ПЕРСОНАЛЬНЫЕ ДАННЫЕ В МЕДИЦИНЕ Ксения Шудрова, Красноярск Сергей Борисов, Краснодар Мария Пономарева, Красная площадь, Москва Максим Марченко, Краснодар 16.06.2020 Контактная информация Ксения Шудрова • Руководитель Красноярского отделения RISC • Дипломированный специалист по защите информации • Работаю в ИБ 11 лет • Кандидат технических наук • Блогер http://shudrova.blogspot.com/ • Автор 60 статей, двух книг и чек-листа 2 Контактная информация Сергей Борисов Заместитель руководителя по ИБ Обособленного подразделения УЦСБ в г. Краснодар Работа в ИБ - 15 лет ИБ блогер – 9 лет БЛОГ: https://sborisov.blogspot.com EMAIL: [email protected] TWITTER: https://twitter.com/sb0risov 3 Контактная информация Пономарева Мария ГК «Аудиторы корпоративной безопасности» 2010-2012 – менеджер по развитию бизнеса УЦ REDCENTER 2012 – 2015 г. – менеджер по продажам УЦ IBS SmartLevel С 2015 г. – руководитель отдела развития ГК «АКБ» С 2017 г. – тренер курсов по ИБ, УЦ Learning Shop (ГК «АКБ») www.ruakb.ru | www.learning-shop.ru Москва | Рязань | Ярославль | Томск | Санкт-Петербург | Ростов-на-Дону | Таганрог | Махачкала 4 Контактная информация Максим Марченко • Главный консультант одела программноинформационного обеспечения министерства здравоохранения Краснодарского края • Работа с бумажными и реальными инцидентами ИБ • Документальное обеспечение ИБ медицинских Организаций • Прохождение различных проверок, а также участие в них как аудитора • Эникей с сфере ИБ Работа в ИБ – 10 лет 5 0. Особенности организации обработки ПДн в медицине Общие требования к обработке и защите ПДн • №152-ФЗ • №149-ФЗ • ПП №1119 • ПП №211 • ПП №687 • Пр ФСТЭК России №21 • Пр ФСТЭК России №17 • Пр ФСБ России №378 … + Дополнительные требования к обработке и защите ПДн в здравоохранении • №323-ФЗ • №326-ФЗ • ПП №447 • ПП №555 • Приказ Минздрава России №911н • Приказы Минздрава РФ и иных гос. органов сферы здравоохранения … 6 0. Особенности организации обработки ПДн в медицине Общие основания для обработки и защите ПДн + Дополнительные основания для обработки ПДн в здравоохранении • №323-ФЗ • №326-ФЗ • ПП №447 • ПП №555 • Приказ Минздрава России №911н • Иные приказы и письма Минздрава РФ и иных гос. органов сферы здравоохранения • Постановления ГГСВ РФ • Иные постановления правительства РФ … 7 0. Особенности организации обработки ПДн в медицине Небольшие локальные ИСПДн + ЕГИСЗ Региональные МИС Иные региональные ГИС МИС МО во внешнем ЦОД МИС в облаке сервис провайдера 8 0. Особенности организации обработки ПДн в медицине Как правило применяется аутсорсинг: • централизованные бухгалтерии • услуги со стороны МИАЦ • услуги по обслуживанию СКЗИ • услуги иных организаций связанные с обработкой информации 9 0. Особенности организации обработки ПДн в медицине В части обрабатываемой информации: • большая часть ПДн специальных категорий • врачебная тайна • высокие риски от разглашения информации или иного НСД к ИС Являются субъектами КИИ, но как правило без значимых объектов КИИ 10 0. Особенности организации обработки ПДн в медицине В части технических средств: • защищенные региональные сети здравоохранения • терминальные станции и мобильные устройства • умное медицинское оборудование • телемедицина 11 Вопрос 0. Про аптеки Есть приказ от 24 декабря 2018 № 911н "Об утверждении требований в сфере здравоохранения субъектов РФ, медицинским информационным системам медицинских организаций и информационным системам фармацевтических организаций". Что должны делать аптеки? Мария Пономарева 12 Вопрос 0. Про аптеки Аптеки: В информационных системах фармацевтических организаций содержится информация, необходимая для автоматизации процессов осуществления фармацевтической деятельности и информационной поддержки фармацевтических работников, включая информацию о фармацевтических организациях и об осуществлении ими фармацевтической деятельности. Информация, содержащаяся в информационных системах, подлежит защите в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации и законодательством Российской Федерации в области персональных данных. https://normativ.kontur.ru/document?moduleId=1&documentId=338271 13 Судебная практика. Аптека Кратко: ФГУП «Аптека №…» ФМБА России не представило в Енисейское управление Роскомнадзора уведомление об обработке персональных данных, поскольку предприятие фактически уже не осуществляло свою деятельность и принимались меры к его ликвидации. Доводы суда: ФГУП осуществляет розничную торговлю лекарственными средствами в аптеках, осуществляет обработку персональных данных (фамилия, имя, отчество, адрес) субъектов персональных данных (клиентов), а также сотрудников (их родственников), при оформлении трудовых отношений, учредителей общества. Следовательно, ФГУП «Аптека №…» является оператором персональных данных. Результат: штраф 3000 рублей. 14 Вопрос 1. Обезличивание ПДн в МО 1а • Допускается ли проведение в медицинской организации, в т.ч частной, обезличивание ПДн пациентов? Например, ФИО, паспортные данные заменить идентификатором? 1б • Поскольку специальная категория наиболее требовательная к мерам защиты, имеет ли смысл использовать обезличивание при обработке специальной категории ПДн? Максим Марченко 15 Ответ 1. Обезличивание 16 Вопрос 2. Обработка копии паспортов Допустимо ли законодательно хранить копии паспортов пациентов, в т.ч. в электронном виде? Мария Пономарева 17 Ответ 2. Обработка копии паспортов НЕ ДОПУСТИМО: Ограничение обработки персональных данных достижением конкретных, заранее определенных и законных целей и недопустимость обработки персональных данных, не совместимой с целями их сбора, является одним из принципов обработки персональных данных. Содержание и объем обрабатываемых персональных соответствовать заявленным целям обработки. данных должны Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки (ч.ч. 2, 5 ст. 5 Закона N 152-ФЗ). 18 Судебная практика. Паспорт Кратко: Пациент подделал лист нетрудоспособности, чтобы оправдать свой прогул перед работодателем. Доводы суда: В журнале не было записи о регистрации больничного листа. Процедура выдачи больничного: пациент приносит паспорт и требование от врача, медрегистратор берет паспорт, журнал, заполняет корешок, печатает листок, пациент расписывается в получении листка, забирает паспорт, листок нетрудоспособности с печатью учреждения, который несет врачу. Выдача листка нетрудоспособности без требования врача и паспорта пациента невозможна, поскольку медрегистратор сверяет фамилию, имя, отчество с паспортом и требованием врача. Результат: штраф пациенту 30000 рублей. 19 Вопрос 3. Обработка данных мед. работников Особенности обработки ПДн медицинских работников? Максим Марченко 20 Судебная практика. ПДн работников Кратко: Управлением Роскомнадзора по Вологодской области при проведении проверки в «Вологодской детской городской поликлинике №» были выявлены нарушения установленного законом порядка сбора, хранения, использования, распространения персональных данных. материалы проверки были переданы в прокуратуру. В поликлинике обрабатываются персональные данные следующих категорий субъектов: работников, пациентов (законных представителей) и контрагентов. Доводы суда: • форма согласия на обработку персональных данных работников для размещения на доске почета и форма согласия на обработку персональных данных работников на перевод их персональных данных в категорию общедоступных содержат неполные сведения; • информирование лиц, допущенных к обработке персональных данных о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки не осуществляется. • Результат: предупреждение. 21 Памятка для медицинских учреждений • Согласно пункту 7 части 1 статьи 79 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» медицинская организация обязана информировать граждан в доступной форме, в том числе с использованием сети «Интернет», об осуществляемой медицинской деятельности и о медицинских работниках медицинских организаций, об уровне их образования и об их квалификации, а также предоставлять иную необходимую для проведения независимой оценки качества оказания услуг медицинскими организациями информацию. • https://54.rkn.gov.ru/protection/p24018/ 22 Вопрос 4. Передача ПДн Заключен договор на охрану с ЧОП. На пункт охраны предоставляются перечни работников медицинской организации, имеющих право доступа в нерабочее время. Нужно ли брать с работников согласие на передачу их ФИО и должности в ЧОП? Мария Пономарева 23 Судебная практика. Договор на охрану Кратко: в МАУ МФЦ была проведена плановая проверка. Ответственным за взаимодействие при проведении указанной проверки назначен начальник отдела информационно-коммуникационных технологий. Доводы суда: В договоре между МАУ МФЦ и ООО ЧОО «…», на основании которого на территории оператора осуществляется внутриобъектовый пропускной режим (ведется журнал прибытия работников, содержащем их фамилию, имя, отчество, время и дата прихода на работу), отсутствует перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, а также требования к защите обрабатываемых персональных данных. Замечания устранены, а именно: заключено дополнительное соглашение к договору. Результат: штраф 500 рублей. 24 Вопрос 5. Предоставление ПДн 5а. Особенности (требования) предоставления информации по запросам гос. органов (врачебная тайна)? 5б. Особенности работы с врачебной тайной? Максим Марченко 25 Судебная практика. Передача адвокату Кратко: заместителю главного врача поступил адвокатский запрос о предоставлении сведений о том, состоит ли на учете у врачакардиолога несовершеннолетний X. Так как был предоставлен ордер о предоставлении интересов в органах гос. власти, гос. учреждениях и организациях, на основании указанных документов, она получила сведения у врача-кардиолога и предоставила ответ на адвокатский запрос с указанием диагноза. Доводы суда: Согласно ст. 13 Федерального закона N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» с письменного согласия гражданина или его законного представителя допускается разглашение сведений, составляющих врачебную тайну, другим гражданам, в том числе должностным лицам, в целях медицинского обследования и лечения пациента, проведения научных исследований, их опубликования в научных изданиях, использования в учебном процессе и в иных целях. Согласие получено не было. Результат: штраф 500 рублей. 26 Вопрос 6. Хранение ПДн Сроки хранения документов по ПДН в медицине: электронных и бумажных. Мария Пономарева 27 Ответ 6. Хранение ПДн ПИСЬМО МИНЗДРАВА РОССИИ ОТ 07.12.2015 N 13-2/1538 «О СРОКАХ ХРАНЕНИЯ МЕДИЦИНСКОЙ ДОКУМЕНТАЦИИ» Перечень основных учетных документов со сроками их хранения N п/п 1. 2. 3. 4. 5. 6. Наименование формы Журнал учета приема пациентов и отказов в госпитализации Журнал учета приема беременных, рожениц, и родильниц Медицинская карта стационарного больного Медицинская карта прерывания беременности Листок ежедневного учета движения пациентов и коечного фонда стационара круглосуточного пребывания, дневного стационара при больничном учреждении Листок ежедневного учета движения больных и коечного фонда дневного стационара при амбулаторно-поликлиническом учреждении, стационара на дому N N N N N формы 001/у 002/у 003/у 003-1/у Срок хранения 5 лет 5 лет 25 лет 5 лет N 007/у-02 1 год N 007дс/у-02 1 год 28 Ответ 6. Хранение ПДн N п/п 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. N 008/у Срок хранения 5 лет N 016/у-02 1 год N 066/у-02 10 лет N N N N 25 лет 25 лет 5 лет 25 лет Наименование формы Журнал записи оперативных вмешательств в стационаре Сводная ведомость учета движения больных и коечного фонда стационара круглосуточного пребывания, дневного стационара при больничном учреждении Статистическая карта выбывшего из стационара круглосуточного пребывания, дневного стационара при больничном учреждении, дневного стационара при амбулаторно-поликлиническом учреждении, стационара на дому История родов История развития новорожденного Журнал отделения (палаты) новорожденных История развития ребенка Обменная карта родильного дома, родильного отделения больницы. Сведения женской консультации о беременной Журнал записи вызовов скорой медицинской помощи Карта вызова скорой медицинской помощи N формы 096/у 097/у 102/у 112/у N 113/у 5 лет N 109/у N 110/у 3 года 1 год 29 Ответ 6. Хранение ПДн N п/п 17. 18. 19. 20. 21. 22. 23. 24. 25. 26. 27. 28. 29. Наименование формы Сопроводительный лист станции (отделения) скорой медицинской N помощи и талон к нему Дневник работы станции скорой медицинской помощи N Индивидуальная карта беременной и родильницы N Медицинская карта пациента, получающего медицинскую помощь в N амбулаторных условиях Талон пациента, получающего медицинскую помощь в амбулаторных N условиях Медицинская карта ребенка N Контрольная карта диспансерного наблюдения N Паспорт врачебного участка граждан, имеющих право на получение N набора социальных услуг Журнал записи родовспоможения на дому N Медицинская карта стоматологического пациента N Медицинская карта ортодонтического пациента N Журнал записи амбулаторных операций N Журнал регистрации и выдачи медицинских справок (формы N 086/у и N N 086-1/у) N формы Срок хранения 114/у 1 год 115/у 111/у 3 года 5 лет 025/у 25 лет 025-1/у 1 год 026/у 030/у 10 лет 5 лет 030-13/у 5 лет 032/у 043/у 043-1/у 069/у 5 лет 25 лет 25 лет 5 лет 086-2/у 3 года 30 Вопрос 7. Уничтожение ПДн Ситуация такая: пациент лежал в стационаре, через какое-то время он приходит и требует удаление из мед учреждения его ПДн. Как быть? По номенклатуре мы обязаны хранить стационарные карты 25 лет. И как удалять такие данные из Медицинских информационных систем? ( все взаимосвязано: регистратура, прием врача, отчёты в страховые компании и т.д). Максим Марченко 31 Ответ 7. Пример ответа на обращение о прекращении обработки ПДн Ваше обращение, поступившее из Управления Роскомнадзора по Южному федеральному округу от №___ рассмотрено министерством здравоохранения Краснодарского края. В соответствии с п.2 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» обработка Ваших персональных данных будет продолжена до достижения цели обработки. При направлении заявления в медицинскую организацию на прекращение обработки Ваших персональных данных данные из информационных систем могут быть удалены после достижения заявленной цели обработки данных. Срок хранения персональных данных обрабатываемых без использования средств автоматизации в медицинской организации после достижения цели обработки данных регламентируется письмом Минздрава России от 07.12.2015 № 13-2/1538 «О сроках хранения медицинской документации». По Вашему обращению медицинской организации были даны дополнительные разъяснения. Максим Марченко 32 Судебная практика. Сроки хранения Кратко: X были оказаны медицинские услуги в «Областном лечебно-реабилитационном центре» но основании договора возмездного оказания услуг. Затем Х обратилась к ответчику с заявлением об отзыве своего согласия на обработку персональных данных. В прекращении обработки персональных данных X было отказано, в связи с тем, что срок хранения медицинской документации, содержащей, в том числе персональные данные, не истек. Доводы суда: Медицинская карта стационарного больного является основным первичным медицинским документом больного, проходящего лечение, и заполняется на каждого пациента при обращении за медицинской помощью в лечебное учреждение. Сведения, содержащиеся в медицинской карте, необходимы для составления отчетности по всем видам и формам, которые установлены для медицинских организаций и которую они обязаны предоставлять в сроки и в объеме, определенные уполномоченным федеральным органом исполнительной власти. В этих целях медицинские организации обязаны обеспечивать ведение, учет и хранение медицинской документации, сроки хранения первичной медицинской документации, в частности медицинской карты, учреждений здравоохранения составляет 25 лет (письмо Минздрава России от 07.12.2015 года № 132/1538 «О сроках хранения медицинской документации»). Результат: жалоба оставлена без удовлетворения. 33 Вопрос 8. Обработка ПДн в облаке Как организовать облачную обработку данных о здоровье? Может ли оператор предложить анкетирование по состоянию здоровья, чтобы собрать эту инфу с участников анкетирования и делать им предложения? Какие специальные условия нужно соблюсти? Мария Пономарева 34 Ответ 8. Обработка ПДн в облаке Облака: При использовании облака третья сторона занимается хранением и обработкой персональных данных (сотрудников, клиентов, пациентов и т. д.). Провайдер должен иметь собственный ЦОД и все необходимые лицензии ФСТЭК и ФСБ. В противном случае хранение персональных данных в таком ЦОД будет нарушением закона. 35 Судебная практика. Анкеты при диспансеризации Кратко: В МБУЗ были выявлены поддельные записи о диспансеризации. Доводы суда: Гражданин дает согласие на обработку и использование персональных данных пациента. На пациента заводится медицинская карта амбулаторного больного, куда вклеиваются согласие гражданина на медицинское вмешательство и на обработку персональных данных. Результаты осмотров врачами и исследований, проведенных во время диспансеризации, вносятся врачом или участковой медсестрой в медицинскую карту амбулаторного больного. На основе сведений о прохождении гражданином диспансеризации медицинским работником - врачом заполняется «Карта учета диспансеризации (профилактических медицинских осмотров)». После оформления карт учета диспансеризации 1 и 2 этапов врач направляет карту учета диспансеризации в отделение статистики, где оператор вносит информацию из карты учета диспансеризации в программу. В конце каждого месяца формируется сводный файл со всеми оконченными случаями диспансеризации. Данная информация направляется в ТФОМС для оплаты. После этого ТФОМС переводит опосредованно через страховые компании денежные средства на счет МБУЗ. Результат: штраф 30000 рублей. 36 Вопрос 9. Обработка ПДн на сайте Гражданин может указать в обращении в гос орган любую информацию о себе, в том числе о своей инвалидности, состоянии здоровья. Как правильно составить форму согласия для обращений через сайт медицинского учреждения? Мария Пономарева 37 Ответ 9. Обработка ПДн на сайте Обращение через сайт: На сайте МО должна быть представлена подробная политика обработки персональных данных за подписью главврача или директора частной МО, разъясняющая категории ПДн, требования по обработке ПДн пациентов, права и обязанности пациентов в отношении обработки их ПДн, права и обязанности сотрудников МО по обработке ПДн пациентов, порядок обработки персональных данных пациентов. 38 Вопрос 10. ОРД 10а • Основные нормативные документы, которые необходимо разработать, для обеспечения безопасности ПДн в медицине? Какие нормативные документы необходимо разработать для обеспечения безопасности ПДн для Региональной информационно-аналитической медицинской системы? 10б • Вопрос: чем руководствоваться при разработке нормативки и выборе мер защиты? Есть ли mind карта по медицинской нормативке? Максим Марченко 39 Проверка Роскомнадзора. ОРД Управлением Роскомнадзора по Республике Бурятия проведена плановая выездная проверка в отношении Государственного бюджетного учреждения здравоохранения «Республиканская …». Выявлены следующие нарушения обязательных требований законодательства Российской Федерации в области обработки персональных данных: • ч. 3 ст.22 Федерального закона «О персональных данных», в части представления в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные сведения, а именно не в полном объеме представлены сведения, предусмотренные п.5 ч. 3 ст. 22 и п. 6 ч. 3 ст. 22 Закона; • ч. 1 ст.18.1 Федерального закона «О персональных данных», в части непринятия оператором мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, а именно оператором не производится ознакомление своих работников с положениями законодательства Российской Федерации о персональных данных; • п.13 Постановления Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», в части отсутствия у оператора перечня лиц, осуществляющих обработку персональных данных без использования средств автоматизации, либо имеющих доступ к персональным данным пациентов. По результатам плановой выездной проверки выдано Предписание об устранении выявленных нарушений. https://03.rkn.gov.ru/news/news162016.htm 40 Вопрос 11. Защита ПДн Как защитить электронные карты пациентов? Мария Пономарева 41 Ответ 11. Защита ПДн Электронные карты пациента: • Передача по защищенным каналам связи; • Использование сертифицированных средств защиты; • Двухэтапная авторизация; • Блокчейн. 42 Вопрос 12. Повышение осведомленности и ответственность Какие мероприятия ИБ необходимо проводить для профилактики нарушений обработки ПДн со стороны персонала МО, чтобы снизить риск случайных и злонамеренных утечек? Максим Марченко Мария Пономарева Ксения Шудрова 43 Ответ 12. Повышение осведомленности и ответственность 95% утечек ПДн происходят вследствие человеческого фактора. Социальная инженерия самый низкозатратный способ! УГРОЗЫ: Сокращение численности персонала; Недостаточная квалификация в вопросах ИБ; Резкий рост нагрузки и стресса; Финансовый вопрос; Халатное отношение; Недовольство обстоятельствами; Дело врачей: неадекватные и скандальные пациенты. 44 Ответ 12. Повышение осведомленности и ответственность ПРЕВЕНТИВНЫЕ МЕРОПРИЯТИЯ: • Повышение осведомленности сотрудников в вопросах киберграмотности; • Использование ПО и аппаратных средств оповещения о подозрительной активности; • Психологическая поддержка сотрудников со стороны отдела персонала; • Просветительская работа с пациентами. Регламент обращений за медицинской помощью. 45 Новость об утечке. 20 мая 2020 г. • После крупной утечки персональных данных жителей Свердловской области возбуждено уголовное дело. Дело открыло региональное управление ФСБ. • Как сообщает портал «66.ру», производство возбуждено в отношении бывшего системного администратора территориального фонда обязательного страхования Свердловской области. Он подозревается в «сливе» медицинской информации в сеть, гражданин хотел продать базу данных 4,5 млн пациентов. • «К сожалению, три года назад сотрудник больницы, вероятно, обладающий специальными знаниями, обошел установленные ограничения», — сообщили в пресс-службе фонда. • https://regnum.ru/news/society/2956280.html 46 Вопросы ? Ксения Шудрова Сергей Борисов Мария Пономарева Максим Марченко