Размер шрифта:
Цвета сайта:
Изображения:
 

Уголовная ответственность медработников за цифровую небрежность

Категории
Категории
Редакция
  • 2 мин
  • 156

Медицинские информационные системы (МИС) с 2026 года официально признаны частью критической инфраструктуры страны (КИИ). Это означает, что теперь за нарушение правил хранения и передачи информации в МИС могут оштрафовать на полмиллиона рублей, а в серьезных случаях — возбудить уголовное дело.

За уничтожение, модификацию или копирование охраняемой компьютерной информации (преступление средней тяжести) грозит лишение свободы сроком до шести лет. При этом под удар попадают и те сотрудники, кто не обеспечил должную безопасность систем. 

Законодательные нововведения, по мнению медицинского адвоката Ирины Клоповой, в целом ожидаемы. Меры связаны с усилением работы с персональными данными — эта тенденция действует уже больше года. Речь идет об утечках персональных данных, в том числе сведений составляющих врачебную тайну в сеть. 

«Клиники редко подходят к этому вопросу [безопасности], они занимаются медицинской частью и упускают это из вида в 80% случаев, по моим наблюдениям. Редко какая клиника готова к четкой, правильной, выверенной работе по персональным данным. И на самом деле вопрос защиты данных находится зачастую в зоне небольших решений, и не всегда требует больших денежных затрат» 

Ирина Клопова
медицинский адвокат, президент Ассоциации юристов медицинских клиник

Возможные факторы риска:

  • Передача личного пароля для доступа в МИС другим людям, даже коллегам. 
  • Хранение паролей в текстовых файлах на компьютере или на бумаге. 
  • Отправка паролей через мессенджеры и электронную почту.
  • Внесение медработниками ложных данных в модуль ЕГИСЗ. 
  • Разглашение врачебной тайны.
  • Установка на сайт медучреждения иностраных счетчиков для сбора ПДн и аналитики. 
  • Использование ИИ-помощников, не принадлежащих медорганизации.
  • Хранение персональных данных на иностранных серверах.

Эксперт напомнила о том, что клиникам необходимо проводить инструктаж с персоналом, назначить ответственных за «цифровую гигиену», регулярно проверять настройки безопасности корпоративных приложений и сервисов, а также передавать данные пациентов только через сертифицированные платформы.

«Историю с паролями чаще всего используют сами сотрудники, то есть речь идет не только о выходе информации за пределы медицинской организации, но и возможности просмотра этой информации в своих частных целях. Здесь вопрос сохранения врачебной тайны стоит не менее остро, потому что в итоге это все может выйти в статью 137 уголовного кодекса РФ».

Как клинике обеспечить информационную безопасность

Информационная безопасность — это программное обеспечение, это антивирусная защита, это регулярное обновление, это тренировки по ситуациям, которые потенциально могут быть. В том числе, тренировки работников, отмечает Клопова.

«Чтобы не допустить утечек данных, с данными нужно работать. Все начинается с безопасности и хранения данных внутри медицинской организации. Соответственно, для себя на первичном этапе надо определиться: мы готовим отдельный сервер, либо мы идем в облачное хранилище, защищенное, находящееся на территории РФ, соответствующее, аккредитованное ФСТЭК.

Второе — будет ли у нас специалист по информационной безопасности, технический специалист. Не просто администратор сайта, приходящий раз в месяц, может быть раз в три месяца, для того, чтобы сменить актуальный прайс, но человек, который будет системно этим заниматься. 

Третья наша задача — сделать документальную обвязку по информационной безопасности. Сюда относятся все положения, все правила, аудиозапись, видеозапись, места хранения, места доступа, лица ответственные к  данной информации, опять таки места, где хранятся серверы, пароли, ключи, коды, регулярное их обновление, в том числе их внутреннее содержание, невозможность их вскрыть, в связи с объемом цифр и данных, то есть сложность самого пароля.  Работа с медицинской информационной системой, оператором передач персональных данных, облачным хранилищем, CRM-системой строго в распределительных зонах ответственности».

«На сегодняшний момент культуры работы с персональными данными нет. И, если честно, все сторонние организации-подрядчики, которые так и иначе касаются данных пациентов, к сожалению, зону ответственности перекладывают на саму клинику, а сама клиника для этого ничего не делает». 

Ирина Клопова
медицинский адвокат, президент Ассоциации юристов медицинских клиник

Последствия утечек персональных данных для медучреждений

Основные неблагоприятные последствия для клиники, это в первую очередь штрафы от Роскомнадзора, они самые чувствительные самые актуальные, они выше чем даже за нарушения лицензионных требований, ну и оборотные штрафы в том числе.

«Если коротко по моему опыту, то, естественно я не могу разглашать клиники, в которых это произошло. Одна клиника закрылась, потому что получила очень большой репутационный ущерб - данными воспользовались мошенники. Другие клиники восстанавливали базы данных и просто платили оборотные штрафы, выстраивали заново всю структуру в клинике». 

Также врачей предупреждают: нельзя передавать данные пациентов через WhatsApp* или обычную почту, а тем более использовать непроверенные ИИ-сервисы. Бумажные истории болезни тоже нужно утилизировать правильно, чтобы случайно не выбросить их в общую корзину.

«Мне известны пути стандартного вскрытия баз данных по кейсам, которые приходили ко мне. Речь идет о переписке с пациентом в мессенджере, наличие подменного мессенджера, вдруг каким-то образом появившегося на рабочем столе администратора, из которого вытекает вся информация о номерах телефонов, данных пациентов, информация об их переписке. Также открываются какие-то непонятные ссылки, пришедшие на электронную почту — нет элементарного антивируса, нет элементарной культуры работы с переходом по разного рода ссылкам в разных мессенджерах. Это не только мессенджеры иностранных компаний, но и российских в том числе. Плюс электронная почта тоже является такой чувствительной зоной».

Если утечка произошла, естественно, любая медицинская организация старается этот инцидент замять и не сделать ее достоянием общественности, и это, по опыту адвоката, большая ошибка руководителей.

«Если инцидент все-таки произошел, первая самая главная ошибка, которую допускаю клиники — они пытаются замять эту историю. Я понимаю, что это страшно, что это большие штрафы, но на самом деле в течение суток вы должны известить Роскомнадзор о такой утечке и они вам действительно помогут. Отрубить все от сети, по возможности выключить все программы, выходы в онлайн, потому что есть необходимость четко выверенной стратегии по этим инцидентам. У вас должно быть положение на такой случай и натренированные сотрудники».

Ирина Клопова
медицинский адвокат, президент Ассоциации юристов медицинских клиник

О том как проводить инструктаж персонала «ДМЦ» писал здесь.

«Еще отмечу такую массовую проблему, если частные клиники хотя бы как-то пытаются это сделать, то государственные учреждения здравоохранения вообще по этому поводу не заморачиваются. Справедливости ради скажу, что их тоже не особо-то проверяют, но ситуация с персональными данными в государственной медицине еще гораздо хуже. Просто ситуаций утечек, мы с вами пока на данный период времени таких громких не знаем. Гораздо интереснее выцыганить базу конкретной клиники и потом ее перепродавать им же за деньги в даркнете, чем работать с госами. Но теоретически ситуация с госами будет еще более страшной и чувствительной». 

«По сути это отголоски вскрытий Яндекса, отголоски вскрытий Аэрофлота — резюмирует Ирина Клопова — поэтому мы, к сожалению, приходим к тому, что медицина в работе медицинской организации становится далеко не самой важной, чувствительной и штрафной зоной с правовой точки зрения. И поэтому руководителям нужно быть более внимательными с этим».

* WhatsApp принадлежит Meta, запрещена в РФ.


Подписывайтесь на наши каналы:

Телеграм-канал  — https://t.me/med_center
ВКонтакте — https://vk.com/dirmedcenter


Читайте также: