Телемедицина относительно новое направление в здравоохранении, но уже стала неотъемлемой частью предоставления услуг в сфере медицины. С 1 января 2018 года были приняты законодательные акты, закрепившие правила использования телемедицинских технологий в Российской Федерации. В частности, были внесены изменения в основной Федеральный закон №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» в части ст. 36.2 «Особенности медицинской помощи, оказываемой с применением телемедицинских технологий». В ней указывается на необходимость оказания телемедицинской помощи с учетом требований законодательства Российской Федерации в области обработки персональных данных.
Как регулируется Роскомнадзором передача персональных данных?
В первую очередь, многих интересуют стандартные процедуры со сбором согласий на обработку персональных данных. Так как идентификация производится через «единую систему идентификации и аутентификации» (т.е., портал «Госуслуг») (п.6 ст.36.2 Федерального Закона №323-ФЗ), то считается, что обратившийся за помощью гражданин уже идентифицирован и должен отметить при подписании оферты в соответствующей форме свое согласие на добровольное медицинское вмешательство и свое согласие на обработку своих персональных данных. Медицинская организация, в свою очередь обязана, иметь грамотно составленную документацию по защите персональных данных, в которой регламентируется процесс передачи персональных данных по сети Интернет. В этом регламенте необходимо указывать перечень врачебного персонала, имеющего доступ к сервису телемедицины и средства защиты информации, используемые для обеспечения безопасности передачи данных по сети Интернет и для обеспечения санкционированного доступа к данным в личном кабинете пользователя (пациента).
Что касается защиты персональных данных врачебного персонала, то на основании п. 46 Приказа Минздрава России № 965н «Об утверждении порядка организации и оказания медицинской помощи с применением телемедицинских технологий», медицинская организация, оказывающая телемедицинские услуги, обязана предоставлять пациенту данные о консультанте, враче такие как ФИО, должность, стаж работы, образование, квалификационную категорию, предыдущие места работы и график приема. Естественно, для предоставления этих данных необходимо взять с врачей согласие на обработку их персональных данных в контексте использования их для оказания телемедицинских услуг.
Как обеспечивается безопасность передачи данных?
Первоочередной задачей безопасности передачи данных является необходимость обеспечения защиты личного кабинета пользователей услуг телемедицины. Способов такой защиты существует несколько. Ее должна организовать и обеспечить сама медицинская организация, оказывающая телемедицинские услуги.
Второй задачей является контроль уязвимостей на внешнем сайте или ресурсе, принимающем обращения пользователей, и обеспечивающим работоспособной самого сервиса. Наличие таких мероприятий обусловлено требованием Минздрава как уполномоченного федерального органа исполнительной власти в медицинской сфере. Проводить телемедицинские услуги нужно только в лицензированных помещениях, используя средства связи и оборудование для проведения консультаций, соответствующие требованиям по защите информации.
К требованиям по безопасности информации добавляется необходимость соблюдения Федерального Закона 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Все-таки, информационные системы и средства телемедицины непосредственно влияют на жизнь и здоровье граждан. И при больших показателях посещаемости вполне подпадают под высокий критерий значимости. В общем же, сбой в работоспособности системы телемедицины даже в рамках обращения одного пациента соответствует 3-й категории из таблицы «Перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значения», утвержденной Постановлением Правительства РФ № 127 “Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений”
Как видно, обязанность по обеспечению безопасности передачи данных лежит непосредственно на исполнителе услуг телемедицины, что накладывает на них ряд дополнительных финансовых и организационных затрат. Конечно, можно по старинной русской традиции не обратить внимания на должное соблюдение безопасности при передачи данных в телемедицине, однако последствия такого подхода могут быть совершенно непредсказуемы. Не только в административной, но и уголовной плоскости.
Насколько сложно обеспечить кибербезопасность в телемедицине?
На самом деле, это проще, чем может показаться на первый взгляд. Знание и понимание основных задач, которые требует выполнять государство с одной стороны и постоянный контроль безопасности сетевого периметра и используемых информационных систем и ресурсов вполне гарантирует приемлемый уровень кибербезопасности в телемедицине.
Защита от взлома злоумышленником состоит из использования надежных систем защиты и проведения систематических аудитов информационной безопасности.
Защита от жалоб и недобросовестного поведения конкурентов складывается из скрупулезного исполнения директив государства и уполномоченных им регуляторов.
Защита от сбоев и поломок аппаратной части телемедицинского оборудования подразумевает резервное копирование и возможность подключения резервных источников питания.
Развертывание телемедицинского сервиса – это обычный инфраструктурный проект, для успешной реализации которого требуется наличие грамотных специалистов и/или консультантов в области защиты информации.
При правильном подходе обеспечение кибербезопасности становится обычной «рутинной» задачей, одной из целого ряда других в деятельности медицинской организации.
