📢 Про захищеність персональних даних пацієнта в ЕСОЗ


1. Як втілюється захист електронної системи охорони здоровʼя?
Електронна система охорони здоровʼя – це система, в якій серед іншого обробляються персональні дані та дані про здоровʼя пацієнтів. Обробка та збереження інформації базується на принципах Закону України “Про захист персональних даних”.
НСЗУ, як власник центральної бази даних електронної системи охорони здоровʼя, та ДП «Електронне здоровʼя», як її адміністратор, втілюють усі необхідні заходи безпеки та превентивно працюють над посиленням безпеки. Крім того, адміністратор здійснює регулярні перевірки безпеки медичних інформаційних систем. Також до моніторингу безпеки залучені експерти провідних міжнародних аудиторських компаній.

2. Які дані містяться в ЕСОЗ?
Центральна база даних ЕСОЗ містить реєстри даних, внесення яких передбачено законодавством. Серед таких реєстрів:
реєстр пацієнтів
реєстр декларацій про вибір лікаря
реєстр субʼєктів господарювання у сфері охорони здоровʼя
реєстр медичних спеціалістів, реєстр медичних працівників
реєстр договорів про медичне обслуговування населення
реєстр договорів про реімбурсацію
реєстр медичних записів, записів про направлення та рецепти
реєстр медичних висновків та інші.
Відомості, що містяться у цих реєстрах, визначені постановою Кабінету Міністрів №411.

3. Які персональні дані пацієнта зберігаються в ЕСОЗ?
Записи про пацієнтів у реєстрі пацієнтів та усі медичні записи складають електронну медичну карту пацієнта, що містить:
1) унікальний номер запису в Єдиному державному демографічному реєстрі (у разі наявності);
2) реєстраційний номер облікової картки платника податків (за умови присвоєння такого номера);
3) прізвище, ім’я, по батькові;
4) дата та місце народження;
5) адреса фактичного місця проживання або перебування;
7) реквізити документа, що посвідчує особу;
8) номер телефону, адреса електронної пошти;
10) інформацію про довірену особу для повідомлення в разі настання екстреного випадку тощо.
А також безпосередньо медичну інформацію: групу крові пацієнта, інформацію про візити до лікаря, госпіталізації, інформацію про електронні направлення та рецепти, огляди, процедури тощо.

Внесення даних до реєстру регулюється Порядком ведення Реєстру пацієнтів в електронній системі охорони здоровʼя.

4. Чи проінформований пацієнт щодо обробки своїх персональних та медичних даних в ЕСОЗ?
Після внесення інформації до декларації пацієнт обовʼязково, за допомогою обраного методу автентифікації підтверджує достовірність внесених даних, запит на реєстрацію пацієнта в Реєстрі та факт того, що він ознайомився з повідомленням про обробку персональних даних.

5. Як підтверджується захист даних в ЕСОЗ?
Окрім іншого, центральна база даних ЕСОЗ успішно пройшла сертифікацію та отримала атестат відповідності КСЗІ. Щобільше – усі медичні інформаційні системи, які здійснюють обмін даними з центральною базою даних ЕСОЗ, також отримали атестат відповідності КСЗІ. Іншими словами, це підтвердження того, що дані в системі зберігаються відповідно до вимог, установлених державою.

6. Чи повинні мати МІС атестат відповідності КСЗІ для взаємодії з ЕСОЗ?
Так, усі медичні інформаційні системи, які здійснюють обмін даними з центральною базою даних ЕСОЗ, також отримали атестат відповідності КСЗІ. Це є вимогою взаємодії з центральною базою даних ЕСОЗ.

7. Чи зберігаються та обробляються персональні дані про пацієнта в медичних інформаційних системах?
Персональні та медичні дані пацієнтів, визначені законодавством, зберігаються та обробляються на рівні центральної бази даних ЕСОЗ, що є сукупністю реєстрів даних. Так, під час кожного візиту пацієнта лікар здійснює синхронізацію та відправку даних до ЕСОЗ, засвідчуючи цю дію власним кваліфікованим електронним підписом (КЕП).
Крім цього, з метою надання медичних послуг заклади охорони здоровʼя можуть збирати та використовувати інші персональні дані про пацієнта та відповідно є їх володільцями. Персональні дані, якими володіє заклад, обробляються МІС за договорами, укладеними між оператором МІС та закладом. Тобто МІС обробляє персональні дані пацієнта з метою, встановленою закладом охорони здоровʼя і виступає лише розпорядником персональних даних.
За інших умов, якщо МІС збирає та обробляє персональні дані поза договором з закладом охорони здоровʼя, МІС має отримати згоду пацієнта на обробку таких персональних даних. Це можуть бути ПІБ пацієнта, його стать, вік тощо.

8. Чи мають представники МІС доступ до персональної та медичної інформації пацієнтів в ЕСОЗ?
Ні, медичні інформаційні системи не мають доступу до даних про пацієнта, яка зберігається на рівні центральної бази даних ЕСОЗ. Повний доступ за згодою пацієнта до таких даних має виключно лікар, з яким пацієнт має активну декларацію.

9. Як захищений доступ до даних в ЕСОЗ?
Доступ до інформації, що міститься в ЕСОЗ, надається виключно ідентифікованим та автентифікованим користувачам (лікарям), що мають відповідні права доступу.
Так, лише на вході в систему користувачі проходять двофакторну авторизацію: через встановлену МІС та безпосередньо вхід в ЕСОЗ, на рівні якого і визначаються права доступу користувача.
Передача інформації здійснюється виключно у зашифрованому вигляді згідно з вимогами законодавства з питань технічного та криптографічного захисту інформації.
Додатково в системі реалізовано принцип відокремленого зберігання персональних та медичних даних пацієнта, що суттєво знижує ризик витоку персоніфікованих даних.

10. Які лікарі мають доступ до моєї медичної інформації в ЕСОЗ?
Доступ до даних про пацієнта за його згодою має сімейний лікар (терапевт, педіатр), з яким пацієнт уклав декларацію.
Своєю чергою, лікарі-спеціалісти можуть отримати доступ до релевантних епізодів медичної допомоги лише у випадку направлення сімейного лікаря або іншого лікаря-спеціаліста. Доступ до інших даних лікарів-спеціалістів здійснюється за згодою пацієнта.
Надалі в системі буде реалізований функціонал, що дозволятиме пацієнту самостійно керувати доступами до власних даних через електронні кабінети пацієнтів.