Работа с персональными данными для медицинских сайтов

Пациенты ежедневно оставляют информацию о себе. И для них важно, чтобы сведения о результатах лечения и состоянии их здоровья не попали в открытый доступ. Медицинские учреждения не только перерабатывают большие объемы данных, но и обещают обезопасить клиентов от утечки медкарт.

В этой статье мы поговорим о персональных данных (ПД) и о том, как с ними правильно работать в 2023 году. А также обсудим особенности работы с федеральной службой — Роскомнадзором.

Особенности законодательства о персональных данных

Понятие конфиденциальности ПД закреплено в Федеральном законе №149 «Об информации, информационных технологиях и о защите информации». А работа с ними регулируются документом №152 «О персональных данных».

Если компания нарушает требования, Роскомнадзор может выписать штраф, заблокировать сайт и даже аннулировать лицензию у клиники. При этом сумма денежного взыскания повышается с каждым годом.

По закону, ПД — любая информация, которая прямо или косвенно помогает идентифицировать физическое лицо. К ПД относят:

• Паспортные данные.
• Контакты — номер телефона, адрес email, ссылки на профили в социальных сетях и персональные страницы.
• Результаты лечения и исследований.
• Метаданные — cookie, IP-адрес, местоположение.

Обработка ПД включает в себя такие действия, как:

1. Сбор и запись.
2. Систематизация.
3. Хранение и обновление.
4. Использование и передача.
5. Удаление.

Проблемы безопасности в сфере здравоохранения

Клиники собирают информацию с помощью веб-ресурса: запись на прием и заказ обратного звонка. При этом медицинские учреждения обязаны хранить данные о здоровье каждого пациента и не разглашать врачебную тайну.

Эксперты установили, что в 2022 году с утечкой ПД столкнулись 20% организаций из сферы здравоохранения. Аналитики выделяют три ключевые проблемы:

• Малоквалифицированный персонал. Речь идет о людях, которые слабо понимают, как работать с компьютером и программным обеспечением. Это и приводит к халатности и потере медкарт.
• Недобросовестные сотрудники. Еще одна внутренняя проблема, которая связана с человеческим фактором. Люди намеренно передают информацию третьим лицам или предоставляют им доступ к базе.
• Отсутствие специалистов по кибербезопасности. Это внешняя проблема — то есть ситуация, когда сайт взламывают мошенники. А медицинское учреждение не может обеспечить безопасность ввиду отсутствия штатного эксперта.

Как работать с персональными данными

Для начала нужно создать систему безопасности на сайте. Обратитесь за помощью к профессионалам, которые помогут смоделировать вероятные угрозы и разработать правила по защите веб-ресурса.

Если вы сталкиваетесь с частыми сбоями программного обеспечения, обратитесь к своему поставщику. Специалисты должны найти и устранить причину. Также во многих организациях запрещают подключение сторонних устройств и выход в социальные сети и мессенджеры. Это нужно для того, чтобы никто из персонала не смог передать внутреннюю информацию.

После того, как вы удостоверились, что внутренние и внешние проблемы решены, переходите к работе с ПД.

1. Подготовьте информационный текст для положения «Политика конфиденциальности».



2. Опубликуйте правила по работе с ПД на свой сайт. Обычно материал размещают в подвале веб-ресурса.



3. Напишите для пользователей соответствующее примечание в форме заявки и добавьте возможность поставить галочку. К примеру, «Нажимая на кнопку, я соглашаюсь на обработку персональных данных». А в тексте вы можете продублировать ссылку на положение о конфиденциальности. Кстати, отсутствие галочки и примечания — это самая распространенная ошибка, из-за которой человек может подать на вас в суд.

Как создать «Политику конфиденциальности»

Текст должен утвердить руководитель медцентра. Вам нужно четко указать:

• Как проходит сбор личных данных.
• Для чего вы храните материалы и как будете их использовать.
• Каким образом и в каких программах сохраняется информация.
• Как вы обеспечиваете безопасность.
• Готовы ли вы передавать ПД третьим лицам и для каких целей.

Старайтесь написать понятную и подробную инструкцию, чтобы снять вопросы потенциальных клиентов. Единых требований к оформлению материала не существует. Поэтому если вы не знаете, как правильно написать текст, изучите сайты конкурентов или воспользуйтесь конструкторами политики конфиденциальности.

Уведомление Роскомнадзора о работе с личными данными

На основании указа №152-ФЗ вы должны уведомить Роскомнадзор до того, как начнете работу с ПД. Форма заявления находится на официальном сайте. Его нужно отправить в электронном виде, а затем распечатать и отнести в местный орган управления РКН.

Случаи, когда нет необходимости в извещении РКН:

• ПД включены в государственные информационные службы.
• Компания систематизирует данные без средств автоматизации.

Цель государства — обеспечение безопасности физических лиц, сохранности их прав и интересов. Все компании должны выполнять требования Роскомнадзора, в ином случае последует штраф. Но если вы все оформили правильно и вовремя отправили заявление — бояться не стоит.

Заключение

Мы рассмотрели особенности ПД и рассказали, как правильно с ними работать.

Что нужно помнить при работе с ПД:

• Отправьте заявление в РКН.
• Подробно распишите политику конфиденциальности и добавьте ее на веб-сервис.
• Укажите примечание, чтобы пользователь мог прочитать регламент о работе с ПД и согласиться с вашими условиями.
• Устраните внутренние и внешние проблемы, которые могут привести к утечке информации.

Наше агентство в течение восьми лет занимается разработкой медицинских сайтов. Мы знаем, как сделать эффективный ресурс, который будет удобен вашим клиентам. Если вы хотите привлечь новую целевую аудиторию и повысить репутацию бренда — обращайтесь к нам по телефону: +7 (495) 845-40-91 или заполняйте бриф на сайте.