Права доступа к информации и конфиденциальность медицинских данных

К информации БД медицинских ИТС в силу своей деятель­ности имеют доступ многочисленные пользователи — от врачей (и даже медицинских сестер) до руководителей здравоохранения различного уровня. И это создает проблемы в отношении конфи­денциальности персональных данных пациентов. Решение состоит в предоставлении каждому из обращающихся к ИТС соответству­ющих прав (уровней доступа) ко всей БД или отдельным ее раз­делам, т.е. прав на ознакомление с различными данными пациен­тов и осуществление различных действий. Этот подход носит на­звание санкционированного многоуровневого доступа.

Полный доступ к данным конкретного больного имеют леча­щий врач, заведующий отделением и другие медицинские руко­водители, по роду своей деятельности контактирующие с боль­ными и(или) обладающие правами контроля деятельности леча­щих врачей. Для врачей-специалистов, обеспечивающих консуль­тативную помощь и проводящих исследования, могут быть введе­ны определенные ограничения на просмотр информации о паци­енте.

Решение вопроса защиты данных обеспечивается путем иден­тификации каждого из медицинских работников и проверки под­линности (т.е. аутентификации) пользователей. Таким путем осу­ществляется ограничение доступа к данным с учетом должност­ных или функциональных обязанностей. Особенно жесткие требо­вания предъявляются в отношении разрешения на коррекцию информации. Изменения в персональных данных после заверше­ния дневной работы или запрещаются, или разрешаются при од­новременном сохранении в БД сделанных ранее записей, кото­рые могут быть доступны для просмотра при использовании оп­ределенного режима работы (механизм подотчетности, т.е. прото­колирование действий). Так обеспечивается конфиденциальность, т.е. защита от несанкционированного получения информации, и целостность — защита от несанкционированного изменения ин­формации.

Технически вопрос конфиденциальности и защиты данных обеспечивается использованием иерархической системы паролей, присваиваемых пользователям и определяющих их право на про­смотр и(или) внесение новых записей. Пользователи оперируют данными, хранящимися в БД, в рамках выделенных им привиле­гий, которые определяют права их доступа к определенной ин­формации.

Систему паролей можно представить следующим образом:

1) пароль на вход в ИМС;

2) пароли на определенные роли (права) пользователей (на­пример, ввод, корректировку, просмотр персональных данных), в отношении которых проводится проверка ФИО с последующим подтверждением должности или временных функций (например, дежурный врач);

3) пароли на модули системы (например, на просмотр и(или) корректировку родословной).

Такими способами может быть реализован ограниченный до­ступ к медицинским БД, сочетающий проверку прав на опреде­ленные действия с проверкой прав на доступ к определенным разделам БД. Таким путем обеспечиваются конфиденциальность и защита данных пациентов при условии аутентификации и автори­зации пользователей, в том числе и сотрудников вычислительных центров, обеспечивающих работу с ИТС.

Использование электронной цифровой подписи позволяет ус­тановить автора электронного документа и гарантировать неиз­менность его содержания. Это специфический «цифровой код», интегрированный с содержанием электронного документа и поз­воляющий идентифицировать его отправителя (автора), а также установить отсутствие искажений информации в электронном документе, поскольку в случае внесения в него изменений элект­ронная цифровая подпись теряет силу.

В соответствии с Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» электронное сообщение, подписанное элек­тронной цифровой подписью или иным аналогом собственноруч­ной подписи, признается электронным документом, равнознач­ным документу, подписанному собственноручной подписью. При­менение электронной цифровой подписи в соответствии с требо­ваниями Федеральных законов от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи» и «Об информации, информа­ционных технологиях и о защите информации» является одним из условий организации юридически значимого обмена электрон­ными документами. В настоящее время в российском здравоохра­нении осуществляется внедрение цифровой подписи.

Контрольные вопросы

1. Что представляет собой информационно-технологическая система?

2. Опишите структуру информационно-технологических систем.

3. Назовите функции информационно-технологических систем.

4. Охарактеризуйте технологию построения ЭИБ.

5. В чем заключается концепция ЭИБ?

6. Как осуществляется поддержка действий медицинского персонала в ИТС?

7. На каких принципах основаны системы для диспансеризации?

8. Приведите пример информационно-технологической системы для интенсивного наблюдения и охарактеризуйте ее.

9. Для чего используются прогностические шкалы для отделений реа­нимации и интенсивной терапии?

10. Дайте определение понятию «регистр».

11. Чем отличаются популяционные регистры от всех остальных?

12. Что означает санкционированный доступ?