Category: медицина

Контроль за обработкой ПДн ФОМС

Любопытные нормы есть в Положении о контроле за деятельностью страховых медицинских организаций в сфере обязательного медицинского страхования территориальными фондами обязательного медицинского страхования (Приложение 1 к приказу Федерального фонда обязательного медицинского страхования от 16.04.2012 N 73):

16. Проверка организации и проведения обязательного медицинского страхования в страховых медицинских организациях включает проверку:


соблюдение требований порядка ведения персонифицированного учета в сфере обязательного медицинского страхования, утвержденного приказом Министерства здравоохранения и социального развития Российской Федерации от 25.01.2011 N 29н "Об утверждении Порядка ведения персонифицированного учета в сфере обязательного медицинского страхования" (зарегистрирован Министерством юстиции Российской Федерации 08.02.2011, регистрационный N 19742), в том числе наличие приказа, определяющего работников страховой медицинской организации, допущенных к работе с региональным сегментом единого регистра застрахованных лиц, соблюдение сроков передачи данных о застрахованных лицах и сведений об изменениях в этих данных в территориальный фонд, достоверность сведений, внесенных страховой медицинской организацией в региональный сегмент единого регистра застрахованных лиц;

осуществление страховой медицинской организацией сбора и обработки данных персонифицированного учета сведений о застрахованных лицах и персонифицированного учета сведений о медицинской помощи, оказанной застрахованным лицам, обеспечение их сохранности и конфиденциальности, осуществление обмена указанными сведениями между участниками обязательного медицинского страхования в соответствии с Федеральным законом N 326-ФЗ.

История болезни как персональные данные

Лежу в больнице. Попросил заведующего отделением посмотреть свою историю болезни... получил отказ. Правильно ли я понимаю, что история болезни является моими ПДн, и я имею право знакомиться с ней в соответствии с ФЗ-152?
диссер

137 УК vs 13.11КоАП

Прошу прощения, возможно, вопрос не блещет остроумием, но все же
Есть статья 137 УК, предусматривающая наказание за незаконное "собирание" сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия
сам факт "собирания" без согласия уже формирует состав
понятия личной и семейной тайны у нас нет. можно ориентироваться на ЕКПЧ. ЕКПЧ понимаем в решениях ЕСПЧ. ЕСПЧ же распространяет личную жизнь аж на рабочие телефонные переговоры.

Есть статья 13.11 КоАП - нарушение порядка сбора, хранения, использования и т.д.

Что когда должно применяться?

возьмем для примера сопутсвующую коммерческую деятельность в лечебных учреждениях
производитель контактных линз распространяет анкеты и рассылает рекламу линз. в анкетах, разумеется, будут сведения о состоянии здоровья. если анкета оформлена косо, под понятие письменного согласия не попадает, что тогда? Здесь состав 13.11 или 137? Я бы сказала, что 13.11. А если врач сам заполнил анкету и потребитель взвоет, что подпись не его - тогда сбор автоматом незаконный. 137? И кого сажать? Врача или какого-нибудь брэнд-менеджера?

Я нечетко представляю разницу между собиранием без согласия и нарушением порядка сбора, особенно если наличие согласия еще надо умудриться доказать
Комп

ПДн в медицине


Издательство "Открытые системы"Computerworld

Расчет на «персональное» чудо?

Еще одна животрепещущая тема, затрагиваемая в доброй половине выступлений, — выполнение требований закона «О персональных данных». «Я буду добиваться, чтобы медицинские информационные системы вышли из-под действия ФЗ-152», — заявил Симаков. По мнению Столбова, сделать это невозможно. Но даже если и удастся, то проблема не решится, так как обладателями медицинских информационных систем являются не более 20% ЛПУ, зато бухгалтерскими системами, на которые в любом случае распространяется действие этого закона, пользуются почти все. К концу октября должны быть готовы методические указания для ЛПУ по снижению категорийности обрабатываемой информации. По мнению Юрия Нечепоренко, начальника управления информационно-аналитических технологий ФОМС, для полноценного решения вопросов защиты персональных данных нужны переходные периоды. В конце октября в Госдуме прошли чтения по вопросам применения законодательства о защите прав граждан при обработке персональных данных. Чуда в ходе слушаний не произошло, и представители Роскомнадзора настаивали на необходимости оставить неизменным срок исполнения закона, а потому отрасли придется спешно искать не слишком затратное решение для защиты персональных данных.

 

03.11.2009г.
Комп

Вот и выполняй требования по защите от ПЭМИН ;)

По требованию Управления Роскомнадзора в здании Департамента здравоохранения г. Москвы отключен незаконно эксплуатировавшийся генератор шума
Управление Роскомнадзора по Москве и Московской области провело в июне внеплановое мероприятие по контролю законности использования генератора шума, принадлежащего Департаменту здравоохранения города Москвы и создававшего помеху работе базовой станции сотовой связи ОАО «МСС».

В здании Департамента здравоохранения города Москвы по адресу: Москва, Оружейный пер., д.43 использовался генератора шума без разрешения на использование радиочастот или радиочастотных каналов и без регистрации.

В соответствии с ч.1 и ч.2 статьи 13.4 КоАП РФ должностное лицо Департамента, ответственное за законное использование генератора шума, привлечено к административной ответственности. Генератор шума отключен в ходе проверки.

Это уже второй случай претензий по генераторам шума за текущий год.

Согласно документу ФСТЭК "Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных"

4. Мероприятия по техническому обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных
4.5. В ИСПДн 1 и 2 классов должны быть реализованы мероприятия по защите ПДн от утечки за счет побочных электромагнитных излучений и наводок.

Таким образом оператору ПДн, имеющему ИСПДн К1/К2 следует иметь (не исключаю, что список будет расширяться):
- 1 или 3 лицензии ФСБ (при использовании СКЗИ)
- лицензию ФСТЭК на ТЗКИ
- регистрацию, как оператора ПДн в Роскомнадзоре (если есть обработка ПДн, не подпадающая под п.2 ст.22 152-ФЗ 2006)
- разрешение на использование радиочастот или радиочастотных каналов от Роскомнадзора
- регистрацию СЗИ по ПЭМИН в Роскомнадзоре