В обновленной недавно концепции построения информационной системы здравоохранения, в частности, предусмотрено, что обработка медицинских данных о пациентах, их история болезни будут вестись централизованно в ИТ-инфраструктуре министерства. В то же время подобное решение должно соответствовать требованиям федерального закона № 152 «О персональных данных». Проблемы, которые могут возникнуть у медицинских учреждений при реализации концепции, обсуждались 26 апреля на семинаре «Практические аспекты защиты персональных данных в медицинских учреждениях», который был организован компанией «Информзащита».
Медицинские предприятия обрабатывают самые деликатные персональные данные — о здоровье. Кроме того, концепция предполагает построение распределенной информационной системы, а проект, реализованный в масштабах всей страны, должен содержать миллионы записей персональных данных. В результате в соответствии с требованиями ФЗ-152, облако Минздравсоцразвития должно защищаться по самым высоким требованиям безопасности — практически как государственная тайна. В то же время, если министерству удастся удовлетворить все требования этого закона, то это может устранить большую часть проблем медицинских учреждений, связанных с защитой персональных данных пациентов. Дело в том, что владельцем такой системы является государство, а пользователи — медучреждения — никак не могут повлиять на применяемые в этом облаке инструменты защиты. Это позволяет надеяться, что и отвечать перед регуляторами будет министерство.
Однако опыт проведения процедуры сертификации систем персональных данных, накопленный в компании «Информзащита», показывает, что в распределенных предприятиях не все так просто. Иван Милехин, начальник отдела консалтинга «Информзащиты», выделил два типа коммерческих объединений: холдинги и иерархические предприятия. В холдинге каждое предприятие независимо, и поэтому каждому из них в отдельности нужно проходить процедуру проверки на соответствие требованиям ФЗ-152. Кроме того, при получении разрешения на обработку данных у пользователей нужно также спрашивать о возможности передачи данных другим организациям холдинга. Впрочем, и у централизованного предприятия есть определенные проблемы. Документы достаточно готовить один раз, но нужно точно перечислять адреса филиалов и корректировать этот список в соответствии с текущей ситуацией. Кроме того, нарушение, обнаруженное в одном, даже самом отдаленном филиале, потребует исправления по всей структуре.
Понятно одно: хотя информационная система облака и будет государственной, медучреждениям не избежать выполнения определенных требований по защите персональных данных.
Впрочем, самая большая проблема — время. На построение облака в концепции предусмотрено 10 лет, в то время как ФЗ-152 вступит в силу уже 1 июля 2011 года. При этом министерство на вопросы медицинских учреждений о том, что делать с информационными системами, которые не соответствуют закону «О персональных данных», отвечает, что подобные системы 1 июля нужно будет выключить. В результате может случиться, что целой отрасли придется отказаться от современных технологий и перейти на бумажные носители.