В соответствии с перечисленными выше документами организации, эксплуатирующие информационные системы классов 1Г и К1, обязаны:
а) получить лицензию ФСТЭК на техническую защиту информации (срок действия — пять лет);
б) выполнить все необходимые мероприятия по обеспечению защиты информации для указанных классов информационных систем;
в) провести аттестационные испытания ИС по требованиям ФСТЭК.
Кроме того, при использовании в учреждении средств криптографической защиты информации может потребоваться получение лицензии ФСБ. Заметим, что во всех случаях установка в ИС ПД сертифицированных средств криптографической защиты информации должна осуществляться организацией, имеющей соответствующую лицензию ФСБ.
Аттестация ИС проводится с привлечением внешней организации-аудитора, имеющей соответствующий аттестат аккредитации ФСТЭК. Если проверка показала, что система защиты ПД данной ИС соответствует установленным требованиям, то выдается аттестат соответствия (сроком на три года). С порядком получения лицензии на техническую защиту информации, проведения аттестации ИС и перечнем организаций, уполномоченных проводить аттестационные испытания, можно ознакомится на сайте ФСТЭК ([
Ссылки доступны только зарегистрированным пользователям ]).
При организации рабочих процессов в учреждении необходимо стремиться к максимально возможному сокращению перечня сотрудников, имеющих доступ к ПД пациентов.
Руководитель учреждения должен утвердить перечень должностных лиц, допущенных к обработке персональных данных в информационной системе.
Порядок их доступа к конфиденциальным сведениям и ПД, хранящимся в базах данных ИС, должен определяться соответствующими регламентами и должностными инструкциями.
Очевидно, что организацией системы информационной безопасности должны заниматься компетентные специалисты, имеющие специальную профессиональную подготовку. Приказом Минздравсоцразвития России № 247н от 29.05.2008 в перечень профессиональных квалификационных групп включены должности специалистов (техники, инженеры и т. д.) по защите информации. К сожалению, в настоящее время в штатных расписаниях учреждений здравоохранения сотрудники по информационной безопасности за очень редкими исключениями не предусмотрены. Так же как и в бюджетах большинства медицинских учреждений не предусмотрены расходы на организацию системы защиты информации. А между тем до 1 января 2010 г. — срока, к которому по закону “О персональных данных” все информационные системы должны быть приведены в соответствие с его требованиями, осталось очень мало времени. Необходимы срочные безотлагательные меры, в том числе и со стороны Минздравсоцразвития России.
Образец письменного согласия пациента на обработку его персональных данных
Цитата:
|
Согласие на обработку персональных данных Я, нижеподписавшийся <Ф.И.О. полностью>, проживающий по адресу <по месту регистрации>, паспорт <серия и номер>, выдан <дата и название выдавшего органа>, в соответствии с требованиями статьи 9 федерального закона от 27.07.06 г. “О персональных данных” № 152-ФЗ, подтверждаю свое согласие на обработку <название и адрес медицинского учреждения> (далее — Оператор) моих персональных данных, включающих: фамилию, имя, отчество, пол, дату рождения, адрес места жительства, контактный(е) телефон(ы), реквизиты полиса ОМС (ДМС), страховой номер индивидуального лицевого счета в Пенсионном фонде России (СНИЛС), данные о состоянии моего здоровья, заболеваниях, случаях обращения за медицинской помощью — в медико-профилактических целях, в целях установления медицинского диагноза и оказания медицинских услуг при условии, что их обработка осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну. В процессе оказания Оператором мне медицинской помощи я предоставляю право медицинским работникам передавать мои персональные данные, содержащие сведения, составляющие врачебную тайну, другим должностным лицам Оператора, в интересах моего обследования и лечения.
Предоставляю Оператору право осуществлять все действия (операции) с моими персональными данными, включая сбор, систематизацию, накопление, хранение, обновление, изменение, использование, обезличивание, блокирование, уничтожение. Оператор вправе обрабатывать мои персональные данные посредством внесения их в электронную базу данных, включения в списки (реестры) и отчетные формы, предусмотренные документами, регламентирующими предоставление отчетных данных (документов) по ОМС (договором ДМС).
Оператор имеет право во исполнение своих обязательств по работе в системе ОМС (по договору ДМС) на обмен (прием и передачу) моими персональными данными со страховой медицинской организацией <название> и территориальным фондом ОМС с использованием машинных носителей или по каналам связи с соблюдением мер, обеспечивающих их защиту от несанкционированного доступа, при условии, что их прием и обработка будут осуществляется лицом, обязанным сохранять профессиональную тайну.
Срок хранения моих персональных данных соответствует сроку хранения первичных медицинских документов (медицинской карты) и составляет <двадцать пять лет>.
Передача моих персональных данных иным лицам или иное их разглашение может осуществляться только с моего письменного согласия.
Настоящее согласие дано мной <дата> и действует бессрочно.
Я оставляю за собой право отозвать свое согласие посредством составления соответствующего письменного документа, который может быть направлен мной в адрес Оператора по почте заказным письмом с уведомлением о вручении либо вручен лично под расписку представителю Оператора.
В случае получения моего письменного заявления об отзыве настоящего согласия на обработку персональных данных Оператор обязан прекратить их обработку в течение периода времени, необходимого для завершения взаиморасчетов по оплате оказанной мне до этого медицинской помощи.
Контактный(е) телефон(ы) <...> и почтовый адрес <...>
Подпись субъекта персональных данных __________
|