Сегодня участвовал в этом вебинаре.
Ключевые моменты:
- ЛПУ - это операторы ПДн
- Есть примеры что ЛПУ проверяет Роскомнадзор. Возбуждены дела об административном нарушении.
- Чаще всего в ЛПУ обрабатываются специальные категории ПДн. Следовательно на любые действия с ПДн необходимо письменное согласие субъекта ПДн. В том числе становится проблематичным использование сторонних ЦОД, сервисов и обслуживающих организаций. В то же время ЛПУ обязаны передавать информацию в ФОМС, страховые компании и т.п.
- Методрекомендации Минздравсцразвития имеют существенные недостатки. Не учитывают приказа 58, противоречат ПП и т.п.
- Дальше пошло описание подхода Информзащиты к защите ПДн без всякой привязки к медицинским учреждениям.
- Необходимо получение лицензии для всех ЛПУ. Рекомендуют использовать услуги лицензиатов. Спорное утверждение что эксплуатация СЗПДн не относится к технической защите.
- Далее было краткое описание СЗИ Кода безопасности без какой-либо привязки к медицинским учреждениям
В части вопросы-ответы было интереснее:
1) Необходимость передачи ПДн специальной категории по телефону при вызове скорой помощи - можно использовать робота-автоотвечик, предупреждающего позвонившего. Придется ставить Call-центр.
2) При передаче данных в ОМС, согласие не требуется, так как необходимость определена законом. Но при этот 44 статья определяет максимальный перечень передаваемых ПДн. Если он будет большим - то требуется согласие.
3) Методические рекомендации - потому и рекомендации что их не обязательно выполнять, но при желании можно руководствоваться.
4) При работе с тонких клиентов - достаточно обеспечить невозможность несанкционированноголичного доступа к терминалу и этого достаточно (момент спорный, зависит от того насколько тонкий клиент)
5) Передача ФИО - это передача обезличенных данных (спорный момент, в ряде случаев по ФИО можно однозначно определить субъекта)
6) Передача номера паспорта - это передача обезличенных данных
7) В терминальных решениях - мы ставим на сервер терминалов ина серверах приложений - клиентов СЗИ.
8) ФИО + дата рождения + мед данные - это необезличенные данные 1-ой категории.
9) Внеплановые проверки по ПДн по жалобам субъектов теперь исключены. Но сотрудник может пожаловаться на несоблюдение трудового кодекса и к вам придет совместная проверка Роскомнадзора и Роструда
Веселая цитата Михаила Емельянинкова "я не работаю с МИАЦ и не работаю с поликлиниками, я не могу сказать как у них делается подключение".
