Особливості захисту інформації в електронній системі охорони здоров’я
Обмін персональними даними про здоров'я між надавачами медичних послуг, інформаційними мережами охорони здоров'я, медичними працівниками та пацієнтами ускладнюється проблемою як технічного, так і правового захисту так званих "чутливих персональних даних".
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | статья |
| Язык | украинский |
| Дата добавления | 07.07.2022 |
| Размер файла | 16,0 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Особливості захисту інформації в електронній системі охорони здоров'я
Пономаренко І.С.
аспірант аспірантури та докторантури,
Національна академія Служби безпеки України м. Київ, Україна
Зважаючи на суттєві зміни, які відбуваються у ході проведення медичної реформи, виникає нагальна необхідність змін у чинному законодавстві у частині, що стосується подальшого впровадження електронної системи охорони здоров'я. На сьогодні обмін персональними даними про здоров'я між надавачами медичних послуг, інформаційними мережами охорони здоров'я, медичними працівниками та пацієнтами ускладнюється проблемою як технічного, так і правового захисту так званих «чутливих персональних даних», що мають підвищені вимоги по захисту згідно з відповідними законами. 19 жовтня 2017 Верховною Радою України прийнято Закон України «Про державні фінансові гарантії медичного обслуговування населення», яким впроваджено нову юридичну конструкцію - «електронна система охорони здоров'я», під якою розуміється інформаційно-телекомунікаційна система, що забезпечує автоматизацію ведення обліку медичних послуг та управління медичною інформацією шляхом створення, розміщення, оприлюднення та обміну інформацією, даними і документами в електронному вигляді, до складу якої входять центральна база даних та електронні медичні інформаційні системи, між якими забезпечено автоматичний обмін інформацією, даними та документами через відкритий програмний інтерфейс [1]. Проте, на жаль, дана система, практично упродовж року застосування, у порушення вимог норм з технічного захисту інформації, не мала сертифікату про відповідність КСЗІ. Наразі електронна система охорони здоров'я знаходиться на серверах дата-центру в Україні, які мають комплексну систему захисту інформації та пройшли атестацію у Державній службі спеціального зв'язку та захисту інформації.
Як слушно зазначає Х.Я. Терешко: «з урахуванням науково-технологічного прогресу роль і значення інформаційних відносин постійно зростає. Зважаючи на це запровадження електронної системи охорони здоров'я, а також поширення інформації за допомогою цифрових носіїв як у межах однієї держави, так і у транскордонному просторі, створення електронних реєстрів: пацієнтів; декларацій про вибір лікаря; суб'єктів господарювання у сфері охорони здоров'я; медичних спеціалістів; медичних працівників; договорів про медичне обслуговування населення; договорів про реімбурсацію, що, своєю чергою, дасть можливість електронного консультування тощо наразі досить актуальні. Крім того, такі відносини покликані забезпечувати дотримання регламенту при наданні інформації про стан здоров'я пацієнта, у тому числі його права на ознайомлення з відповідними документами, які містять інформацію про стан здоров'я пацієнта. Така система також уможливлює створення «єдиного медичного простору», координацію й інтеграцію між рівнями медичної допомоги, а також запровадження нової системи управління якістю послуг» [2].
Відповідно до п. 2. ст. 11 Закону України «Про державні фінансові гарантії медичного обслуговування населення», «доступ до даних про пацієнта, що містяться в електронній системі охорони здоров'я, можливий лише у разі отримання згоди такого пацієнта (його законного представника) у письмовій формі або у формі, що дає змогу зробити висновок про надання згоди. Без згоди доступ до інформації про пацієнта можливий у випадках: наявності ознак прямої загрози життю пацієнта; за умови неможливості отримання згоди такого пацієнта чи його законних представників (до часу, коли отримання згоди стане можливим); за рішенням суду» [1]. Крім того, відповідно до Закону України «Про захист персональних даних» [3], пацієнт в обов'язковому порядку особисто письмово надає згоду на обробку персональних даних. Таким чином, на законодавчому рівні закріплено, що «доступ до даних про пацієнта, що містяться в електронній системі охорони здоров'я, можливий лише у разі отримання згоди такого пацієнта (його законного представника) у письмовій формі або у формі, що дає змогу зробити висновок про надання згоди». Проте, варто акцентувати увагу на тому, що ч. 2 ст. 11 Закону України «Про державні фінансові гарантії медичного обслуговування населення» від 19.10.2017 р. передбачено випадки можливого отримання доступу до персональних даних без надання згоди пацієнта: наявні ознаки безпосередньої загрози життю пацієнта; неможливо отримати згоду пацієнта чи його законних представників (до моменту можливості отримати згоду); за рішенням суду [3]. Отже, обробка персональних даних у сфері охорони здоров'я без згоди суб'єкта даних буде визнаватись законною лише якщо проводиться в цілях охорони здоров'я встановленим колом осіб. захист інформація електронний охорона здоров'я
Разом з тим, мають місце факти недотримання вимог захисту персональних даних під час функціонування електронної системи охорони здоров'я. Зокрема, Департаментом у сфері захисту персональних даних Секретаріату Уповноваженого Верховної Ради України з прав людини за даним напрямом проведено ряд перевірок (Національну службу охорони здоров'я України, державне підприємство «Електронне здоров'я», ТОВ «ХЕЛСІ ЮА», Комунальне некомерційне підприємство «Центр первинної медико-санітарної допомоги Печерського району», Комунальне некомерційне підприємство «Центр первинної медикосанітарної допомоги «Русанівка» Дніпровського району м. Києва»), за результатами яких встановлено порушення вимог чинного законодавства. Так, власники електронних медичних інформаційних систем збирають персональні дані пацієнтів, в тому числі медичні дані, відбираючи згоду суб'єкта персональних. Варто зазначити, що така згода відбирається або під час звернення суб'єкта персональних даних до закладу охорони здоров'я та укладання декларації із лікарем, або під час реєстрації в електронній медичній інформаційній системі, зокрема, для того, щоб записатись на прийом до лікаря. В першому випадку згода надається шляхом проставляння відмітки в електронній формі під час підписання декларації. Як встановлено під час перевірок - в закладах охорони здоров'я не завжди повідомляють про надання згоди суб'єкта персональних даних, проставляючи згоду самостійно замість пацієнта і без його відома. Крім того, в такому випадку пацієнт не повідомляється про володільця персональних даних, склад та зміст зібраних персональних даних, свої права, визначені Законом України «Про захист персональних даних», мету збору персональних даних та осіб, яким передаються його персональні дані. Таким чином, пацієнт позбавляється можливості реалізації та захисту своїх прав як суб'єкт персональних даних. У другому випадку згода надається безпосередньо під час реєстрації суб'єкта персональних даних в електронній медичній інформаційній системі. В такому випадку надання згоди є обов'язковим, що не відповідає вимогам законодавства. Під час надання згоди суб'єкт персональних даних повідомляється про мету збору персональних даних. Проте, під час проведення перевірок встановлено, що деякі власники медичних інформаційних систем неправильно визначають мету обробки персональних даних та відносини із закладами охорони здоров'я щодо обробки персональних даних пацієнтів [4].
За результатами перевірок Національній службі здоров'я України рекомендовано доопрацювати Технічні вимоги до електронної медичної інформаційної системи для її підключення до центральної бази даних електронної системи охорони здоров'я, затверджені наказом НСЗУ від 06.02.2019 р. № 28, ТОВ «ХЕЛСІ ЮА» рекомендовано доопрацювати документи та привести у відповідність до законодавства в сфері захисту персональних даних відносини ТОВ «ХЕЛСІ ЮА» як розпорядника персональних даних пацієнтів закладів охорони здоров'я із закладами охорони здоров'я, з якими укладено договір про надання послуг користування інформаційно-телекомунікаційною системою «HELSI», та припинити отримувати згоду суб'єктів персональних даних на обробку персональних даних, володільцем яких є заклад охорони здоров'я [4].
Заслуговує на увагу і Порядок функціонування електронної системи охорони здоров'я України від 25.04.2018 № 411 [5], яким вперше передбачено надання та контроль максимальної інформації щодо збору, обробки, зберігання відомостей про пацієнтів, що цілком відповідає нормам GDPR. Наразі Міністерство охорони здоров'я разом з Міністерством цифрових трансформацій працює над подальшою інтеграцією системи «Е-Health» у портал та додаток «Дія». Для прикладу, на сьогодні досить актуальним є завантаження «COVID - сертифікатів» за допомогою додатку «Дія», що сприяє як спрощенню процедури отримання документу, так і дотриманню карантинних обмежень в умовах пандемії. З метою покращення ефективності захисту інформації у даній системі вважаємо за доцільне при удосконаленні програмного забезпечення дотримуватись вимог HIPAA, як перевіреного та налагодженого стандарту.
Як бачимо, певні зрушення у даному напрямі прослідковуються, однак цього не достатньо, і саме через законодавчі прогалини захист цієї групи даних в Україні залишається неефективним. Як наслідок, мають місце непоодинокі випадки порушення захисту медичної інформації. Так, наприклад, Національний координаційний центр кібербезпеки (НКЦК) при Раді безпеки і оборони України у ході моніторингу виявив витік персональних медичних даних з однієї із найбільших клінік Дніпра [6]. Витік стався в результаті помилок конфігурації в інформаційних системах і базах даних клініки, які мали доступ в мережу Інтернет. Даний факт є порушенням пп. 13 п.2 Загальної частини Порядку функціонування електронної системи охорони здоров'я України, так як Дніпровська клініка є розпорядником реєстру, а, відповідно, несе відповідальність за вжиття відповідних заходів щодо захисту оброблюваної інформації.
Список використаних джерел:
1. Про державні фінансові гарантії медичного обслуговування населення: Закон України від 19.10.2017 р. № 2168-УШ. иЯЬ: http://zakon3.rada.gov.ua/laws/show/2168-19.
2. Терешко Х.Я. Права пацієнтів за умов запровадження електронної системи охорони здоров'я: деякі проблеми дотримання. Доктрина медичного права. 2018. С. 50-57. иКЬ: https://doi.org/10.25040/medicallaw2018.02.050.
3. Про захист персональних даних: Закон України від 01.06.2010 р. № 2297-УІ. иЯЬ: http://zakon.rada. gov.ua/laws/show/2297- 17.
4. Виявлено неправильне застосування законодавства у сфері
захисту персональних даних під час функціонування електронної системи охорони здоров'я. URL: www.ombudsman.gov.ua/ua/all-
news/pr/sfer%D1 %96-zaxistu-personalmx-damx-p%D1 %96d-chas- funkcz%D1%96onuvannya-elektronno%D1%97-sistemi-oxoroni-zdorovya.
5. Порядок функціонування електронної системи охорони здоров'я: постанова Кабінету Міністрів України від 25.04.2018 р. № 411. иКЬ: https://www.kmu.gov.ua/npas/deyaki-pitannya-elektronnoyi- sistemi-ohoroni-zdorovya.
6. Выявлена утечка персональных данных пациентов в одной из крупнейших частных клиник Днепра. иКЬ: https://interfax.com.ua/news/general/692349.html.
Размещено на Allbest.ru
...Подобные документы
Особливості надходження та виписки пацієнтів в лікувальних закладах охорони здоров’я Збройних Сил України та фактори, що на них впливають. Математична модель та програмне забезпечення завантаження лікувальних закладів охорони здоров’я та її реалізація.
автореферат [242,1 K], добавлен 11.04.2009Загальна характеристика комунікацій та інформації. Розвиток інформаційних систем в медичних закладах. Госпітальні інформаційні системи та телемедичні технології. Інформаційні технології в медичній освіті та в науці України, перспективи їх розвитку.
реферат [28,8 K], добавлен 10.03.2011Загальна характеристика ТОВ "WED". Програмне забезпечення і система документообігу підприємства. Технічні засоби охорони об’єктів від витоку інформації. Резервне копіювання інформації. Встановлення антивірусу. Впровадження криптографічного захисту.
курсовая работа [697,1 K], добавлен 01.06.2010Побудова інформаційної системи, що буде слугувати для автоматизації процесу захисту персональних даних клієнтів банку. Вибір методу проектування архітектури та моделі функціонування системи. Перелік масивів, використовуваних під час розв’язання задачі.
дипломная работа [1,8 M], добавлен 02.06.2017Принципи, цілі та завдання, напрямки робіт із захисту інформації. Суб'єкти системи захисту інформації у Російській Федерації. Основні організаційно-технічні заходи, об'єкти та засоби захисту інформації. Види загроз безпеки, матеріальні носії інформації.
реферат [23,6 K], добавлен 27.03.2010Основи безпеки даних в комп'ютерних системах. Розробка програми для забезпечення захисту інформації від несанкціонованого доступу: шифрування та дешифрування даних за допомогою криптографічних алгоритмів RSA та DES. Проблеми і перспективи криптографії.
дипломная работа [823,1 K], добавлен 11.01.2011Інформаційна система та система охорони здоров’я. Загальні відомості про офтальмологічну клініку "Світ Зору". Вимоги до інформаційного забезпечення. Аналіз існуючих систем управління базами даних і вибір найкращої. Фізична організація файлів баз даних.
курсовая работа [1,8 M], добавлен 02.05.2012Загальна характеристика існуючих методів обміну даними між компонентами MS Office, їх властивості та напрямки використання. Формат даних, що вставляються з буфера обміну. Відмінності у властивостях створених, впроваджених та вставлених даних.
курсовая работа [190,2 K], добавлен 07.02.2003Акт категоріювання. Акт обстеження. Наказ на контрольовану зону. Модель загроз. Технічний захист інформації. Комплексна система захисту інформації. Перелік вимог з захисту інформації. Об'єкти, що підлягають категоріюванню.
курсовая работа [17,6 K], добавлен 19.07.2007Особливості захисту персональних комп'ютерів від несанкціонованого доступу (НДС). Спеціальне програмне забезпечення захисту інформації. Захист від НСД шляхом запису ключа за логічними межами файла. Процес підготування програми на мові ассемблера.
курсовая работа [33,3 K], добавлен 08.08.2009Функції систем захисту інформації, основні терміни та визначення. Введення в криптологію, нормативно-правова база захисту інформації. Впровадження новітніх інформаційних телекомунікаційних системи. Використання та здійснення електронного документообігу.
реферат [24,0 K], добавлен 03.10.2010Проектування бази даних та інтерфейсу програми. Розробка бази даних за допомогою Firebird 2.5. Контроль коректності вхідних та вихідних даних. Додавання та редагування інформації. Вплив електронно-обчислювальних машин на стан здоров'я користувачів.
дипломная работа [4,7 M], добавлен 12.10.2015Принципи інформаційної безпеки. Статистика атак в Інтернеті. Засоби захисту інформації у системах передачі даних. Загальні поняття та визначення в галузі проектування захищених автоматизованих систем. Захист телефонної лінії від прослуховування.
магистерская работа [1,2 M], добавлен 07.03.2011Проблеми розробки компонентного програмного забезпечення автоматизованих систем управління. Сучасні компонентні технології обробки інформації. Аналіз вибраного середовища проектування програмного забезпечення: мова програмування PHP та Apache HTTP-сервер.
дипломная работа [2,8 M], добавлен 11.05.2012MS-DOS - перша операційна система. Створення в операційній системі MS-DOS резидентної програми захисту файлів від видалення, її використання в випадках захисту файлів від випадкового видалення. Структура вхідних та вихідних даних, алгоритм рішення задачі.
курсовая работа [35,5 K], добавлен 16.11.2012Задачі інформаційних систем криптографічного захисту інформації. Принципи шифрування даних на основі використання хеш-функцій. Розробка програмних компонентів інформаційних систем криптографічного захисту інформації. Види криптографічних алгоритмів.
курсовая работа [2,7 M], добавлен 23.01.2012Вразливість інформації в автоматизованих комплексах. Концепція захисту інформації. Комплекс основних задач при розробці політики безпеки. Стратегія та архітектура захисту інформації. Політика безпеки інформації. Види забезпечення безпеки інформації.
реферат [243,2 K], добавлен 19.12.2010Проблеми побудови цілісної системи захисту інформації з обмеженим доступом для малого підприємства. Основні етапи планування та моделювання комплексної системи захисту інформації, негативні чинники, що можуть завадити проведенню якісної її побудови.
статья [131,1 K], добавлен 27.08.2017Види секретної інформації та методи захисту. Тип і об’єм вхідних даних. Програмна реалізація системи алгоритму шифрування зі стисненням. Призначення та опис програмного продукту Export. Алгоритми захисту зберігання та обміну секретною інформацією.
дипломная работа [1,1 M], добавлен 19.09.2012Описання видів загроз безпеки інформації. Комп’ютерні віруси як особливий клас руйнуючих програмних дій, їх життєвий цикл та стадії виконання. Засоби і методи захисту інформації у комп’ютерних системах, механізм їх дії. Класифікація антивірусних програм.
курсовая работа [48,9 K], добавлен 28.09.2011
