Обеспечение врачебной тайны при использовании электронной истории болезни (Т.Ю. Грачева, В.Ф. Чунарев, Е.А. Баковская, "Медицинское право", N 2, II квартал 2005 г.)

Обеспечение врачебной тайны при использовании
электронной истории болезни

Широкое распространение компьютерных технологий в медицине изменило практическую деятельность врача. Реалиями сегодняшних дней стали: информационные системы в лечебно-профилактических учреждениях (ЛПУ), обмен медицинскими данными между больницами, страховыми организациями и органами управления здравоохранения по сетям Интернет и Интернет. При этом немногие задумываются о том, что любая персонифицированная информация, тем более такая личная, как данные медицинской истории болезни в электронном виде, могут стать объектом правонарушения. Предпосылки к этому:

легкость хищения информации, так как в создаваемых медицинских компьютерных программах мало внимания уделяется защите от несанкционированного доступа. Легкий доступ к компьютерным сетям (не нужно сложного оборудования, кроме компьютера);

трудность идентификации личности при хищении информации;

базы данных на пациентов, как правило, не защищены паролями от входа и недостаточно часто сохраняются на случай технического отказа;

слабая правовая база, вследствие чего многие законодательные акты требуют дальнейшего совершенствования, особенно в вопросах защиты медицинских компьютерных технологий.

При этом намечается дальнейшее развитие информационных технологий: многие пациенты зачастую консультируются по электронной почте с врачами, расширяется сеть телемедицинских центров, при проведении мероприятий по монетизации льгот (Льгота-2005) проведено объединение медицинских баз данных и базы Пенсионного фонда. Таким образом, актуальность защиты медицинской информации возрастает.

Защита данных в компьютерных сетях вообще и в медицине в частности становится одной из самых открытых проблем в современных информационно-вычислительных системах. На сегодняшний день сформулировано три базовых принципа информационной безопасности, задачей которой является обеспечение:

- целостности данных - защита от сбоев, ведущих к потере информации или ее уничтожению;

- конфиденциальности информации;

- доступности информации для авторизованных пользователей.

Профилактика преступлений в сфере медицинской информации, особенно связанных с использованием МИС, трудна, но крайне необходима. Все мероприятия можно разделить на: юридические, технические, программные мероприятия и работу с персоналом (учет человеческого фактора).

Юридические меры включают тщательную подготовку проблемы и вынесение ее на уровень законодательной инициативы, акта законотворчества с соответствующим утверждением и применением, а также подзаконных актов: приказов и рекомендаций ведомств, стандартов, регламентов аккредитации. Как пример можно отметить внесенный на рассмотрение в Государственную Думу и отклоненный в 2004 г. проект Закона "О правах пациентов" с общим упоминанием проблемы защиты медицинской информации. Абсолютно не проработан в России вопрос обеспечения организации и оказания телемедицинских услуг.

Технические мероприятия, как наиболее трудоемкие, должны проводиться специалистами и включать использование сертифицированных систем защиты от несанкционированного доступа, особое программирование мостов и маршрутизаторов удаленного доступа для исключения перехвата пакетов информации "хакерами", разработку стратегии создания резервных копий и восстановления баз данных.

Работа с персоналом относится к наиболее сложному разделу, так как не может быть строго регламентирована. Однако именно в такой работе заключено более 50% успеха проводимых мероприятий по защите медицинской информации. Нами применялся комплексный отбор при подготовке кадров, обучение с освещением правовых вопросов, работа по обязательству и др.

В рамках эксперимента, проводимого Кемеровским областным фондом ОМС совместно с врачебно-санитарным отделом Кузбасского отделения железной дороги с 1997 г., разработано программное сетевое обеспечение и начата промышленная эксплуатация электронных страховых полисов. Эксперимент начинался на базе железнодорожной больницы на станции Кемерово, далее присоединились больницы станций Топки, Белово. К началу 2002 г. экспериментом были охвачены в режиме промышленной эксплуатации с выдачей электронных полисов 100 тысяч железнодорожников. Применение полисов с записанной на них информацией позволяет вести точный учет баз прикрепленных, быстро (за 1-2 секунды) идентифицировать конкретного пациента, осуществлять ведение электронной амбулаторной медицинской карты пациента и преемственность между поликлиникой и стационаром. Дискуссионным со стороны правовых аспектов, однако очень актуальным представляется вопрос о возможности внесения медицинских данных на электронный чип полиса - группы крови, хронических заболеваний (например, сахарного диабета), льгот при лекарственном обеспечении.

При создании программного обеспечения были использованы позитивный опыт имеющейся сети, данные о доступных медицинских информационных системах в городе, области, ведомственном (железнодорожном) здравоохранении, ОМС и ДМС. Особенностью программ, интересной для данного исследования, явилось разграничение полномочий пользователей по уровням информации при создании рабочего места и возможность расширения и сужения допуска при изменении требований к базам для защиты информации. Создана и внедрена электронная "Амбулаторная карта" - прообраз истории болезни электронного типа. Активно применяются все методы защиты медицинской информации.

Заключение: назрела настоятельная необходимость создания системы правовой и технологической защиты медицинской информации для предупреждения преступлений в этой сфере. Предложена стройная схема взаимодействия различных уровней власти для предупреждения подобных явлений. Установлено, что внесенный в Думу на рассмотрение законопроект о правах пациентов в достаточной мере отражает необходимые меры по предупреждению указанных нарушений. Разработана система регионального и муниципального взаимодействия исполнительных органов власти по профилактике компьютерных нарушений в сфере медицинской информатизации. Даны рекомендации для конкретных лечебно-профилактических учреждений по созданию защищенной базы с возможностью создания современных сетей Интернета и Интернета. Созданы практические рекомендации по организации защитных мероприятий технической сферы.

Библиографический список:

1. Конституция Российской Федерации. М.: Издательство Пресс, 1999.

2. Гражданский кодекс РФ. М.: ТД Элит, 2003. - 264 с.

3. Закон РФ "Об информации, информатизации и защите информации" от 20 февраля 1995 г. N 24-ФЗ.

4. Грачева Т.Ю., Азаров А.В., Шумилина Э.Г., Артамонова А.В. "Актуальные вопросы защиты медицинской информации". Материалы Всероссийской НПК с международным участием "Правовые и этические основы медицинской деятельности: международное измерение и национальные традиции". Самара, 2004.

5. Лайонз А. Планирование действий в непредвиденных обстоятельствах для систем обработки банковской информации // Системы безопасности связи и телекоммуникаций. 1997. N 3. С. 98-99.

6. Организация и современные методы защиты информации / Под общей редакцией С.А. Диева, А.Г. Шаваева. М.: Концерн "Банковский Деловой Центр", 1998.

Т.Ю. Грачева,

заместитель главного врача

В.Ф. Чунарев,

главный врач

Е.А. Баковская,

заместитель главного врача Отделенческой больницы

на ст. Кемерово ОАО "РЖД"

"Медицинское право", N 2, II квартал 2005 г.