Медицинские документы с персональными данными. Можно ли отправлять в сервисе обмена?

Подходит ли стандартный способ — отправка документов через «Контур.Диадок», Synerdocs, СБИС? На вопросы читателя отвечает эксперт ECM-Journal.

Вопрос к эксперту

Екатерина Копалова, заместитель финансового директора ООО ЦСМ «Здравица» (Новосибирск):

— Мы работаем со страховыми компаниями, оказываем пациентам медицинские услуги по полисам ДМС. В пакет документов для страховых входит реестр оказанных услуг. Он содержит персональные данные специальной категории о состоянии здоровья застрахованного пациента.

Можно ли передавать подобные данные через сервисы обмена? Если операторы ЭДО разные и у нас с контрагентом настроен роуминг, то в таком случае нельзя? Или всегда запрещено?

Дело в том, что от некоторых страховых компаний поступил отказ обмениваться документами по ЭДО, потому что канал связи не соответствует законодательству. Текст отказа такой:

Но конкретно в чём нарушение при передаче через привычный сервис оператора ЭДО («Контур.Диадок», «Тензор» или «Калуга Астрал»), не написано. И никто толком объяснить не может. Получается, что есть класс документов, которые мы не можем отправлять через обычные сервисы в электронном виде?

Усложняется ситуация тем, что медицинские организации уже вынуждены пользоваться разными сервисами операторов ЭДО. При этом выясняется, что обмен некоторыми документами возможен только в другом — дополнительном сервисе, который может обрабатывать реестры оказанных услуг в формате, нужном для автоматической загрузки в информационную систему страховой компании. Использовать только его нельзя — функционал не соответствует возможностям стандартного сервиса обмена. Расходы на ЭДО увеличиваются в разы.

Хуже возросшей стоимости — множество бизнес-процессов. С поставщиками обмениваемся через 1С ЭДО, с покупателями-юрлицами — с помощью других сервисов, а со страховыми придётся через ещё один. При этом с частью контрагентов документооборот остаётся в бумаге.

Ответ читателю

Александр Быков, руководитель проектов Directum:

— Документооборот между медицинскими организациями и страховыми компаниями имеет важные особенности в части работы с персональными данными.

Действительно, любые сведения о здоровье (диагноз, медицинские услуги) — это специальная категория персональных данных (ст. 10, 152-ФЗ). Закон предусматривает для этой категории самые строгие меры безопасности (1 или 2 уровень защищённости в соответствии с Постановлением Правительства РФ № 1119 от 1 ноября 2012 года).

Провайдер облачных услуг, например, оператор электронного документооборота должен предусмотреть много обязательных и очень серьёзных мер как организационного, так и технического характера. Например, применение в качестве технических мер защиты сертифицированных криптографических средств. Речь идёт о шифрующем оборудовании, сертифицированном ФСБ. Его цена весьма высока. Кроме покупки нужны затраты ещё и на поддержку, а также обязательное периодическое обновление. Поэтому операторы, как правило, создают отдельную услугу, предусматривающую необходимые повышенные меры (как указано в письме).

При этих условиях роуминг между операторами может быть не налажен, так как надо не только купить и сопровождать средства шифрования, но и обеспечить их совместимость у двух операторов.

Если пользователь будет передавать через обычный сервис обмена документы со специальной категорией персональных данных, не предпринимая мер защиты и не ставя в известность оператора, то ответит по всей строгости закона. В соответствии со ст. 13.11 КоАП его ждёт наказание за нарушение по защите персональных данных. Вся ответственность в этом случае будет на пользователе. При обмене между организациями вторая сторона обязана не принимать такой документ к обработке, иначе она тоже нарушит закон.

Иллюстрация: кадр из м/ф «Добрый доктор Айболит»