AlexandrPlusничего в связи с этим законом

Наверно потому, что вообще данные и так закрытыми считаются - только для врачей и для следователей прокуратуры.

Ну, если данные считаются закрытыми, то это вовсе не означает, что ни у кого, кроме врачей и следователей не появится желания ими воспользоваться. ;-)


alm2Как происходит выполнение требований федерального 152 закона о защите персональных данных

Хотелось бы узнать - кто реально что делает для этого в медицинских системах.

Банально - разграничием прав доступа к информации.


alm2Как выполняется требование наличия ПИСЬМЕННОГО согласия пациента на обработку персональных данных (когда поток пациентов очень большой) ?

Могу ошибиться, но письменное согласие пациента на обработку персональных данных вроде как не обязательно, если
Федеральный закон РФ от 27 июля 2006 г. N 152-ФЗ О персональных данных. Статья 10 пункт 4обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;

AlexTheRavenНужно ли, чтобы он с чем-нибудь письменно согласился до того, как ему начнут оказывать помощь, например, пробивать по собственной базе?

Нет. Обзовут для начала "неизвестным", окажут первую помощь, приведут в сознание, а потом будут разбираться "кто есть кто".

claude2) если юзер окажется не очень ... продвинутым и поставит пароль 1234, после чего скан его паспорта утечет первому же хакеру, владельцы системы тоже будут виноваты в том, что инфа утекла?

имхо, любая система, работающая с конфиденциальными данными ( да и не только с конфиденциальными ), не должна позволять пользователю заводить пароли а-ля "12345" или что-нибудь типа "qwerty". Такие пользователи должны незамедлительно отправляться в длительные "эротические путешествия", пока не придумают для себя более-менее вменяемый пароль. :)

Petro123edges7
пока не придумают для себя более-менее вменяемый пароль. :)
что такое "вменяемый пароль"?

Ну, что-нибудь вроде этого - pR!mErVp()1nEVmeN%em06()paR0!% :-)

Т.е. пароль, который было бы проблематично подобрать, к примеру, брутфорсом или по словарю.

P.S. Ну и естественно, должно быть предусмотрено шифрование паролей системой.

alexeyvg,
+1

Согласен, все как-то слишком расплывчато и не конкретно.
Про идентификаторы тоже заметил:

ГОСТ Р 52636-2006
7.1.1 Идентификатор пациента

Обязательный элемент, однозначно определяющий, к какому пациенту относится данная ЭПМЗ. Идентификатор, как правило, является ссылкой к списку пациентов данного учреждения , содержащемуся в электронном медицинском архиве. Однако идентификатором может являться и набор реквизитов пациента , позволяющий однозначно найти его среди пациентов данной медицинской организации.


Т.е. идентификация пациентов - на усмотрение мед. учреждения. Если в одном мед. учреждении еще можно однозначно идентифицировать пациента, то в различных - уже нет. Чего уже говорить о фонде ОМС или страховых компаниях, которые идентифицируют застрахованных скорее всего по номеру страхового полиса.

Petro123Если Вы аналитик или руководитель

Ни тот, ни другой. Пока еще не дорос до таких должностей в силу своего относительно небольшого опыта.

Petro123Кроме того, Ваш пароль НИКТО не будет вводить.

И причем здесь мой пароль...
Насколько я помню дело обстояло так: был задан следующий вопрос.

автор2) если юзер окажется не очень ... продвинутым и поставит пароль 1234 , после чего скан его паспорта утечет первому же хакеру, владельцы системы тоже будут виноваты в том, что инфа утекла?

На что я дал ответ, смысл которого заключался в следующем - система не должна позволять пользователю заводить простейшие пароли, и отправлять пользователя идти лесом, пока тот не заведет себе более надежный ( здесь я употребил слово "вменяемый" ) пароль.

iehfCodenamedНесколько замечаний по теме:

1) деперсонифицировать информацию в информационной системе медучреждения невозможно - с ней станет невозможно работать;

Не уверен. Т.е. чтобы лечить пациента врачу необходимо знать его фамилию, паспорт и т.п.?


Все паспортные данные пациента врачу знать не обязательно. Но бОльшая их часть будет нужна позже при подаче реестра пролеченных пациентов для оплаты мед. услуг страховым компаниям.
Фамилию знать нужно. Простейший случай - хотя бы для того чтобы отправить пациента на сдачу анализов или для других обследований нужно в направлении указать ФИО этого пациента. В электронных историях болезней паспортные данные, как правило, вбиваются один раз при обращении пациента в приемный покой отделения. Ну а дальше ФИО пациента фигурирует практически во всех электронных документах истории болезни, направлениях на обследования, справках и т.д.
Да и даже чисто по-человечески - будь бы врачом, как бы вы обращались к вашим пациентам, не зная даже как минимум их фамилий? ;-)

iehf
Codenamed
2) деперсонифицируется информация, например тогда, когда нужно опубликовать или предоставить для исследования какую-нибудь выборку накопленных данных;

Для этого в том числе
Так оно и есть. В статистических выборках, как правило, важно количество (
к примеру количество пациентов, переболевших данным заболеванием, или количество прооперованных),
но при этом мало кого интересует, был ли среди них Ваня Иванов.

Но, имхо, деперсонификация
данных внутри лечебного отделения принесет больше головной боли чем какого-либо положительного эффекта. Опять же имхо, лучше в данном случае, каждому пользователю (группе пользователей) раздать права только на ту информацию, которая ему необходима для продуктивной работы

Ну, и для того чтобы не оставалось никаких вопросов - естественно необходима разработка/доработка мед стандарта

iehfedges7
Все паспортные данные пациента врачу знать не обязательно. Но бОльшая их часть будет нужна позже при подаче реестра пролеченных пациентов для оплаты мед. услуг страховым компаниям.

Правильно. Но в этом случае для страховой не важна история болезни пациента.

Да, действительно, история болезни для страховых компаний, как таковая, не важна. Все что им подается – это период лечения (с какого и по какое число пациент находился на стационарном лечении), соответственно койко-дни, код заболевания, исход, сумма на которую был пролечен пациент. Все остальные данные – это паспортные данные и данные страхового полиса. И при этом страховым компаниям абсолютно фиолетово, как и чем лечили их застрахованного, сколько раз и по какому поводу оперировали. Хотя по некоторым спорным случаям могут запросить и более детальную информацию.

iehf
С анализами пример неубедительный. Можно сделать анализ и привязыть его к номеру истории болезни.

ОК. Давайте подойдем к этому с другой стороны. Рассмотрим такой случай. Пациент сперва обратился в поликлинику к терапевту. Врач, выслушав жалобы, выписал направление на анализы и прочие обследования. Соответственно после результатов обследований, врач сообщает пациенту, что результаты не очень утешительны и направляет его на стационарное лечение. И только, в приемном покое стационара на пациента заводят историю болезни. Т.е. был момент, когда результаты анализов уже были известны, а истории болезни еще не было. Или, например, другой исход, когда врач изучив результаты обследований, радостно сообщает пациенту, что ничего серьезного нет, выписывает таблетки и отправляет пациента домой. Т.е. в данном случае результаты анализов и обследований имеются, а истории болезни, как таковой, нет, и уже, видимо, не будет. А данные результатов обследований в БД должны быть. К чему, в таком случае привязывать результаты анализов? ;-)

Да и номер истории, сам по себе, вряд ли претендует на роль некоего уникального идентификатора. Ежегодно он обнуляется, и с 1 января номера историй болезней начинаются с 1. Если его и использовать, то только как часть составного ключа.

И таких нюансов в медицине довольно много. Здесь можно далеко уйти :)

edges7iehf
Да и даже чисто по-человечески - будь бы врачом, как бы вы обращались к вашим пациентам, не зная даже как минимум их фамилий? ;-)
Понятно, что элементарной вежливости никто не отменял. Я бы спросил имя и отчество, и так бы и обращался. При этом мне было бы безразлично настоящие и.о. были названы или нет. Такая практика, кстати, есть в разных анонимных кабинетах.

К сожалению, такой вариант подходит, когда пациент сам из своего собственного кармана оплачивает весь процесс лечения. Но для страховой медицины, такое, конечно же, не прокатит. :) Вряд ли страховая компания будет оплачивать лечение некоего анонима, неизвестно у кого застрахованного, да и застрахованного ли вообще.

В-общем, как и всегда пришли к тому, что все упирается в финансы…

Medvich ... сертифицируйте свое чадо в ФСТЭК - всего-то год аццкого организационного гемороя и лям-деревом ...
... если выпустите следующую версию Системы - сертификация поновой =)

Весьма позитивно... ;)