Как должна обеспечиваться информационная безопасность в медицинской организации?

Пациенты как субъекты персональных данных, в т. ч. составляющих врачебную тайну, передавая сведения о себе, вправе рассчитывать на соблюдение конфиденциальности при использовании данной информации в медорганизациях. Это подразумевает не только применение технических средств защиты (специальные сертифицированные программные и технические средства защиты информации[73]), но и проведение комплекса организационных мероприятий, направленных на предотвращение потери, искажения и несанкционированного доступа к персональным данным.

Указанный комплекс мероприятий должен подразумевать наличие в медорганизации должностных инструкций, положения об обработке персональных данных, журналов (журнала регистрации используемого программного обеспечения, журнала по учёту носителей информации, содержащей персональные данные, журнала учёта обращений граждан – субъектов персональных данных, журнала регистрации выявленных нарушений). Должны функционировать регламенты взаимодействия между подразделениями медорганизации, регламенты использования программного обеспечения, ресурсов сети Интернет, требования к профессиональной подготовке персонала. Медработники должны подписывать обязательства о неразглашении данных.

Приказом руководителя (главного врача) медорганизации из числа работников назначается ответственный за организацию обработки персональных данных. В его обязанности входит контроль за соблюдением оператором и сотрудниками медорганизации законодательства о персональных данных и требований к их защите;

доведение до сведения сотрудников положений законодательства и локальных актов организации, регламентирующих процесс обработки персональных данных; организация приёма и обработки обращений и запросов субъектов персональных данных.

Активно разрабатываемые медорганизациями электронные истории болезни[74] во многих отношениях могут быть удобнее и надежнее бумажных, в частности, появляется возможность легко и эффективно контролировать доступ к ним лишь конкретных лиц. В то же время потенциальная возможность передачи огромного количества конфиденциальной информации с колоссальной скоростью практически неограниченному числу адресатов порождает серьёзные проблемы, относящиеся не к конфиденциальности, а именно к сфере информационной безопасности. Впрочем, по данным исследований, в России в 90 % случаев в утечке информации виноват персонал, а не хакеры.[75]

Данный текст является ознакомительным фрагментом.