ПРОПЕДЕВТИКА ВНУТРЕННИХ БОЛЕЗНЕЙ В АКАДЕМИЧЕСКОЙ И ЭЛЕКТРОННОЙ ИСТОРИИ БОЛЕЗНИ
Ганцева Х. Х., Поздеева Э. Д., Ишмухаметова А. Н., Тюрин А. В., Явгильдина А. М., Хусаинова Л. Н.,
Сохранность, неизменность и достоверность ЭПМЗ обеспечивается в течение всего жизненного цикла ЭПМЗ. Все процедуры обеспечения сохранности, неизменности и достоверности должны быть отражены в «Политике безопасности» каждого медицинского учреждения.
«Политика безопасности» медицинского учреждения в отношении ЭПМЗ
В каждой медицинской организации, использующей электронные медицинские архивы, существует документ «Политика безопасности» в отношении электронных персональных медицинских записей.
«Политика безопасности» включает открытую и закрытую части.
В открытой части документа отражена следующая информация:
● сведения об ЭМА, существующих в данной организации (включая их идентификаторы);
● сведения о типах ЭПМЗ, содержащихся в этих архивах;
● сведения о мерах безопасности, использующихся для обеспечения сохранности, неизменности и достоверности ЭПМЗ;
● сведения о лицах, имеющих права на создание, ведение, подписание, доступ, просмотр, распечатку, копирование и передачу ЭПМЗ по электронным каналам связи, с указанием способов обеспечения этих прав в конкретных ситуациях;
● сведения о лицах, ответственных за обеспечение безопасности и прав доступа в системе;
● сведения о лицах, имеющих особые права в данной системе (администрирование архива, выполнение особо ответственных и нештатных процедур), с указанием меры их ответственности.
Открытая часть «Политики безопасности» предоставляется для ознакомления всем заинтересованным лицам, в том числе всем сотрудникам медицинской организации при их подготовке к работе с электронным медицинским архивом.
Закрытая часть «Политики безопасности» содержит описание технических методов и средств обеспечения безопасности ЭМА и предоставляться только органам по сертификации или иным компетентным органам по решению суда.
Организация права доступа к ЭПМЗ и ЭМА. Система организации прав доступа излагается в «Политике безопасности» медицинской организации и включает разделы:
§ права и организация доступа к ЭПМЗ сотрудников медицинской организации;
§ права и организация доступа к ЭПМЗ пациентов;
§ права и организация доступа к ЭПМЗ представителей независимых и вышестоящих организаций.
Права и организация доступа к электронной персональной медицинской записи сотрудников медицинской организации. Сотрудники медицинского учреждения имеют право на создание, ведение, подписание, доступ, просмотр, распечатку, копирование и передачу ЭПМЗ по электронным каналам связи. В основу распределения прав доступа положены требования к ведению бумажных медицинских документов, определенные существующими нормативными документами, и принятая технология лечебно-диагностического процесса медицинского учреждения.
Существуют несколько прав доступа сотрудников медицинского учреждения:
– персональные, то есть предоставленные сотруднику лично;
– должностные, то есть предоставленными сотруднику в соответствии с занимаемой им должностью (лечащий врач, зав. отделением и др.);
– ситуационные (ролевые), то есть отвечающие той ситуации (роли), в которой сотрудник исполняет свои обязанности (например, дежурный врач на время дежурства должен иметь больше прав, чем врач отделения; врач-консультант только при проведении консультации или врач-лаборант при выполнении исследования может получать полный доступ ко всем ЭПМЗ пациента);
– административные, то есть расширенные права доступа, предоставленные специальному персоналу, осуществляющему администрирование медицинских архивов и ЭПМЗ, обеспечивающим безопасность и разрешение нештатных ситуаций.
Права доступа могут распространяться на отдельные типы записей или записи, относящиеся к определенным пациентам.
В «Политике безопасности» определяются технические и организационные средства идентификации сотрудников при работе с ЭПМЗ, на основе которых устанавливают их права доступа.
Средства идентификации:
1. Пароли.
2. SMART-карты.
3. Идентификационные карты (магнитные или штрих-коды).
4. USB-ключи и др.
Для сотрудников, имеющих электронную цифровую подпись (ЭЦП) с правом подписи определенных ЭПМЗ, предоставляется сертификат ЭЦП или регистрируется уже имеющийся у него сертификат.
Права и организация доступа к электронной персональной медицинской записи пациентов. Права доступа пациента к собственной истории болезни и другим медицинским документам определены Конституцией и другими нормативными документами. Права доступа пациентов к собственным ЭПМЗ определены общими правами пациента, однако при этом должна быть обеспечена конфиденциальность персональных медицинских данных. Собственные ЭПМЗ могут быть переданы пациентам в виде бумажных копий или в виде копий на электронных носителях (дискетах, CD и DVD дисках, флеш-картах и т. д.). При передаче пациенту бумажных или электронных копий ЭПМЗ обеспечение конфиденциальности возлагается на самого пациента.
При обеспечении пациента правом доступа к собственным медицинским данным непосредственно в электронном архиве медицинской организации ему должны быть также предоставлены средства аутентификации. При этом с него должна быть взята подписка, что он обязуется держать эти средства в секрете и что он проинформирован о возможности нарушения конфиденциальности его медицинских данных при утрате или передаче средства аутентификации посторонним лицам. Предоставление доступа к собственным медицинским данным следует осуществлять только после прохождения процедуры аутентификации пациента.
По решению руководства медицинской организации или этическим соображениям некоторые ЭПМЗ могут быть закрыты от пациента. При этом ответственность за соблюдение конституционных прав пациента возлагается на руководство медицинской организации.
Права и организация доступа к электронной персональной медицинской записи представителей независимых и вышестоящих организаций. В «Политике безопасности» организации указаны ситуации, в которых ЭПМЗ могут быть переданы независимым организациям, а также правила и документы, регламентирующие передачу. При передаче должны строго соблюдаться требования конфиденциальности в отношении медицинских данных пациента.
ЭПМЗ могут быть переданы независимым организациям в виде бумажных копий, электронных копий или по электронным каналам связи.
При передаче ЭПМЗ должны быть выполнены требования идентифицируемости, позволяющие определить, в каком ЭМА и в какой медицинской организации хранится данная ЭПМЗ.
При передаче ЭПМЗ должны быть также выполнены требования неизменности достоверности и персонифицируемости ЭПМЗ. Для обеспечения данных требований передаваемые записи должны быть защищены электронной цифровой подписью (ЭЦП) автора ЭПМЗ или руководителя (доверенного лица) передающего учреждения. Наличие ЭЦП позволяет в любой момент проверить неизменность ЭПМЗ и идентичность ее записи, хранящейся в соответствующем электронном медицинском архиве.