Как должна обеспечиваться информационная безопасность в медицинской организации?

Пациенты как субъекты персональных данных, в том числе составляющих врачебную тайну, передавая сведения о себе, вправе рассчитывать на соблюдение конфиденциальности при использовании данной информации в медицинских организациях. Это подразумевает не только применение технических средств защиты (специальные сертифицированные программные и технические средства защиты информации, но и проведение комплекса организационных мероприятий, направленных на предотвращение потери, искажения и несанкционированного доступа к персональным данным.

Указанный комплекс мероприятий должен подразумевать наличие в медицинской организации должностных инструкций, положения об обработке персональных данных, журналов (журнала регистрации используемого программного обеспечения, журнала по учету носителей информации, содержащей персональные данные, журнала учета обращений граждан – субъектов персональных данных, журнала регистрации выявленных нарушений). Должны функционировать регламенты взаимодействия между подразделениями медицинской организации, регламенты использования программного обеспечения, ресурсов сети Интернет, требования к профессиональной подготовке персонала. Медицинские работники должны подписывать обязательства о неразглашении данных.

Приказом руководителя (главного врача) медицинской организации из числа работников назначается ответственный за организацию обработки персональных данных. В его обязанности входит контроль за соблюдением оператором и сотрудниками медицинской организации законодательства о персональных данных и требований к их защите; доведение до сведения сотрудников положений законодательства и иных актов, в т.ч. локальных актов организации, регламентирующих процесс обработки персональных данных; организация приема и обработки обращений и запросов субъектов персональных данных.

Активно разрабатываемые медицинскими организациями электронные истории болезни во многих отношениях могут быть удобнее и надежнее бумажных, в частности, появляется возможность легко и эффективно контролировать доступ к ним лишь конкретных лиц. В то же время потенциальная возможность передачи огромного количества конфиденциальной информации с колоссальной скоростью практически неограниченному числу адресатов порождает серьезные проблемы, относящиеся не к конфиденциальности, а именно к сфере информационной безопасности. Впрочем, по данным исследований, в России в 90% случаев в утечке информации виноват персонал, а не хакеры.