НСЗУ рассказала о конфиденциальности чувствительных данных

По определению службы, данные о психиатрических диагнозах – чувствительны и являются конфиденциальной информацией, поэтому доступ к ним в электронной системе здравоохранения (ЕСОЗ) ограничен и невозможен без согласия пациента, напоминает служба.

Запись, содержащая код предоставленной или назначенной услуги, связанной с психиатрическим диагнозом, будет считаться в ЕСОЗ чувствительной записью.

Доступ к чувствительным данным ограничен и имеет уровни доступа. Медицинский работник, который зарегистрировал такую ​​запись, является автором и имеет безусловный доступ к такой записи. Остальные медицинские работники не будут знать о существовании таких записей, чтобы избежать разглашения информации о наличии у пациента чувствительного диагноза. В частности, не видит наличия или отсутствия чувствительных данных и врач, с которыми пациент заключил декларацию.

Другие медицинские работники для оказания медицинской помощи (установление диагноза, обеспечения лечения или предоставления других медицинских услуг) могут нуждаться в ознакомлении с медицинскими данными пациента по психиатрическому диагнозу. В этом случае они могут подавать запрос на доступ к чувствительным медицинским данным пациента, содержащемуся в ЕСОЗ. Медицинский работник получит доступ только при полном согласии пациента или его законного представителя, предусматривающего:

  • разъяснение пациенту (или его уполномоченному лицу) зачем врачу нужны данные о психиатрическом диагнозе;
  • написание пациентом или его законным представителем письменного согласия на доступ к чувствительным данным;
  • создание разрешения на доступ к соответствующей группе чувствительных данных в ЕСОЗ (в этом случае к группе чувствительных данных по психиатрическому диагнозу).
  • подтверждение создаваемого доступа к данным со стороны пациента или его законным представителем в соответствии с имеющимся методом аутентификации.

В зависимости от метода аутентификации пациента, выбранного во время его регистрации, подтверждение создаваемого доступа на группу чувствительных данных может осуществляться либо с вводом кода из смс, которое придет на телефон пациента (если у пациента метод аутентификации через телефон), либо без ввода такого кода (если у пациента метод аутентификации через документы).

СМС с кодом подтверждения содержит также информацию, к какой группе чувствительных данных такой доступ предоставляется (в этом случае к данным о психиатрическом диагнозе). Такое информирование важно для обеспечения осознанных действий пациента.

Только после этого медицинский работник получает доступ к требуемым медицинским записям. При получении разрешения на доступ к чувствительной группе психиатрических диагнозов – доступ предоставляется на все записи, содержащие код диагноза по психиатрическим заболеваниям и/или код предоставленной/назначенной услуги, связанной с психиатрическим диагнозом. Такой доступ действителен в течение 30 дней и может никогда быть отозван пациентом.

Медицинский работник при запросе разрешения на доступ к данным в ЕСОЗ, необходимым ему для предоставления медицинской услуги, может не знать, что они содержат записи о психиатрических диагнозах. В этом случае ЕСОЗ посылает пациенту СМС с уведомлением, что доступ предоставляется к данным о психиатрическом диагнозе. Таким образом, пациент получает предупреждение, что информация, к которой врач хочет получить доступ, оказалась чувствительной. В этом случае, если пациент согласен предоставить доступ – он одновременно дает согласие и на доступ к записи и на доступ к данным о психиатрическом диагнозе. Такой опосредованный подход действует только в том случае, если пациент выбрал метод аутентификации через СМС.

Если у пациента метод проверки подлинности через документы, то ЕСОЗ нет возможности предупредить, что информация к которой врач хочет получить доступ – чувствительна. В таком случае медицинский работник, создав и подтвердив разрешение на доступ к конкретной записи, все равно не сможет с ним ознакомиться без получения разрешения на доступ к группе чувствительных данных по психиатрическому диагнозу, который он должен запросить у пациента согласно описанным выше правилам.

Медицинские работники обязаны не разглашать данные, доступ к которым получили при исполнении обязанностей, не пересматривать их, если это не связано с лечением, предоставлять по просьбе пациента выписку из электронной системы и проходить профессиональные учения по работе с персональными данными.