Электронная защищённая медицинская информация
Электронная защищённая медицинская информация — это совокупность персональных данных пациента, сведений о состоянии его здоровья, диагнозах, лечении, результатах медицинских вмешательств, лабораторных и инструментальных исследований, а также иных данных, связанных с оказанием медицинской помощи, которые обрабатываются, хранятся и передаются с использованием информационно-коммуникационных технологий и подлежат обязательной защите от несанкционированного доступа, утраты, модификации или разглашения в соответствии с законодательством.
Правовое регулирование
В Российской Федерации правовой режим электронной защищённой медицинской информации определяется несколькими ключевыми нормативными актами. Основным является Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных», который относит сведения о состоянии здоровья к специальной категории персональных данных, обработка которых допускается только с письменного согласия субъекта или в случаях, прямо предусмотренных законом (например, для оказания экстренной медицинской помощи). Федеральный закон от 21 ноября 2011 года № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» закрепляет принцип врачебной тайны, распространяющийся на все данные о факте обращения за медицинской помощью, диагнозе и лечении, включая их электронные формы.
Дополнительное регулирование обеспечивается приказами Министерства здравоохранения РФ, в частности, утвердившими порядок ведения Единой государственной информационной системы в сфере здравоохранения (ЕГИСЗ), а также требования к защите информации при использовании медицинских информационных систем. За разглашение защищённой медицинской информации предусмотрена административная (статья 13.14 КоАП РФ), уголовная (статья 137 УК РФ) и гражданско-правовая ответственность.
Классификация защищаемых данных
Электронная защищённая медицинская информация подразделяется на несколько категорий в зависимости от степени конфиденциальности и целей обработки:
- Персональные данные пациента — фамилия, имя, отчество, дата и место рождения, адрес, данные документа, удостоверяющего личность, СНИЛС, полис обязательного медицинского страхования.
- Медицинские данные — анамнез жизни и заболевания, результаты осмотров, лабораторных и инструментальных исследований, диагнозы, назначения, протоколы операций, выписные эпикризы, данные о лекарственной терапии.
- Биометрические данные — отпечатки пальцев, изображения лица, генетическая информация, используемые для идентификации пациента или в диагностических целях.
- Финансовые данные — сведения об оплате медицинских услуг, данные полисов добровольного медицинского страхования, реквизиты для возмещения расходов.
Технические средства и методы защиты
Защита электронной медицинской информации обеспечивается комплексом организационных, правовых и технических мер. К основным техническим средствам относятся:
- Криптографическая защита — шифрование данных при хранении (в базах данных, на серверах) и при передаче по каналам связи (протоколы TLS, HTTPS). Используются сертифицированные ФСБ России средства криптографической защиты информации (СКЗИ).
- Системы разграничения доступа — ролевые модели, при которых медицинские работники получают доступ только к той информации, которая необходима для выполнения их служебных обязанностей. Аудит доступа фиксирует все действия пользователей с данными.
- Антивирусная защита и межсетевые экраны — предотвращение проникновения вредоносного программного обеспечения, способного нарушить целостность или конфиденциальность данных.
- Резервное копирование и аварийное восстановление — регулярное создание резервных копий баз данных для обеспечения доступности информации при сбоях или кибератаках.
- Физическая защита — контроль доступа в серверные помещения, системы видеонаблюдения, сигнализации.
Информационные системы и базы данных
Основной платформой для работы с электронной защищённой медицинской информацией в России является Единая государственная информационная система в сфере здравоохранения (ЕГИСЗ). Она включает в себя:
- Федеральный реестр медицинских организаций.
- Федеральный реестр медицинских работников.
- Федеральный реестр электронных медицинских документов.
- Подсистему ведения интегрированной электронной медицинской карты (ИЭМК).
- Подсистему мониторинга лекарственного обеспечения.
На региональном уровне функционируют медицинские информационные системы (МИС) — программные комплексы, используемые в конкретных больницах, поликлиниках и диагностических центрах. Они обеспечивают ведение электронных карт пациентов, запись на приём, выписку рецептов и направлений, взаимодействие с лабораторными системами. Передача данных между МИС и ЕГИСЗ осуществляется через защищённые каналы связи с использованием электронной подписи.
Электронная медицинская карта
Центральным элементом электронной защищённой медицинской информации является электронная медицинская карта (ЭМК) — структурированный набор записей о состоянии здоровья пациента, ведущийся в цифровом формате. ЭМК заменяет традиционную бумажную историю болезни и включает:
- паспортную часть (идентификационные данные);
- данные о посещениях, госпитализациях, вызовах скорой помощи;
- результаты анализов, инструментальных исследований (рентген, МРТ, КТ, УЗИ);
- протоколы врачебных осмотров и консультаций;
- сведения о назначенных лекарствах и процедурах;
- информацию об аллергиях, противопоказаниях, хронических заболеваниях.
ЭМК подписывается усиленной квалифицированной электронной подписью лечащего врача и главного врача, что придаёт документу юридическую силу. Доступ к карте имеют только авторизованные медицинские работники, а сам пациент может получить выписку через портал «Госуслуги» или личный кабинет в ЕГИСЗ.
Угрозы и инциденты безопасности
Несмотря на принимаемые меры, электронная защищённая медицинская информация подвержена ряду угроз:
- Утечки данных — случаи несанкционированного копирования или передачи персональных данных третьим лицам. По данным Роскомнадзора, в 2023 году в сфере здравоохранения было зафиксировано несколько крупных утечек, затронувших сотни тысяч записей.
- Кибератаки — атаки с использованием программ-вымогателей (ransomware), направленные на шифрование баз данных медицинских учреждений с требованием выкупа. В 2022 году такие атаки парализовали работу нескольких региональных больниц.
- Внутренние нарушения — действия сотрудников, превышающих полномочия доступа или передающих данные знакомым, родственникам, представителям страховых компаний без согласия пациента.
- Технические сбои — ошибки в программном обеспечении, аппаратные отказы, приводящие к потере или искажению данных.
Для минимизации рисков в медицинских организациях разрабатываются планы реагирования на инциденты, проводятся регулярные аудиты безопасности и обучение персонала.
Международные стандарты и практики
В мировой практике защита электронной медицинской информации регулируется рядом стандартов и законов. В США действует HIPAA (Health Insurance Portability and Accountability Act) — закон, устанавливающий требования к конфиденциальности и безопасности медицинских данных. В Европейском союзе основным актом является GDPR (General Data Protection Regulation), который распространяется на все персональные данные, включая медицинские. Международный стандарт ISO 27799 «Информатика здоровья. Управление информационной безопасностью в здравоохранении» содержит руководящие принципы для защиты медицинской информации в информационных системах.
Российское законодательство в целом соответствует мировым тенденциям, однако имеет особенности, связанные с обязательной сертификацией средств защиты и использованием отечественных криптоалгоритмов. В 2023 году вступили в силу поправки к закону «О персональных данных», ужесточающие требования к операторам медицинских данных, включая обязательное уведомление Роскомнадзора о любых фактах утечек.
Перспективы развития
Развитие электронной защищённой медицинской информации связано с внедрением технологий искусственного интеллекта, блокчейна и облачных вычислений. Искусственный интеллект позволяет анализировать большие массивы данных для диагностики и прогнозирования заболеваний, но требует дополнительных мер защиты от искажения алгоритмов. Блокчейн-технологии рассматриваются как способ создания неизменяемых записей о доступе к данным, что повышает прозрачность и подотчётность. Облачные решения обеспечивают масштабируемость и доступность, но требуют тщательной проверки провайдеров на соответствие требованиям безопасности.
В России продолжается цифровая трансформация здравоохранения в рамках национального проекта «Здравоохранение», предусматривающего к 2030 году полный переход на электронный документооборот и создание единой защищённой среды для обмена медицинскими данными между всеми участниками системы.
Источники
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
- Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации».
- Приказ Минздрава России от 07.09.2020 № 947н «Об утверждении Порядка организации системы документооборота в сфере охраны здоровья в части ведения медицинской документации в форме электронных документов».
- Постановление Правительства РФ от 05.05.2018 № 555 «О единой государственной информационной системе в сфере здравоохранения».
- Методические рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК России, 2013).
- ISO 27799:2016 «Health informatics — Information security management in health using ISO/IEC 27002».
- Отчёты Роскомнадзора о нарушениях в области персональных данных за 2022–2023 годы.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →