Наверх

ECM-Journal обновился!

Если вы ещё не зарегистрированы на сайте, сделайте это прямо сейчас. Если у вас уже есть профиль, то просто обновите пароль.

Медицинские документы с персональными данными. Можно ли отправлять в сервисе обмена?

Время чтения: 5 минут
0
Медицинские документы с персональными данными. Можно ли отправлять в сервисе обмена?

Подходит ли стандартный способ – отправка документов через «Контур.Диадок», Synerdocs, СБИС? На вопрос читателя отвечает эксперт ECM-Journal.

Подходит ли стандартный способ – отправка документов через «Контур.Диадок», Synerdocs, СБИС? На вопросы читателя отвечает эксперт ECM-Journal.

Вопрос к эксперту

Екатерина Копалова, заместитель финансового директора ООО ЦСМ «Здравица» (Новосибирск):

– Мы работаем со страховыми компаниями, оказываем пациентам медицинские услуги по полисам ДМС. В пакет документов для страховых входит реестр оказанных услуг. Он содержит персональные данные специальной категории о состоянии здоровья застрахованного пациента.

Можно ли передавать подобные данные через сервисы обмена? Если операторы ЭДО разные и у нас с контрагентом настроен роуминг, то в таком случае нельзя? Или всегда запрещено?

Дело в том, что от некоторых страховых компаний поступил отказ обмениваться документами по ЭДО, потому что канал связи не соответствует законодательству. Текст отказа такой: 

«Обращаем ваше внимание, что ваша информационная система не предназначена для обработки персональных данных, содержащих сведения медицинского характера. Обмен пакетами документов, содержащих реестры оказанных услуг с медицинскими данными, с использованием указанной системы нарушает требования законодательства РФ в области защиты персональных данных и может привести к наложению штрафных санкций в соответствии со статьей 13.11 Кодекса об административных правонарушениях РФ. Учитывая данный факт, мы просим Вас не направлять в адрес компании документы, содержащие медицинские данные через вашу систему.

Обмен пакетами документов в электронном виде, содержащих реестры оказанных услуг с медицинскими данными, возможен через другую систему <Название>, которая предназначена для обмена документами соответствующего класса персональных данных».

Но конкретно в чём нарушение при передаче через привычный сервис оператора ЭДО («Контур.Диадок», «Тензор» или «Калуга Астрал»), не написано. И никто толком объяснить не может. Получается, что есть класс документов, которые мы не можем отправлять через обычные сервисы в электронном виде?

Усложняется ситуация тем, что медицинские организации уже вынуждены пользоваться разными сервисами операторов ЭДО. При этом выясняется, что обмен некоторыми документами возможен только в другом – дополнительном сервисе, который может обрабатывать реестры оказанных услуг в формате, нужном для автоматической загрузки в информационную систему страховой компании. Использовать только его нельзя – функционал не соответствует возможностям стандартного сервиса обмена. Расходы на ЭДО увеличиваются в разы.

Хуже возросшей стоимости – множество бизнес-процессов. С поставщиками обмениваемся через 1С ЭДО, с покупателями-юрлицами – с помощью других сервисов, а со страховыми придётся через ещё один. При этом с частью контрагентов документооборот остаётся в бумаге.

Ответ читателю

Александр Быков, руководитель проектов Directum:

– Документооборот между медицинскими организациями и страховыми компаниями имеет важные особенности в части работы с персональными данными.

Действительно, любые сведения о здоровье (диагноз, медицинские услуги) – это специальная категория персональных данных (ст. 10, 152-ФЗ). Закон предусматривает для этой категории самые строгие меры безопасности (1 или 2 уровень защищённости в соответствии с Постановлением Правительства РФ № 1119 от 1 ноября 2012 года).

Провайдер облачных услуг, например, оператор электронного документооборота должен предусмотреть много обязательных и очень серьёзных мер как организационного, так и технического характера. Например, применение в качестве технических мер защиты сертифицированных криптографических средств. Речь идёт о шифрующем оборудовании, сертифицированном ФСБ. Его цена весьма высока. Кроме покупки нужны затраты ещё и на поддержку, а также обязательное периодическое обновление. Поэтому операторы, как правило, создают отдельную услугу, предусматривающую необходимые повышенные меры (как указано в письме).

При этих условиях роуминг между операторами может быть не налажен, так как надо не только купить и сопровождать средства шифрования, но и обеспечить их совместимость у двух операторов.

Если пользователь будет передавать через обычный сервис обмена документы со специальной категорией персональных данных, не предпринимая мер защиты и не ставя в известность оператора, то ответит по всей строгости закона. В соответствии со ст. 13.11 КоАП его ждёт наказание за нарушение по защите персональных данных. Вся ответственность в этом случае будет на пользователе. При обмене между организациями вторая сторона обязана не принимать такой документ к обработке, иначе она тоже нарушит закон.

Иллюстрация: кадр из м/ф «Добрый доктор Айболит»

Чтобы прочитать эту статью до конца,
или зарегистрируйтесь

Комментарии 0

Чтобы прокомментировать, или зарегистрируйтесь