Все это — онлайн, с заботой о вас и по отличным ценам.
Нам приходиться работать с их перс данными, так как клиенты (медцентры) хотят чтобы ФИО пациента попадало в
Добрый день! Нужно изучить политику об обработке персональных данных и уведомление в РКН, а также дать консультации исходя из последних изменений в законе. Из нюансов- компания оказывает телемедицинские услуги (получает от больниц снимки клиентов КТ,МРТ) и делает протоколы обследований, платформа-которая собирает данные пациентов предоставлена по неисключительной лицензии.Вопрос еще-насколько детально нужно прописывать технические способы защиты ( если не в политике, то отдельным документом) и как потом это проверяется на практик практике. По техническим моментам:Персональные данные мы храним на серверах в интернете у одного провайдера - Selectel. У них как они говорят контрур защищености 1 степени. Своих серверов в офисе у нас нет.
Далее, у нас есть персональные данные клиентов (лаборанты медцентров) и наших сотрудников, в том числе врачей. Их мы храним в общей базе данных, заполняем при заключении договора.
И самая проблемная часть - пациенты наших клиентов (человек который пришел в клинику на МРТ, КТ и т.д.). Нам приходиться работать с их перс данными, так как клиенты (медцентры) хотят чтобы ФИО пациента попадало в итоговый протокол-заключение.
И так как мы получаем данные пациентов.
1) При загрузке к нам рентгенологических файлов (DICOM). Перед тем как отправить к нам файлы мы собираем из них перс данные и отправляем на один выделенный клиентский сервер (Нода). Отправка происходить через протокол HTTPS поверх криптографических протоколов TLS, т.е. с криптозащитой. На ноде перс данные хранятся в небольшой базе данных liteSQL. После этого мы стираем перс данные пациента из файлов и уже очищенный фал отправляем к нам в облачное хранилище.
2) Если в файле небыло данных пациента то клиент (лаборант медцентра) может добавить его через специальную форму в платформе (на картинке). При сохраненни данных ФИО, номер карты пациента так же по HTTPS и TLS отправляются на выделенный сервер (Ноду), и телефон пациента мы сохраняем в общую центральную базу данных.
В самой платформе мы ФИО клиентов не отображаем врачам и сотрудникам, но отображаем клиентам, чтобы они могли видеть с каким пациентов работают, либо чтобы могли найти нужное исследование.
Далее врач описывает полученные снимки, не видя при этом ФИО пациента, его номер, но знает пол, возраст и вес т.к. эти данные необходимы ему для описания. После описания лаборант открывает протокол заключение, туда подставляется ФИО пациента и лаборант распечатав отдает протокол пациенту
Номер телефона мы используем для личного кабинета пациента, так пациент может не дожидаться протокола, а зайти к нам на сайт и увидеть своё описание снимков.
Так же мы используем его для "динамики" - доп услугии когда врач смотри предыдущие состояния пациента и сравнивает его с текущим. Так быстрее найти в базе старое исследование пациента.
сервера где хранятся персональные данные защищены от взлома различными средствами защиты, такими как firewall и программа анализатор попыток доступа crowdsec. Доступ на сервера имеются у ограниченного числа тех персонала, и осуществляется по криптографическому SSH ключу
- Новая политика по Аксиоме-Тюмень.docx
Здравствуйте.
1. Сразу скажу, что подход к проблеме у Вас правильный и Вам не столько важно включить определенные формально требуемые (таких требований в законодательстве очень мало и они, в основном, общего характера, например, цели обработки персональных данных) положения, сколько предусмотреть целостный системный механизм обработки тех конкретных данных, с которыми Вы работаете в реальной жизни. В общем, Ваш документ должен выступать юридическим подспорьем реально происходящих в организации процессов по обработке данных. Разумеется, нужно разграничение режима обработки для отдельных видов персональных данных, тем более, что в Вашем случае объектов с особым статусом довольно много и для них в отдельных законодательных актах — отдельные требования.
1. Медицинская организация обязана:
…
4) соблюдать врачебную тайну, в том числе конфиденциальность персональных данных, используемых в медицинских информационных системах;
…
7) информировать граждан в доступной форме, в том числе с использованием сети «Интернет», об осуществляемой медицинской деятельности и о медицинских работниках медицинских организаций, об уровне их образования и об их квалификации, а также предоставлять иную определяемую уполномоченным федеральным органом исполнительной власти необходимую для проведения независимой оценки качества условий оказания услуг медицинскими организациями информацию;
Но снова повторюсь, они в основном общего характера.
2. Поскольку в Вашем случае речь идет об обработке данных, полученных другой организацией (организациями), важны не только положения Ваших документов, но и положения документов этих организаций. Собственно, в случае отсутствия в документах организаций права на распространение данных Вам, такая обработка не будет законной, каким бы ни было содержание Ваших документов.
3. Технические способы защиты Вы обозначать подробно не обязаны, если они сами по себе не влекут каких-то особенностей обработки. Использование конкретных способов защиты — это уже Ваше отношение с государством, которое требует от Вас использования эффективных способов
Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Статья 19 ФЗ «О персональных данных».
В остальном Вы свободны в их выборе, однако должны обозначать в политике свое право на обработку данных в различных формах. Опять же, если таким образом обработка осуществляется автоматизированно, это нужно обозначать.
4.
И самая проблемная часть — пациенты наших клиентов (человек который пришел в клинику на МРТ, КТ и т.д.). Нам приходиться работать с их перс данными, так как клиенты (медцентры) хотят чтобы ФИО пациента попадало в итоговый протокол-заключение. И так как мы получаем данные пациентов.
Здесь нет самих по себе особых проблем, но, повторюсь, самое главное — организации, в которые обращаются пациенты, должны получать разрешение на распространение персональных данных Вам. В противном случае и они, и Вы будете нарушать законодательство.
5. Подытоживая, если Вы хотите хороший документ, Вам нужно с конкретным юристом обсуждать подробно, под какие потребности (со всеми деталями работы Вашей организации и Ваших контрагентов) нужно готовить документ.
Дополнительно должен заметить, что в настоящем разделе оказываются консультации. Если Вам нужен документ, можете обратиться к юристу или опубликовать заявку в разделе «документы».