Законодательная база Российской Федерации

"ЭЛЕКТРОННАЯ ИСТОРИЯ БОЛЕЗНИ. ОБЩИЕ ПОЛОЖЕНИЯ. ГОСТ Р 52636-2006" (утв. Приказом Ростехрегулирования от 27.12.2006 N 407-ст)

Система организации прав доступа должна быть детально изложена в "Политике безопасности" медицинской организации и содержать следующие разделы:

- права и организация доступа к ЭПМЗ сотрудников медицинской организации;

- права и организация доступа к ЭПМЗ пациентов;

- права и организация доступа к ЭПМЗ представителей независимых и вышестоящих организаций.

9.1. Права и организация доступа к электронной персональной медицинской записи сотрудников медицинской организации

В настоящем разделе приведены права сотрудников на создание, ведение, подписание, доступ, просмотр, распечатку, копирование и передачу ЭПМЗ по электронным каналам связи, а также способы обеспечения данных прав.

Права доступа сотрудников могут быть:

- персональными, то есть предоставленными сотруднику лично;

- должностными, то есть предоставленными сотруднику в соответствии с занимаемой им должностью (лечащий врач, зав. отделением и др.);

- ситуационными (ролевыми), то есть отвечающими той ситуации (роли), в которой сотрудник исполняет свои обязанности (например, дежурный врач на время дежурства должен иметь больше прав, чем врач отделения; врач-консультант только при проведении консультации или врач-лаборант при выполнении исследования может получать полный доступ ко всем ЭПМЗ пациента);

- административными, то есть расширенными правами доступа, предоставленными специальному персоналу, осуществляющему администрирование медицинских архивов и ЭПМЗ, обеспечивающему безопасность и разрешение нештатных ситуаций.

Права доступа могут распространяться на отдельные типы записей или записи, относящиеся к определенным пациентам.

В основу распределения прав доступа должны быть положены требования к ведению бумажных медицинских документов, определенные существующими нормативными документами, и принятая технология лечебно-диагностического процесса медицинского учреждения.

В ПБ должны быть определены также технические и организационные средства аутентификации сотрудников при работе с ЭПМЗ, на основе которых устанавливают их права доступа. К средствам аутентификации могут быть отнесены пароли, SMART-карты, идентификационные карты (магнитные или штрихкодовые), USB-ключи и др. Для обеспечения прав доступа могут использоваться те же технические средства, что и для подписания ЭПМЗ (см. 8.2.16). В процессе предоставления сотруднику прав доступа и средств аутентификации с него должна быть взята подписка о том, что он обязуется держать эти средства в секрете и что он проинформирован об ответственности, связанной с передачей средств аутентификации другим лицам, и использовании их для несанкционированного доступа к ЭПМЗ и ЭМА.

В случае использования в данной организации электронной цифровой подписи (ЭЦП) сотруднику, имеющему право подписи определенных ЭПМЗ, предоставляется сертификат ЭЦП или регистрируется уже имеющийся у него сертификат (см. раздел 11).

9.2. Права и организация доступа к электронной персональной медицинской записи пациентов

Права доступа пациента к собственной истории болезни и другим медицинским документам определены Конституцией и другими нормативными документами. Права доступа пациентов к собственным ЭПМЗ определены общими правами пациента, однако при этом должна быть обеспечена конфиденциальность персональных медицинских данных. Собственные ЭПМЗ могут быть переданы пациентам в виде бумажных копий (см. раздел 14) или в виде копий на электронных носителях (дискетах, CD и DVD дисках, флеш-картах и т.д.). При передаче пациенту бумажных или электронных копий ЭПМЗ обеспечение конфиденциальности возлагается на самого пациента.

При обеспечении пациента правом доступа к собственным медицинским данным непосредственно в электронном архиве медицинской организации ему должны быть также предоставлены средства аутентификации. При этом с него должна быть взята подписка, что он обязуется держать эти средства в секрете и что он проинформирован о возможности нарушения конфиденциальности его медицинских данных при утрате или передаче средства аутентификации посторонним лицам. Предоставление доступа к собственным медицинским данным следует осуществлять только после прохождения процедуры аутентификации пациента.

По решению руководства медицинской организации или этическим соображениям некоторые ЭПМЗ могут быть закрыты от пациента. При этом ответственность за соблюдение конституционных прав пациента возлагается на руководство медицинской организации.

9.3. Права и организация доступа к электронной персональной медицинской записи представителей независимых и вышестоящих организаций

В "Политике безопасности" должны быть указаны ситуации, в которых ЭПМЗ могут быть переданы независимым организациям, а также правила и документы, регламентирующие передачу. При передаче должны строго соблюдаться требования конфиденциальности в отношении медицинских данных пациента.

ЭПМЗ могут быть переданы независимым организациям в виде бумажных копий (см. раздел 14), электронных копий или по электронным каналам связи (см. раздел 13).

При передаче ЭПМЗ должны быть выполнены требования идентифицируемости, позволяющие определить, в каком ЭМА и в какой медицинской организации хранится данная ЭПМЗ.

При передаче ЭПМЗ должны быть также выполнены требования неизменности достоверности и персонифицируемости ЭПМЗ. Для обеспечения данных требований передаваемые записи должны быть защищены электронной цифровой подписью (ЭЦП) автора ЭПМЗ или руководителя (доверенного лица) передающего учреждения. Наличие ЭЦП позволяет в любой момент проверить неизменность ЭПМЗ и идентичность ее записи, хранящейся в соответствующем электронном медицинском архиве.