Блог Revvy

Защита персональных данных в медицине: что нужно знать частным клиникам

Медицина Полезное
Ежедневно клиника обрабатывает массу сведений: паспорт, полис, результаты анализов, назначения, истории болезней. Неразглашение персональных данных пациента не только врачебная этика, но и обязательная составляющая работы частных клиник.
За утечку личных сведений клинике грозит крупный штраф, потеря доверия пациентов и ухудшение репутации бизнеса. Как же клинике работать с персональными данными?
Рассказываем, что нужно знать частным клиникам о защите персональных данных. Как работать с информацией, чтобы избежать утечки и не получить штраф. А также, в каких случаях разглашение данных законно.
Напоминаем, материал подготовил сервис Revvy.Мед, который помогает клиникам и стоматологиям продвигаться в интернете и на Яндекс Картах. Отправляет пациентам автоматические уведомления и напоминания о записи на прием. Снижает количество неявок и оптимизирует расписание врачей.

Что относится к персональным данным в здравоохранении

Обработка и использование персональных данных регулируется Федеральным законом ФЗ-152.
Также клиники при работе с персональными данными должны придерживаться этих нормативов.
К персональным данным в здравоохранении относятся любые сведения, по которым можно идентифицировать человека.
К основным персональным данным относят:
  • паспортные данные;
  • адрес;
  • контакты;
  • СНИЛС, ИНН.
В медицине к персональным данным также относят специальные сведения:
  • физические данные пациента: вес, рост, возраст;
  • история болезни;
  • номер медицинского полиса и название страховой компании;
  • электронные медицинские карты;
  • диагнозы;
  • назначения лечения и процедур;
  • результаты анализов, диагностик, исследований;
  • данные об операциях, донорстве и пересадке органов;
  • финансовые данные: реквизиты банковских карт, стоимость страховки, чеки и договора на медицинские услуги.
Неразглашение специальных сведений еще называют врачебной тайной или врачебной этикой.

Как клиники работают с персональными данными

Персональные данные — конфиденциальная информация, которую нельзя разглашать даже после смерти пациента. Есть случаи, когда это возможно, но об этом чуть позже.
Клиники работают с данными на разных этапах:
  • первичный сбор — заполнение анкеты, контактных и паспортных данных пациента при первичном обращении в клинику;
  • систематизация сведений — заполнение электронной карточки в МИС-системе;
  • хранение сведений в базе данных МИС-системы;
  • если требуется, то сведения могут уточняться;
  • удаление неактуальных сведений.
И на каждом этапе работы с персональными сведениями пациента, они должны быть надежно защищены.

Случаи, когда клиника может разглашать персональные данные

Есть несколько случаев, когда ПДн раскрыть допустимо:
  1. При оказании первой помощи или при угрозе жизни пациенту: когда человек без сознания, психически невменяемый, или в экстремальных для здоровья условиях.
  2. Возраст до 15 лет — сведения о здоровье пациента получают родители или законные представители ребенка.
  3. По требованию судебных и других органов власти.
  4. При насильственных действиях — клиника должна оповестить органы внутренних дел.
  5. По требованию РКН (Роскомнадзор).
  6. При расследовании травм на производстве или при профзаболевании.
В остальных случаях частные клиники должны хранить и защищать ПДн согласно законам РФ.

Особенности защиты персональных данных в клиниках

В 2011 году Минздрав совместно с соцразвитием РФ разработали единую инфосистему в сфере здравоохранения (ЕГИСЗ). Чтобы данные по всех медицинским учреждениям были в одном месте. Но недостаточное техническое обеспечение привело к тому, что каждый медцентр собирает и защищает ПДн по-своему.
Каждый день медицинские центры и клиники собирают и обрабатывают большой массив данных. Не во всех регионах России завершены автоматизация и переход на ЭДО. Уровень защиты ПДн пациентов снижается.
Использование современных сервисов автоматизации намного упрощают сбор, хранение и защиту данных больных.
Сегодня у клиник есть три основных инструмента автоматизации:
  • МИС-системы;
  • облачные системы хранения базы данных;
  • ПО с сетевым или локальным сервером.

Какие МИС используют клиники для защиты и обработки персональных данных пациентов

Ответственность за хранение и неразглашение персональных данных пациентов на главвраче и руководителе клиники. Именно главврач выбирает систему автоматизации и контролирует работу и защиту ПДн.
Клинике можно работать только с теми МИС, которые одобрены единым реестром Российских программ.
Локальные медицинские системы состоят из модулей. Каждый медцентр выбирает программу под свою специфику и особенности. Но главное, чтобы защита персональных данных была надежной. Иначе клинике придется заплатить штраф.
С мая 2025 года требования к работе с ПДн ужесточились.
МИС-системы, соответствующие закону о ПДн:
  • IDENT;
  • Medesk;
  • Инфоклиника;
  • MedElement;
  • МедОфис.
Вышеперечисленные МИС защищают сведения о пациентах по-разному. Например, Medesk разбивает массив базы данных на ячейки, а MedElement шифрует как в момент передачи сведений между устройствами, так и при долговременном хранении.

Как минимизировать утечку персональных данных

МИС надежно защищают персданные. Но утечки все же случаются и в основном по вине младшего медицинского персонала или невнимательности сотрудников.
Как защитить клинику от утечки данных:
  • работать только в утвержденных реестром МИС — в них надежные алгоритмы шифрования и архивирования;
  • ограничить доступ к базе — многоуровневый пароль;
  • пропускной режим в клинике;
  • компьютеры и сервер должны иметь защиту от взлома;
  • установка антивирусов и регулярное обновление;
  • видеонаблюдение 24/7;
  • регулярный инструктаж младшего медицинского персонала по нововведениям в законе.
Перед первым визитом и любой манипуляцией предлагайте пациенту письменное согласие на обработку данных.
Каким должно быть согласие на обработку данных:
  • кратким — никто не будет читать полотна текста;
  • понятным и удобочитаемым — шрифт не должен быть очень мелким;
  • какие именно данные собираются — ФИО, диагноз, анализы;
  • цель сбора данных — операция, лечение, страховка;
  • срок хранения — обычно до 5 лет, при онкологии — до 30 лет;
  • право отказа от согласия — пациент должен иметь возможность в любой момент отказаться от согласия.
Пример согласия на обработку данных пациента.
Я, [ФИО], даю согласие клинике [НАИМЕНОВАНИЕ КЛИНИКИ] на обработку моих персональных данных [ФИО, результаты анализов] для целей [оперативное вмешательство].

Срок хранения — 5 лет.

Уведомлен (а), что могу отозвать свое согласие в любой момент.
Защита персональных данных в клинике — не простая формальность, а обязательное требование закона №152. И выполнять это требование нужно ответственно и грамотно.
А именно:
  • работать только в одобренных МИС-системах;
  • собирать у пациентов письменные или электронные согласия;
  • тщательно защищать хранение данных: антивирусы, видеокамеры, пароли, шифрование, охраняемая территория, пропускной режим;
  • мониторить срок хранения персональных данных и вовремя уничтожать ПДн;
  • регулярно обучать персонал новшествам в работе с ПДн.
Клиникам, которые выполняют законодательство, не грозят штрафы и потеря пациентов.
Честность и надежность = хорошая репутация = доверие пациентов
Пациенты выбирают тех, кто работает честно и по закону.