Проф., д.т.н. Столбов А.П., РАМН Москва, 21 марта 2013 г. Защита персональных данных: от модернизации к исполнению 19.3.3 Проблемы организации обработки. - презентация

1 проф., д.т.н. Столбов А.П., РАМН Москва, 21 марта 2013 г. Защита персональных данных: от модернизации к исполнению Проблемы организации обработки персональных данных в здравоохранении

2 О трансплантации органов и(или) тканей человека, * от г. ( ред. от ) * О психиатрической помощи и гарантиях прав граждан при её оказании, от г. О предупреждении распространения в Российской Федерации заболевания, вызываемого вирусом иммунодефицита человека ( ВИЧ-инфекции ), 38-ФЗ от г. Об иммунопрофилактике инфекционных болезней, 157-ФЗ от г. ( ред.... от г. ) О государственной социальной помощи, 178-ФЗ от г. ( ред.... от г. 122-ФЗ, … от г. ) О государственной геномной регистрации в Российской Федерации, 242-ФЗ от г. * Об обращении лекарственных средств, 61-ФЗ от г. * Об обязательном медицинском страховании в Российской Федерации, Об обязательном медицинском страховании в Российской Федерации, 326-ФЗ от г. ( ред. от г. ) Об основах охраны здоровья граждан в Российской Федерации, 323-ФЗ от г. О донорстве крови и её компонентов, 125-ФЗ от г. 2

3 {МО} оПФР оФСС ФОМС МЗ РФ ТФ омс {ТФ др } 10,11 15,7 14 5,6,7 13 полис ОМС {СМО} ОУЗ 3 ЗАГС ОИВс 2 5,8,7 14 {А}{А} рецепт, дВУТ оСЗН Льготы 16 доступ {С}{С} 18 14, ,9 ИЭМК СМР + СМР + ФЭР ВМП + СМР + ФЭР ВМП !! "Регистр населения" !! С = страхователь А = аптека СЭС ИЭМК {МО др } К Б СМЭВ Э-услуги ФУО, УО : УЭК ?! Регистр прикрепленного населения выбор до 1.11 ?! 19 НВП ФРМР РЭК ЕРЗ МСЭ К ? ? {СПК} ФМБА РДК ? ? ? ? !! Реестр всех* случаев обращения за мед. помощью в ТФОМС !! доноры крови ? ? ? ?

4 Проблемы, вопросы, акценты(1) включение в состав "публичных" ПДн врачей статистических данных о врачебных ошибках ( как в США ) формирование регистров неработающего населения (ст. 13) нормативное определение понятий "медицинская информационная система" ( 323-ФЗ, ст.13 ) "сведения о состоянии здоровья" ( "инвалид", "годен" etc ) "псевдонимизация", "обратная персонификация" процедуры псевдонимизации и обратной персонификации вторичных "медицинских" данных ( как SUS NHS UK ) ISO/TS 25237, рекомендации по обезличиванию РКН исчерпывающие перечни случаев, когда необходимо: оформлять согласие субъекта на обработку ПДн уведомлять его о получении ПДн от третьих лиц (ст.18) или предоставлении их третьим лицам 4

ТТ* стеганог" title="Проблемы, вопросы, акценты(2) новый "отраслевой" комплект методических документов по организации обработки ПДн и защите информации * отраслевая модель угроз безопасности ПДн ( вместе с ОМС ) (ст.19) ПП 1119, приказы ФСТЭК 17, 21 и др. -> ТТ* стеганог" class="link_thumb"> 5 Проблемы, вопросы, акценты(2) новый "отраслевой" комплект методических документов по организации обработки ПДн и защите информации * отраслевая модель угроз безопасности ПДн ( вместе с ОМС ) (ст.19) ПП 1119, приказы ФСТЭК 17, 21 и др. -> ТТ* стеганография ЕГИСЗ = ГИС и ИСПДн -> оценка вреда (ст.18.1) ( методики ) : а ) б) а ) субъекту ПДн ( пациент, работник ), б) оператору ГИС ЕГИСЗ = федеративная ИС с "облачными" подсистемами -> ответственность операторов и "аутсорсеров" классификация ролей ( оператор, "аутсорсер" ) и операторов ( кто, от кого, какие ПДн получает и предоставляет ) федеративная система идентификации, аутентификации и управления полномочиями ( + электронная подпись ) (ЕСИА) "безопасное" включение медицинской техники в МИС "кибербезопасность" медицинской техники обеспечение конфиденциальности при использовании Интернет ( "удаленная регистратура", "личный кабинет", заявления в СМО, медицинскую организацию, фонд ОМС и т.д. ) 5 ТТ* стеганог"> ТТ* стеганография ЕГИСЗ = ГИС и ИСПДн -> оценка вреда (ст.18.1) ( методики ) : а ) б) а ) субъекту ПДн ( пациент, работник ), б) оператору ГИС ЕГИСЗ = федеративная ИС с "облачными" подсистемами -> ответственность операторов и "аутсорсеров" классификация ролей ( оператор, "аутсорсер" ) и операторов ( кто, от кого, какие ПДн получает и предоставляет ) федеративная система идентификации, аутентификации и управления полномочиями ( + электронная подпись ) (ЕСИА) "безопасное" включение медицинской техники в МИС "кибербезопасность" медицинской техники обеспечение конфиденциальности при использовании Интернет ( "удаленная регистратура", "личный кабинет", заявления в СМО, медицинскую организацию, фонд ОМС и т.д. ) 5"> ТТ* стеганог" title="Проблемы, вопросы, акценты(2) новый "отраслевой" комплект методических документов по организации обработки ПДн и защите информации * отраслевая модель угроз безопасности ПДн ( вместе с ОМС ) (ст.19) ПП 1119, приказы ФСТЭК 17, 21 и др. -> ТТ* стеганог">

6 26-28 марта 2013 г., MedSoft-2013, СПАСИБО ! Всем удачи !!! Столбов Андрей Павлович +7(495)

7 [8] ТФОМС () --> ФФОМС: - регистр застрахованных лиц (д) - реестр мед. организаций (2 д) - реестр СМО (д) - реестр экспертов качества (м) [9] СМО --> МО: - данные о смерти !? [1] оПФР --> ТФОМС: - данные о работающих лицах (к) !? [2] ОИВс --> ТФОМС: !? ( ст.13 зак. 152-ФЗ ) - данные о неработающих лицах (м) [3] ЗАГС --> ТФОМС: - данные о смерти (м) [4] оФСС --> ТФОМС: - данные о лицах, получивших травмы на производстве ( 10 д ) [5] СМО ТФОМС ФФОМС: - запросы к регистру застрахованных (д) - ответы на запросы к регистру - заявки на изготовление полисов - сведения о полисах + на портале ФФОМС [6] ТФОМС --> СМО: - сведения о лицах, не выбравших СМО (м) - данные о смерти застрахованных лиц (м) - данные о лицах, получивших травмы на производстве (5 д) - реестр экспертов качества медпомощи [7] ФФОМС \ ТФдр --> ТФОМС --> СМО - уведомление о смене СМО 7 [Б] МО --> СЭС : ф.058/у и др. [К] отд. медицинские документы [Б] МО --> СЭС : ф.058/у и др. [К] отд. медицинские документы Не показаны потоки протоколов и актов контроля и экспертизы реестров (счетов) Стоп-листы полисов ?

МО: - реестры учета медпомощи " по СМО " (2 д) [12] МО --> СМО: -" title="[10] МО --> ТФОМС: реестры учета - медпомощи по ОМС для СМО субъекта РФ - медпомощи " иногородним " - диспансеризации работающих граждан - диспансеризации детей-сирот... [11] ТФОМС --> МО: - реестры учета медпомощи " по СМО " (2 д) [12] МО --> СМО: -" class="link_thumb"> 8 [10] МО --> ТФОМС: реестры учета - медпомощи по ОМС для СМО субъекта РФ - медпомощи " иногородним " - диспансеризации работающих граждан - диспансеризации детей-сирот... [11] ТФОМС --> МО: - реестры учета медпомощи " по СМО " (2 д) [12] МО --> СМО: - список прикрепившихся от " этой СМО " !! - реестр + счет за медпомощь по ОМС ( м ) [13] МО --> оФСС: ( ПП РФ 1233 от ) - реестр талонов родовых сертификатов [14] МО --> ОУЗ --> МЗСР: - паспорт мед. организации - регистр мед. работников (ФРМР) ~ СНИЛС - реестр медицинской техники (РМТ) - данные для мониторинга ПМЗ + "медстат" [15] ТФОМС ТФОМС при Т МП Т ОМС : - реестры счетов по "иногородним" (м) - данные о лицах, получивших травмы на производстве - данные о смерти, полученные от ЗАГС (5 д) !? "неидентифицированные" !? [16] оПФР -> oСЗН -> ОУЗ - регистры "льготников" [17] МО --> ОУЗ: - реестр амб. помощи - реестр рецептов [18] Аптека --> ОУЗ: - реестр отпущ. лекарств - реестр отлож. рецептов - реестр забрак. рецептов [16] оПФР -> oСЗН -> ОУЗ - регистры "льготников" [17] МО --> ОУЗ: - реестр амб. помощи - реестр рецептов [18] Аптека --> ОУЗ: - реестр отпущ. лекарств - реестр отлож. рецептов - реестр забрак. рецептов !? [19] ТФОМС \ МО --> оФСС: [20] Работодатель --> оФСС: - реестр документов ВУТ !? [19] ТФОМС \ МО --> оФСС: [20] Работодатель --> оФСС: - реестр документов ВУТ !? 8 !! скорая помощь с г. !! МО: - реестры учета медпомощи " по СМО " (2 д) [12] МО --> СМО: -"> МО: - реестры учета медпомощи " по СМО " (2 д) [12] МО --> СМО: - список прикрепившихся от " этой СМО " !! - реестр + счет за медпомощь по ОМС ( м ) [13] МО --> оФСС: ( ПП РФ 1233 от 31.12.2010 ) - реестр талонов родовых сертификатов [14] МО --> ОУЗ --> МЗСР: - паспорт мед. организации - регистр мед. работников (ФРМР) ~ СНИЛС - реестр медицинской техники (РМТ) - данные для мониторинга ПМЗ + "медстат" [15] ТФОМС ТФОМС при Т МП Т ОМС : - реестры счетов по "иногородним" (м) - данные о лицах, получивших травмы на производстве - данные о смерти, полученные от ЗАГС (5 д) !? "неидентифицированные" !? [16] оПФР -> oСЗН -> ОУЗ - регистры "льготников" [17] МО --> ОУЗ: - реестр амб. помощи - реестр рецептов [18] Аптека --> ОУЗ: - реестр отпущ. лекарств - реестр отлож. рецептов - реестр забрак. рецептов [16] оПФР -> oСЗН -> ОУЗ - регистры "льготников" [17] МО --> ОУЗ: - реестр амб. помощи - реестр рецептов [18] Аптека --> ОУЗ: - реестр отпущ. лекарств - реестр отлож. рецептов - реестр забрак. рецептов !? [19] ТФОМС \ МО --> оФСС: [20] Работодатель --> оФСС: - реестр документов ВУТ !? [19] ТФОМС \ МО --> оФСС: [20] Работодатель --> оФСС: - реестр документов ВУТ !? 8 !! скорая помощь с 01.01.2013 г. !!"> МО: - реестры учета медпомощи " по СМО " (2 д) [12] МО --> СМО: -" title="[10] МО --> ТФОМС: реестры учета - медпомощи по ОМС для СМО субъекта РФ - медпомощи " иногородним " - диспансеризации работающих граждан - диспансеризации детей-сирот... [11] ТФОМС --> МО: - реестры учета медпомощи " по СМО " (2 д) [12] МО --> СМО: -">

9 ГОСТ Р Электронная история болезни. Общие положения ГОСТ Р ИСО/ТС Информатизация здоровья. Требования к архитектуре электронного учета здоровья [ 5.4 PRS4, 5.5 MEL5 ] ГОСТ Р ИСО/ТС , Информатизация здоровья. Управление полномочиями и контроль доступа. Часть 1 Общие сведения и управление политикой, Часть 2 Формальные модели ГОСТ Р Информатизация здоровья. Передача электронных медицинских карт. Часть 4 Безопасность ISO/TS : 2008 Health informatics. Pseudonymization. ISO/TS : 2009 Health informatics. Identification of subject of health care. Health Insurance Portability and Accountability Act ( HIPAA ), США, 1996 Guidance Regarding Methods for De-identification of Protected Health Information in Accordance with the Health Insurance Portability and Accountability Act ( HIPAA ) Privacy Rule ( , ) 9