor, este protecția informațiilor confidențiale. În acest sens, este necesar să se continue luarea în considerare a principalelor aspecte ale organizării prelucrării automate a datelor cu caracter personal (DP), care a fost lansat in articol de profesorul A. Shcherbakov.
Principalele reglementări legale care reglementează cerințele pentru procesele de tratament pentru PD, inclusiv in domeniul ingrijirii sanatatii sunt:
În, operatorul general al PD - instituția medicală, fondul de asigurări obligatorii de asistență medicală (MDC) organizarea de asigurări de sănătate - ar trebui:
4. În poziția „Temei legal de prelucrare. „Furnizarea de informații în conformitate cu alineatele 3 și 4 din partea 2 din articolul 10 din Legea. referințele normative organism teritorial de management al sănătății și Fondul MHI, detalii cu privire la o licență pentru activități medicale. Trebuie remarcat faptul că baza nu în mod explicit orice reguli și cerințe referitoare la dosarele medicale și tratamentul pacienților PD ambele fără și cu utilizarea de echipamente de automatizare (calculatoare). Prin urmare, trimiterile la legea în acest caz, nu sunt date. De asemenea, trebuie subliniat faptul că tratamentul angajaților PD instituției pe baza art. 85-90 din Codul muncii.
5. Poziția „Lista de acțiuni cu date personale. „Se specifică“ prelucrare mixtă - intrare, colectare, sistematizare, acumularea, stocarea, modificarea, eliminarea, utilizarea, transferul rețelei interne ". În cazul în care o instituție de matrice medicală formată din date personalizate pentru transmiterea către organizații externe (.. organizații de asigurări de sănătate, fondul de MLA, informare-analitice Centrul medical (MIATS), etc.), atunci trebuie să specificați modul în care acestea sunt trimise - pe medii de stocare, pentru protejate canalele de comunicare și m. n. în acest caz, poziția „temei legal de prelucrare. „În plus față de documentele enumerate mai sus, ar trebui să conducă, de asemenea, articole de reglementare documente administrative (ordine și m. P.), pe care este transmis datele.
Reamintim că, în cazul unor modificări în informațiile specificate în anunțul, operatorul trebuie, în termen de zece zile lucrătoare, informează organismul autorizat pentru protecția drepturilor PD (partea 6 Art. 22 din Legea) dintre subiecți.
- la solicitarea scrisă a operatorului de a exclude din studiile de registru de aplicare;
- prin decizia instanței de a înceta activitățile operatorului prelucrării datelor cu caracter personal;
- în legătură cu adoptarea organismului autorizat pentru protecția drepturilor subiecților de soluții PD pentru suspendarea sau încetarea tratamentului operatorului PD, efectuat prin încălcarea legii.
consimțământ voluntar scris al pacientului la tratamentul datelor sale personale. Din păcate, procedurile curente și formele de probe documentare consimțământului pacientului la prelucrarea și transferul datelor sale personale, precum și procedura de informare cu privire la scopurile și metodele de tratament a persoanelor care au acces la acestea, la nivel federal și departamentale nu a fost încă stabilită și nu este reglementat. Prin urmare, vom da câteva explicații și recomandări.
O probă de consimțământul pacientului, preparat în conformitate cu cerințele articolului 9 din lege, așa cum se aplică instituțiilor medicale care lucrează în sistemul CHI este prezentat în bara laterală (consimțământ similar pentru un copil cu vârsta sub 15 ani este dată de un părinte sau tutore). Instalația trebuie să stabilească de contabilitate și de stocare a acestor documente prezentate ca dovadă a pacienților PD legitimitate de prelucrare (partea 3 linguri. Legea 9). În acordul scris ambulatoriu, este recomandabil să se înregistreze prima dată când un card de înregistrare pacient și ambulatoriu, în spitale - pentru fiecare caz de spitalizare ca o linie în istorie. Reamintim că, în conformitate cu art. 61, prin prevederea (de exemplu, transferul unui cerc strict definit de persoane) informații cu privire la starea de sănătate a pacientului personalizate, fără consimțământul său, în următoarele cazuri:
- în scopul examinării și tratamentul acestuia, în cazul în care nu este în măsură să din cauza stării sale să-și exprime propria sa voință;
- sub amenințarea bolilor infecțioase, intoxicații și leziuni în masă;
- la cererea organelor de anchetă, de anchetă și judecată;
- atunci când asistarea unui minor sub vârsta de 15 de ani pentru a informa părinții sau reprezentanții legali;
- în cazul în care există motive să se creadă că prejudiciul suferit ca urmare a unor activități ilegale;
- în vederea efectuării analizei militare medicale.
Prelucrarea datelor cu caracter personal în instituțiile medicale ar trebui să fie efectuate cu măsurile necesare pentru a asigura confidențialitatea informațiilor și protecția împotriva accesului neautorizat.
Protejarea informațiilor confidențiale. Să ne amintim că protecția informațiilor - este un complex de măsuri organizatorice și tehnice menite să prevină accesul neautorizat la date și documente, pierderea și denaturarea acestora. Organizarea și menține securitatea informațiilor (IS) necesită resurse semnificative. De exemplu, în instituțiile financiare și de credit cu privire la costurile de protecție a datelor reprezintă aproximativ 20% din cheltuielile totale de IT.
Lucrările la organizarea securității informațiilor, inclusiv protecția PD, ar trebui să fie o parte integrantă a unui proiect pentru a stabili sau modernizarea IC (p. 4 din Regulament), și trebuie să fie într-o etapă sau contract separat. In general, acestea constau în trei faze:
- faza de pre-proiectare - screening si identificarea clasei IP, metoda și compoziția mijloacelor de protecție a informațiilor predeterminate (GIS);
- faza de proiectare - să elaboreze specificații tehnice pentru stabilirea unui sistem global de securitate a informațiilor, inclusiv construirea unui model de amenințări de securitate la informații confidențiale, tehnice și proiectarea detaliată a sistemului;
- punerea în funcțiune - achiziționarea de GIS certificate, instalarea acestora, instruirea, publicarea documentelor organizatorice și administrative de admitere a personalului și a reglementărilor privind gestionarea informațiilor confidențiale, atribuirea responsabilității, organizarea controlului, audit, etc., precum și de certificare a sistemului pentru conformitatea cu procesarea cerințelor de securitate de confidențialitate .. informații.
În conformitate cu cele de mai sus organizațiile de sănătate circuite integrate documente care prelucrează date cu caracter personal privind starea de sănătate a pacienților trebuie să fie atribuite următoarele clase:
În conformitate cu documentele enumerate mai sus, sunt necesare operatorilor de sisteme de informare 1G și K1 clase:
a) pentru a obține o licență FSTEC de protecție tehnică a informațiilor (durata - cinci ani);
b) să efectueze toate măsurile necesare pentru a asigura protecția informațiilor pentru aceste clase de sisteme informatice;
c) să efectueze teste de certificare pentru cerințele ICS FSTEC.
În plus, atunci când este utilizat în stabilirea protecției criptografice a informațiilor poate fi necesară pentru a obține o licență FSB (a se vedea. Op. Articolul). Rețineți că, în toate cazurile, instalarea mijloacelor de IP PD certificate de protecție criptografică a informațiilor ar trebui să fie organizația cu licența FSB.
Certificarea CE se realizează cu implicarea organizației auditorului extern, care are corespunzătoare FSTEC certificat de acreditare. În cazul în care testul arată că protecția sistemului PoA IP îndeplinește cerințele, certificatul de conformitate este eliberat (de trei ani). Cu procedura de obținere a unei licențe de protecție tehnică a informațiilor de certificare IC și lista organizațiilor autorizate să efectueze teste de certificare sunt disponibile pe site-ul FSTEC (www.fstec.ru).
La organizarea proceselor de muncă în instituție ar trebui să depună eforturi pentru cea mai mare reducere posibilă a listei angajaților care au acces la pacienții cu PD. Șeful instituției trebuie să aprobe lista funcționarilor admiși la prelucrarea datelor cu caracter personal în sistemul informațional. Ordinea de acces la informații confidențiale și PD stocate în bazele de date de date IP ar trebui să fie stabilite de regulamentele respective și fișele de post.
O probă de acordul scris al pacientului la prelucrarea datelor sale personale
prelucrarea datelor cu caracter personal
Oferă operatorilor cu dreptul de a efectua toate acțiunile (operațiile) cu datele mele personale, inclusiv colectarea, sistematizarea, acumularea, stocarea, actualizarea, modificarea, utilizarea, depersonalizare, blocarea, distrugerea. Operatorul are dreptul de a prelucra datele mele personale, făcându-le într-o bază de date electronică, includerea în listele (registrele) și formularele de raportare prevăzute documente care reglementează raportarea datelor (documentelor) CHI (contract de LCA).
Operatorul are dreptul, în conformitate cu obligațiile care îi revin în temeiul sistemului CHI (LCA sub contract), pentru a face schimb (transmite și primi) datele mele personale cu compania de asigurări de sănătate <название> și fond teritorial CHI folosind medii de calculator sau canale de comunicare pentru a îndeplini măsuri care să asigure protecția acestora împotriva accesului neautorizat, cu condiția ca recepția și procesarea acestora va fi efectuată de către o persoană care este obligată să păstreze confidențialitatea.
Perioada de valabilitate a datelor mele personale corespunde perioadei de păstrare a documentelor medicale primare (carte medicală) și este <двадцать пять лет>.
Transferul de date cu caracter personal către alte persoane sau că divulgarea lor poate fi efectuată numai cu acordul meu scris.
Acest consimțământ este dat pentru mine <дата> și este valabilă pe termen nelimitat.
În cazul notificării mele scrise de revocare a consimțământului la prelucrarea datelor cu caracter personal Operatorul este obligat să oprească tratamentul lor în perioada de timp necesară pentru a finaliza așezările de plată prestate-mi pasă.
__________ Semnătura obiectul datelor cu caracter personal
1 Anterior, pentru a schimba structura organelor federale ale puterii executive, autoritatea competentă pentru a proteja drepturile persoanelor vizate PD a fost Rossvyazokhrankultura. Forma de notificare pentru anul de trei ori a schimbat ordinele sale de la 11.01.08, № 3 din 28.03.08, № 153 și de la 13.05.08, numărul 340.
Sarcina principală a depozitării - perfecte onorare a comenzilor. Modulul de control al inventarului, care este o parte a soluției pentru planificarea resurselor întreprinderii (ERP), rezolvă această problemă într-un depozite foarte mici și mici.
Economia digitală a schimbat toate aspectele legate de afaceri. Clienții sunt din ce în ce mai exigente, tehnologia este în continuă evoluție, și de departamentele IT se așteaptă o mai mare adaptabilitate și receptivitate decât înainte.
Într-o eră a mobilității și norul este nu numai cu privire la furnizarea în timp util a cererilor, ci și pe simplificarea proceselor, accelerarea punerii în aplicare a sarcinilor de lucru.
La sfârșitul lunii mai, Xerox a introdus pe piață 29 noi imprimante pentru mici, mijlocii ...
La un moment în care datele devine un activ valoros pentru mediul de afaceri, protejându-l transformă într-una dintre cele mai importante sarcini. Produsele companiei permit Veritas să o rezolve în mod eficient în orice, sistemele de informații pentru clienți de configurare.