Проблемы и решения в защите персональных данных пациентов в стоматологии: требования и практические советы

С 01.03.2023 был изменен подход к обработке персональных данных. Это коснулось способов трансграничной передачи информации, способов защиты от утечки и правил уничтожения. Нормы распространяются на разные сферы деятельности, среди которых оказалась и стоматология. Новые требования к защите персональных данных пациента накладывают некоторые ограничения. С развитием цифровых технологий клиники должны внимательнее следить за сбором и хранением такой информации. Сотрудников требуется научить работать с данными пациента, обеспечить защиту в соответствии с текущими нормами законодательства и Роскомнадзора.

Стоматологиям рекомендовано разработать отдельное Положение о защите предоставляемых данных пациента от несанкционированного доступа, разглашения и хищения. Информация относится к конфиденциальной и обязана охраняться организацией, осуществляющей сбор и хранение. При подготовке Положения нужно руководствоваться Конституцией РФ, нормами ТК, Федерального закона "О персональных данных" от 27.07.2006 N 152-ФЗ, ФЗ-323 от 21 ноября 2011 года и других актов, включая актуальные изменения.

Какие персональные данные пациента нужно защищать?

Согласно действующим правовым актам, сведения о человеке, касающиеся непосредственного рождения и проживания, нуждаются в защите. Фактически же, персональные данные пациентов стоматологических клиник разделяют на две группы:

1. Сведения, которые относятся к врачебной тайне, включающие в себя информацию о состоянии здоровья, результатов исследований и диагнозов.
2. Паспортные данные, сведения о месте проживания, личном телефоне, месте работы.

Стоматологическая клиника обязана соблюдать условия защиты персональных данных пациента. Медицинское учреждение не вправе передавать такие сведения третьим лицам. Но есть ряд ситуаций, когда данные могут быть предоставлены третьим лицам без согласия пациента. К таким сторонним организациям или лицам относятся полиция, сотрудники, занимающиеся контролем оборота наркотиков или ведущие расследования, органы внутренних дел. Но при передаче информации клиника должна потребовать предоставление соответствующих подтверждающих документов. Сведения получают под подпись, составляется акт.

Иногда возникают ситуации, когда информация передается третьему лицу, но при условии, что сведения не подпадают под запрет распространения. Без согласия пациента информация может быть передана в таких ситуациях:

• пациент несовершеннолетний, согласие на передачу данных дают опекуны или родители;
• при оказании срочной помощи, когда больной не может дать согласие из-за общего состояния;
• есть риск массового поражения или распространения инфекции;
• при обмене данными между медицинскими учреждениями и клиниками стоматологии.

Практически все данные, используемые медицинскими учреждениями и касающиеся пациента, относятся к врачебной тайне. Разглашение такой информации может иметь серьезные последствия, например, хакеры часто используют данные для продажи на черном рынке, краже средств с банковских карт, при шантаже и вымогательстве. Учреждение, которое допустило утечку, привлекается к ответственности. По этой причине проблема защиты персональных данных пациента в клиниках стоит остро.

Особенности работы с данными и риски

Часто возникают спорные ситуации и нарушения со стороны сотрудников стоматологий по причине их недостаточной квалификации или незнания базовых законов. Особенностями работы личными данными, касающимися клиентов стоматологии и медицинской информации, являются:

• сведения должны находиться в распоряжении пациента по первому запросу;
• документы обрабатываются оперативно;
• с информацией работают специалисты – врачи, лаборанты, регистраторы, медсестры;
• обеспечивается необходимая обработка данных, разделение на отдельные группы, включая особенности лечения, статистические сведения;
• организуется конструктивное взаимодействие сотрудников клиники и пациента.

Некомпетентность сотрудника может привести к нарушениям закона, а с ним и к серьезным осложнениям во взаимодействии с клиентом. Избежать этого позволит только регулярное ознакомление сотрудников с соответствующими положениями и контроль за и исполнением.

Причины утечки данных

Иногда возникают нарушения, связанные с утечкой персональных данных клиента. В этом может быть вина, как сотрудников, так и техническая проблема. Основными причинами кражи данных и нарушения требований к конфиденциальности пациентов являются:

• неправомерный доступ третьих лиц к персональной информации пациента по вине сотрудников клиники;
• уничтожение носителя или случайное стирание данных, что приводит к полной их утрате;
• изменения прямого доступа к информации, в результате чего возможна утечка;
• частичное или полное несанкционированное получение доступа к внутренней базе клиники;
• информационная электронная система медучреждения работает некорректно.

При возникновении такой ситуации необходимо срочно пресечь ее развитие и попытаться урегулировать вопрос с пострадавшим пациентом.

Какие меры защиты можно принять в стоматологии?

Ответственность за нарушения требований к защите всех персональных данных несет клиника, именно медучреждение обеспечивают правильную работу и определяет, кто обладает доступом. К сотрудникам, которые работают со сведениями о пациентах, относятся:

• регистраторы;
• врачи и средний медперсонал;
• лаборанты;
• диагносты;
• сотрудники, занимающиеся обработкой внутренней информации.

Чтобы обеспечить меры по защите персональных данных, обезопасить обмен информации между клиентом клиники и врачом, важно правильно построить работу и действовать поэтапно:

• сбор сведений об электронных системах работы с информацией в медучреждениях, выбор подходящей схемы;
• моделирование потенциальной угрозы, выявление уязвимостей;
• разработка документации, касающейся организации и внедрения новой системы безопасности;
• установка и настройка средств контроля и хранения данных, обучение персонала;
• перевод письменной информации в цифровой вид.

Защите подлежат: внутренние базы данных и ведение архивных, резервных баз, создание копий; целевые сведения и сведения, необходимые для функционирования информационной системы медучреждения.

Любая передача данных третьим лицам с целью выполнения обязательств медучреждения, касающихся диагностики или лечения в рамках договора с пациентом, должна сопровождаться оформлением согласия пациента на обработку его персональных данных на бумажном носителе с подписью.

Меры технической защиты

К сожалению, руководитель далеко не каждой клиники отслеживает мировые тренды в сфере электронной безопасности, а это необходимо делать. Для контроля защиты данных и предупреждения их кражи медицинскими организациями также могут быть внедрены следующие меры технической защиты:

• персонал должен придерживаться установленного регламента работы;
• организация работы с документами по защите клиентских персональных данных с целью выявления потенциальных внешних, а также внутренних угроз;
• предупреждение неправомерного проникновения на территорию клиники, получения доступа к базам информации и распространения полученных сведений;
• использование проверенных технических средств для накопления, сбора, обработки, хранения информации.

Все перечисленные способы позволяют обеспечить защиту данным пациентов на сто процентов. Без этого утечки будут происходить регулярно и могут иметь серьезные последствия.

Ответственность за нарушение конфиденциальности пациентов

Клиника должна гарантировать конфиденциальность и обеспечить полную защиту персональной информации пациента, а именно: состояния здоровья, хода лечения, проводимых диагностических и прочих мероприятий. Если произошла утечка по вине медучреждения, такое нарушение предусматривает наложение административного наказания. В соответствии со ст. 13.11 КоАП на юридическое лицо накладывается штраф 60000-100000 рублей. При повторной утечке размер штрафа увеличивается до 300000 рублей. Сотрудник, который виноват в этом, будет уволен или получит выговор.

Как обеспечить безопасность данных в повседневной практике стоматолога?

Начинать работу следует с оформления согласия пациента на обработку персональных данных. Клиент имеет право отказаться давать такое разрешение или потребовать разъяснения, что входит в процесс обработки. При этом отсутствие согласия на обработку данных может серьезно затруднить взаимодействие клиента и клиники. Для медучреждения существует риск быть втянутым в судебные разбирательства с пациентом. Поэтому на этапе заполнения персональной карты нужно разъяснить все особенности ведения документации, обработки и защиты персональных данных.

Для работы с информацией стоматологическим клиникам рекомендуется использовать бланки строгой отчетности, специальные формы документов и следить за заполнением всех обязательных полей, обеспечить надежное хранение медицинских карт стоматологических пациентов. Это облегчает обработку поступающей документации, повышает степень безопасности и значительно снижает риски, угрозы, хищения или утечки.

Что делать, если нарушена безопасность персональных данных?

Когда выясняется, что произошла утечка личных данных пациента, важно не терять драгоценного времени, а реагировать оперативно. 

План действий для предупреждения утечки данных и действий при их обнаружении включает в себя:

• составление общей политики безопасности и обучение сотрудников работе с оргтехникой, внутренней медицинской документацией;
• защита от случайных утечек, связанных с несовершенством защиты, используемыми техническими средствами обработки и хранения, хакерскими атаками;
• защита от осознанных утечек, хищения данных сотрудниками;
• разработка мер по предупреждению кражи информации.

При обнаружении факта утечки или кражи информации клиника обязана в течение 24 часов уведомить Роскомнадзор. Для этого можно воспользоваться Порталом персональных данных на официальном сайте Роскомнадзора, где организован государственный информационный сервис для подачи сведений. В течение следующих 72 часов следует подготовить и отправить уведомление о том, как идет расследование и поиск причины утечки, предпринятых действий на защиту информации. Передаваемые сведения также включают в себя данные об информационной системе, из которой произошла утечка, о принятом решении оператора, дополнительных мерах для предупреждения подобных ситуаций в будущем.

Заключение

Выполнение требований к защите персональных данных должно соблюдаться на всех уровнях работы клиники и использования внутренней информационной системы. Это касается следующей информации:

• персональная информация о пациентах;
• данные, полученные в результате осмотра и диагностики, о заболевании;
• схемы лечения, используемые методы и материалы.

Также общая система защиты данных касается: информации о персонале клиники, информации о стоматологическом учреждении, особенностях работы.

Требования защиты данных пациента от злоумышленников обусловлены тем, что электронная информационная система клиники содержит большое количество личных сведений: ФИО и адреса клиентов, номера банковских карточек, персональные медицинские данные. Система безопасности работает правильно, если обеспечивается полный контроль над сведениями, исключая утечки и хищение. Ответственность за хранение несет медучреждение, которое обязано осуществлять:

• выбор и внедрение единой информационной медицинской системы для внутренней работы;
• обеспечение контроля защиты;
• обучение сотрудников клиники работе с такими информационными системами и базами данных, ознакомление их с положениями законодательства, касающимися врачебной тайны;
• регулярно проводить мероприятия по проверке знаний сотрудников, умению работать с электронными системами безопасности данных, ведения документации.

Ответственность за проведение таких мероприятий несет главврач клиники. Руководитель обеспечивает правильный переход от бумажного ведения документации к электронному, организует условия безопасности и защиты информации. Главврач издает соответствующий приказ, в соответствии с которым проводятся мероприятия по обучению медицинского персонала, контролю защиты персональных данных, регулированию в сфере стоматологии.