close

Вход

Забыли?

вход по аккаунту

?

Презентация

код для вставкиСкачать
Защита персональных данных в
системе здравоохранения
Самбуев Зоригто Дашидондокович
Начальник IT отдела РМИАЦ МЗ РБ
sambuev@burmiac.ru
Тел. +7 /3012/ 55-25-47
СУЩНОСТЬ – ПЕРСОНАЛЬНЫХ ДАННЫХ
К персональным данным (ПДн) относятся:
любая информация, относящаяся к определенному или определяемому на основании такой
информации физическому лицу (субъекту персональных данных), в том числе его фамилия,
имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное,
имущественное положение, образование, профессия, доходы, другая информация
К специальным ПДн относятся:
персональные данные, касающиеся расовой, национальной принадлежности, политических
взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни
К биометрическим ПДн относятся:
сведения, характеризующие физиологические особенности человека и на основе которых
можно установить его личность
К геномным ПДн относятся:
сведения, включающие кодированную информацию об определенных фрагментах
дезоксирибонуклеиновой кислоты физического лица или неопознанного трупа, не
характеризующих их физиологические особенности
УЧРЕЖДЕНИЯ ЗДРАВООХРАНЕНИЯ ДОЛЖНЫ:
Зарегистрироваться в качестве операторов ПД
Получить письменные согласия пациентов
Обеспечить информирование пациентов по их
запросам
Провести классификацию
Организовать и поддерживать систему защиты
конфиденциальной информации в соответствии с
установленным классом.
СОГЛАСИЕ
на обработку персональных данных
Я, нижеподписавшийся <Ф.И.О. полностью>, проживающий по адресу <по месту регистрации>, паспорт <серия и номер>, выдан <дата и
название выдавшего органа>, в соответствии с требованиями статьи 9 федерального закона от 27.07.06 г. “О персональных данных” №
152-ФЗ, подтверждаю свое согласие на обработку <название и адрес медицинского учреждения> (далее — Оператор) моих персональных
данных, включающих: фамилию, имя, отчество, пол, дату рождения, адрес места жительства, контактный(е) телефон(ы), реквизиты полиса
ОМС (ДМС), страховой номер индивидуального лицевого счета в Пенсионном фонде России (СНИЛС), данные о состоянии моего здоровья,
заболеваниях, случаях обращения за медицинской помощью — в медико-профилактических целях, в целях установления медицинского
диагноза и оказания медицинских услуг при условии, что их обработка осуществляется лицом, профессионально занимающимся
медицинской деятельностью и обязанным сохранять врачебную тайну. В процессе оказания Оператором мне медицинской помощи я
предоставляю право медицинским работникам передавать мои персональные данные, содержащие сведения, составляющие врачебную
тайну, другим должностным лицам Оператора, в интересах моего обследования и лечения.
Предоставляю Оператору право осуществлять все действия (операции) с моими персональными данными, включая сбор,
систематизацию, накопление, хранение, обновление, изменение, использование, обезличивание, блокирование, уничтожение. Оператор
вправе обрабатывать мои персональные данные посредством внесения их в электронную базу данных, включения в списки (реестры) и
отчетные формы, предусмотренные документами, регламентирующими предоставление отчетных данных (документов) по ОМС
(договором ДМС).
Оператор имеет право во исполнение своих обязательств по работе в системе ОМС (по договору ДМС) на обмен (прием и передачу)
моими персональными данными со страховой медицинской организацией <название> и территориальным фондом ОМС с
использованием машинных носителей или по каналам связи с соблюдением мер, обеспечивающих их защиту от несанкционированного
доступа, при условии, что их прием и обработка будут осуществляется лицом, обязанным сохранять профессиональную тайну.
Срок хранения моих персональных данных соответствует сроку хранения первичных медицинских документов (медицинской карты) и
составляет <двадцать пять лет>.
Передача моих персональных данных иным лицам или иное их разглашение может осуществляться только с моего письменного согласия.
Настоящее согласие дано мной <дата> и действует бессрочно.
Я оставляю за собой право отозвать свое согласие посредством составления соответствующего письменного документа, который может
быть направлен мной в адрес Оператора по почте заказным письмом с уведомлением о вручении либо вручен лично под расписку
представителю Оператора.
В случае получения моего письменного заявления об отзыве настоящего согласия на обработку персональных данных Оператор обязан
прекратить их обработку в течение периода времени, необходимого для завершения взаиморасчетов по оплате оказанной мне до этого
медицинской помощи.
Контактный(е) телефон(ы) <...> и почтовый адрес <...>
Подпись субъекта персональных данных __________
ОПЫТ РЕАЛИЗАЦИИ ПРОЕКТОВ ОБЛАСТИ ЗАЩИТЫ
ПЕРСОНАЛЬНЫХ ДАННЫХ В МЕДИЦИНСКИХ УЧРЕЖДЕНИЯХ
Стадии реализации обязательных требований в области защиты ПДн
1. Стадия обследования объекта защиты ПДн
2. Стадия проектирования систем защиты ПДн
3. Стадия ввода в действие системы защиты ПДн
СТАДИЯ ОБСЛЕДОВАНИЯ ОБЪЕКТА ЗАЩИТЫ
ПЕРСОНАЛЬНЫХ ДАННЫХ
Стадия обследования объекта защиты ПДн:
1. Выявление процессов обработки персональных данных.
2. Выявление информационных ресурсов, содержащих персональные данные.
3. Определение технических и эксплуатационных характеристик информационных
систем персональных данных.
4. Определение имеющихся мер и средств защиты информации в информационной
системе персональных данных.
5. Выявление существующей организационно-распорядительной базы документов.
Результат:
1. Отчет об обследовании объекта защиты ПДн.
2. Экспертное заключение, содержащее оценку результатов проведенного
обследования на соответствие требованиям законодательства в области защиты ПДн.
СТАДИЯ ПРОЕКТИРОВАНИЯ СИСТЕМЫ ЗАЩИТЫ
ПЕРСОНАЛЬНЫХ ДАННЫХ
Стадия проектирования системы защиты ПДн:
•
разработка частной модели угроз безопасности ПДн при их обработке в
информационной системе ПДн;
•
проведение классификации информационных систем ПДн;
•
разработка внутренних нормативно-регламентных документов по защите ПДн
(положения, регламенты, акты, приказы, инструкции, журналы, планы);
•
разработка внешних документов в области защиты ПДн (уведомление, договора,
формы получения согласия и т.п.);
•
разработка технического задания на создание системы защиты ПДн;
•
разработка технического проекта;
•
разработка рабочей документации по системе защиты ПДн
СТАДИЯ ВВОДА В ДЕЙСТВИЕ СИСТЕМЫ ЗАЩИТЫ
ПЕРСОНАЛЬНЫХ ДАННЫХ
Стадия создания системы защиты:
•
реализация
проектных
решений
по
СЗПДн
(монтаж
оборудования, установка программного обеспечения, настройка
оборудования и программного обеспечения, пуско-наладочные
работы);
•
опытная эксплуатация СЗПДн;
•
приемочные испытания и ввод в эксплуатацию СЗПДн;
•
обучение лиц, использующих средства защиты информации,
применяемые в СЗПДн, правилам работы с ними;
•
проведение аттестации СЗПДн (по желанию Заказчика)
www.burmiac.ru
– сайт РМИАЦ содержит Методические
рекомендации для организации
защиты информации при обработке
персональных данных в учреждениях
здравоохранения.
МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ
МИНЗДРАВСОЦРАЗВИТИЯ РФ ДЛЯ
ОРГАНИЗАЦИИ ЗАЩИТЫ ИНФОРМАЦИИ ПРИ
ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ
ЗАКОНА «О ПЕРСОНАЛЬНЫХ ДАННЫХ»
За нарушение предусматривается
гражданская, уголовная, административная,
дисциплинарная и иная ответственность (ст.
24 №152-ФЗ).
Ниже представлены выдержки из ныне
действующих кодексов с названием статей и
величиной максимальных наказаний за
невыполнение требований законодательства
по защите персональных данных.
Статья
Кодекс
Название статьи
КоАП
Отказ в
предоставлении
гражданину
информации
5.39
Величина макс.
наказания
3 000 руб
13.11
КоАП
Нарушение
10 000 руб.
установленного законом
порядка сбора,
хранения,
использования или
распространение
информации о
гражданах
(персональных данных)
13.12
КоАП
Нарушение правил
защиты информации
13.13
КоАП
Незаконная
20 000 руб. +
деятельность в области конфискация
защиты информации
20 000 руб. +
конфискация +
приостановление
деятельности на срок до
90 суток
Спасибо за внимание !!!
Документ
Категория
Презентации
Просмотров
6
Размер файла
2 099 Кб
Теги
1/--страниц
Пожаловаться на содержимое документа