Кібербезпека у сфері охорони здоров’я стає одним із ключових питань для медичних закладів та держави. Розвиток електронної охорони здоров’я та активна цифровізація процесів вимагають від медичної спільноти не лише цифрових знань і навичок, а й знань щодо основ кібербезпеки і навичок захисту власних даних і даних пацієнта у цифровому просторі.

Кіберзахист – це захист інформації, яка має цифрову форму; він передбачає такі заходи, як захист від вірусів, хакерських атак, запобігання підробці даних та іншим діям, наслідками яких можуть бути не тільки видалення або викрадення даних, а й потенційно шкідливий вплив на роботу і продуктивність співробітників закладу охорони здоров’я, використання незаконно отриманої інформації проти фізичної чи юридичної особи або взагалі зупинка процесу надання медичної допомоги та пов’язаних послуг.

Міністерство охорони здоров’я за підтримки проєкту USAID «Підтримка реформи охорони здоров’я» сформувало бібліотеку матеріалів, що допоможуть лікарям, медичним сестрам і братам, управлінцям, адміністраторам медичних закладів та всім зацікавленим партнерам отримати основні знання про види і форми кіберзагроз та чіткі рекомендації щодо боротьби з ними.

Чи відомо Вам, що знання правил кібербезпеки — це головний інструмент у захисті пацієнтів та їх конфіденційної інформації?

Кібербезпека — це захищеність комп’ютерних інформаційних пристроїв та систем від несанкціонованого доступу, що забезпечує конфіденційність, цілісність та доступність інформації.

Чому необхідно дотримуватись правил кібербезпеки в медичному закладі?

Сфера охорони здоровʼя — одна із лідерів у світі за зростанням кількості кібератак. У 2022 році на тиждень відбувалось 1 463 кібератаки, що на 74 % більше, ніж у 2021 му. Витоки даних у медичній сфері найдорожчі — у середньому вони обходились медичним закладам західних країн у $10 млн (даніCHECK POINT RESEARCH (CPR) TEAM за 2022 рік). 

Електронна система охорони здоровʼя зберігає та обробляє медичні дані мільйонів українських пацієнтів. Вона надійно захищена. Персональні та медичні дані українців зберігаються в реєстрах у центральній базі даних, для них створено систему захисту інформації. Відповідальність за захист окремих медичних інформаційних систем несуть їхні розробники. Однак і медичні заклади відповідають за виконання передбачених угодою із МІС вимог щодо безпечної експлуатації цих систем. 

Але завжди слабкою ланкою будь-якої системи є людина. 61% кібератак у медичній сфері відбувається через недотримання правил кібербезпеки користувачами. 

Ознайомтеся з простими правилами кібербезпеки в медичному закладі на сайті МОЗ в розділі “Кібербезпека” – “Кіберзахист” HTTPS://MOZ.GOV.UA/KIBERZAHIST 

І пам’ятайте: обовʼязково повідомляйте про аномальну поведінку ваших гаджетів адміністратора безпеки вашого закладу. Без фахівця зупинити атаку неможливо. 

Більше – за посиланням HTTPS://MOZ.GOV.UA/KIBERBEZPEKA

Відповідно до Закону України «Про інформацію», інформація з обмеженим доступом класифікується, як конфіденційна, таємна та службова. Персональні дані відносяться до класу конфіденційної інформації з обмеженим доступом і включають у себе відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. Прикладом персональних даних у ЗОЗ є усі особисті дані про стан здоров’я фізичної особи, а також дані, які чітко та тісно пов’язані з даними про стан здоров’я і генетичними даними. 

В свою чергу дані про стан здоров’я особи є медичною інформацією про особу, що містить не лише свідчення про стан здоров’я, а й про історію її хвороби, про запропоновані дослідження і лікувальні заходи, прогноз можливого розвитку захворювання, в тому числі і про наявність ризику для життя і здоров’я. 

Лікарська таємниця – це таємниця про стан здоров’я особи; факт звернення за медичною допомогою;  діагноз;  інші відомості, одержані при медичному обстеженні особи.

Обов’язковою умовою обробки ПД в зазначених цілях є те, що такі дані обробляються медичним працівником, фахівцем з реабілітації  КНП «Міська поліклініка №10» ХМР, на яких покладено обов’язки щодо забезпечення захисту персональних даних та поширюється дія законодавства про лікарську таємницю, працівниками центрального органу виконавчої влади, що реалізує державну політику у сфері державних фінансових гарантій медичного обслуговування населення, працівниками закладу, що здійснює державний санітарно-епідеміологічний нагляд та діяльність у галузі громадського здоров’я, який одержав ліцензію на провадження господарської діяльності з медичної практики, на яких покладено обов’язки щодо забезпечення захисту персональних даних.

Суб’єктом ПД – є фізична особа, персональні дані якої обробляються.

Заклад здійснює обробку ПД пацієнтів – осіб, які звернулись за медичною та/або реабілітаційною допомогою або медичною послугою та/або яким така допомога або послуга надається.

Перелік ПД, які обробляє медичний працівник:

1. паспортні дані;
2. індивідуальний податковий номер;
3. контактний телефон; 
4. адреса електронної пошти;
5. адреса реєстрації та фактичного проживання;
6. історія відвідування медичних працівників закладів охорони здоров’я;
7. історія хвороби пацієнта.

Використання персональних даних передбачає будь-які дії володільця щодо обробки цих даних, дії щодо їх захисту, а також дії щодо надання часткового або повного права обробки персональних даних іншим суб’єктам відносин, пов’язаних із персональними даними, що здійснюються за згодою суб’єкта персональних даних чи відповідно до закону.

Обробка персональних даних, це будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних у тому числі з використанням інформаційних (автоматизованих) систем.

Використання персональних даних медичними працівниками КНП «Міська полікілінка №10» ХМР здійснюється лише відповідно до їхніх професійних чи службових або трудових обов’язків. Ці працівники зобов’язані не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв’язку з виконанням професійних чи службових або трудових обов’язків, крім випадків, передбачених ст. 10 Закону України «Про захист персональних даних. Таке зобов’язання чинне після припинення ними діяльності, пов’язаної з персональними даними, крім випадків, встановлених законом.

Відповідно до закона України «Про захист персональних даних» порушення законодавства про захист персональних даних тягне за собою відповідальність, встановлену законом. Відповідальність за впровадження процедури роботи з персональними даними есе керівник закладу. Особисту відповідальність за обробку, зберігання персональних даних пацієнта несе медичний працівник закладу, який безпосередньо здійснює обробку персональних даних.

Відповідно до Законодавства України встановлено обмеження щодо того, хто і в яких випадках може обробляти дані, що стосуються здоров’я. Лише медичні працівники, фахівці з реабілітації або інші працівники ЗОЗ, реабілітаційного закладу на яких покладено обов’язки щодо забезпечення захисту персональних даних та поширюється дія законодавства про лікарську таємницю.

Основною вимогою до всіх осіб, які здійснюють обробку персональних даних – є забезпечення належного захисту персональних даних з метою виключення можливості отримання ПД  третіми особами, які не мають мати доступ до персональних даних, не отримали такі дані та персональні дані не були знищені або втрачені.

Персональні дані пацієнтів ЗОЗ обробляються, зберігаються, передаються та у разі потреби знищуються безпечним способом відповідно до вимог Закону «Про захист інформації в інформаційно-телекомунікаційних системах».

Строк зберігання ПД та медичної інформації пацієнта визначається визначаються відповідно до законодавства, наданої згоди на обробку ПД, але відповідні дані не можуть зберігатися більше 75 років відповідно з Переліком документів з кадрових питань, затвердженим наказом Мін’юсту від 12.04.2012 р. №578/5 та не перевищує строк, необхідний для реалізації мети обробки та строк, визначений законодавством України у сфері архівної справи та діловодства.

Зміна ПД здійснюється за наступних підстав: 

1. за вмотивованою вимогою пацієнта; 
2. зі згоди пацієнта; 
3. за приписом Уповноваженого Верховної Ради України з прав людини або визначених ним посадових осіб секретаріату Уповноваженого Верховної Ради України з прав людини; 
4. за рішенням суду, що набрало законної сили;
5. інших підстав, передбачених законодавством України.

Зміна персональних даних, які не відповідають дійсності, проводиться невідкладно з моменту встановлення невідповідності.

Видалення або знищення ПД вчиняється у разі: 

1. закінчення строку зберігання даних; 
2. видання відповідного припису Уповноваженого Верховної Ради України з прав людини або визначених ним посадових осіб секретаріату Уповноваженого Верховної Ради України з прав людини; 
3. набрання законної сили рішенням суду щодо видалення або знищення персональних даних. 
4. інших підстав, передбачених законодавством України.

Порядок та умови надання доступу до ПД третім особам регулюються статтями 16 та 17 Закону України «Про захист персональних даних».