Как клинике защитить данные пациентов и не попасть под штрафы
Персональные данные пациентов – одна из самых ценных и уязвимых категорий информации. Их утечка может привести не только к репутационным и финансовым потерям клиники, но и к серьезным последствиям для самих пациентов: от шантажа и мошенничества до дискриминации на работе.
Как медицинским организациям защитить данные и не попасть под штрафы? Насколько безопасны онлайн-консультации? Что делать, если произошла утечка? Об этом мы поговорили с юристом Натальей Алешковой, специалистом по защите персональных данных.
— Наталья, насколько сегодня реально обеспечить защиту персональных данных?
— Вполне реально. Сейчас существует множество современных средств защиты: системы предотвращения утечек, сканеры уязвимостей, криптографическая защита. Конечно, многое зависит от бюджета организации, но подходящие инструменты найти можно.
— Тем не менее мы слышим о случаях утечек медицинских данных. Почему они происходят?
— По статистике, треть медучреждений сталкиваются с утечками. Медицинская сфера – в тройке лидеров по числу инцидентов. Утечки бывают случайными (из-за ошибок персонала) и умышленными (когда системы атакуют, чтобы украсть данные).
Основная причина – нехватка знаний у сотрудников о правилах работы с персональными данными. Многие операторы считают, что достаточно прописать локальные акты, но без реального соблюдения требований это не работает.
Я сталкивалась с вопиющими случаями, когда медицинские карты просто выбрасывали в мусорные баки или сдавали на переработку вместе с макулатурой. Это прямой путь к утечке.
"В медицине утечка данных особенно опасна"
— Насколько серьезна проблема утечек именно для пациентов?
— Очень серьезна. Персональные данные – это "новая нефть", их используют не только в коммерческих, но и в мошеннических целях. В медицине утечка особенно опасна, потому что речь идёт о состоянии здоровья.
Например, человек может лишиться работы из-за разглашения диагноза, столкнуться с дискриминацией, шантажом. Бывают случаи, когда после утечки людям начинают названивать с "уникальными" методами лечения, БАДами. А иногда утекшие данные используются даже для продажи ритуальных услуг.
— Может ли пациент потребовать компенсацию за утечку своих данных?
— Да, можно подать жалобу в Роскомнадзор или иск в суд, но сумма моральной компенсации в России пока невелика – в среднем до 10 тысяч рублей. Это одна из проблем, которая сейчас обсуждается. Есть идея ввести страхование ответственности операторов за утечку персональных данных, чтобы субъекты могли получать выплаты в упрощённом порядке. Однако пока неясно, какие риски будут страховаться, в каком порядке и для всех ли операторов.
— Были ли случаи, когда пациент смог получить компенсацию за утечку своих данных?
— Такие случаи возможны, но суммы компенсаций пока невелики. Средний размер морального вреда по таким делам – 10 тысяч рублей. Сейчас рассматриваются варианты упрощения процесса получения компенсации за утечку данных, но пока только на уровне обсуждений.
"Клинике важно выбирать проверенных подрядчиков"
— Как часто Роскомнадзор проверяет медорганизации?
— Очень часто. Они в группе повышенного риска и включаются в планы плановых проверок, которые публикуются ежегодно. Если у организации уже были нарушения, вероятность новой проверки возрастает.
— Что делать клиникам, которые передают данные облачным сервисам?
— Важно выбирать проверенных подрядчиков. Медорганизация должна запросить у них документы, подтверждающие соблюдение требований закона, заключить договор о поручении обработки, прописать ответственность за утечку данных.
Если данные хранятся в стороннем ЦОДе, а утечка произошла по его вине, ответственность всё равно несёт медорганизация, как оператор персональных данных, но она может взыскать убытки с подрядчика.
— Безопасны ли онлайн-консультации с точки зрения защиты данных?
— Да, если используются защищённые каналы связи, а данные хранятся в России. Но, например, WhatsApp и Telegram для медицинских консультаций я бы не рекомендовала – у них недостаточная защита. Прямого запрета на их использование в медицине нет, но есть требование локализации данных в России. За его нарушение штрафы от 1 до 6 миллионов рублей.
— Что делать, если медорганизация выбирает стороннюю телемедицинскую платформу?
— Необходимо проверить, как подрядчик защищает данные, запросить документы, подтверждающие соответствие требованиям 152-ФЗ, заключить поручение на обработку данных, прописать в договоре ответственность за обеспечение конфиденциальности.
— Какие особые меры защиты должны применять медорганизации?
— Все операторы персональных данных должны соблюдать требования 152-ФЗ, но для медучреждений требования строже. Если организация обрабатывает данные более 100 тысяч пациентов, ей предписан первый или второй уровень защищенности. Это значит, что помимо базовых мер (антивирусы, разграничение доступа) вводятся дополнительные меры – их перечень занимает 10 страниц.
Кроме того, медучреждения относятся к субъектам критической информационной инфраструктуры, и за их защиту отвечает ФСТЭК. Организация должна разработать модель угроз, определить уровень защищенности и внедрить соответствующие меры.
В следующем материале:
- разберем меры защиты данных для клиник,
- поделимся чек-листом информационной безопасности,
- детально рассмотрим кейсы и меры ответственности.
Читайте больше материалов о цифровой зрелости клиники, технологиях для врача и пациента и о том, как выстроить качественную и безопасную работу медцентра в нашем Telegram-канале 💙