Медицинские документы с персональными данными. Можно ли отправлять в сервисе обмена?
Подходит ли стандартный способ — отправка документов через «Контур.Диадок», Synerdocs, СБИС? На вопрос читателя отвечает эксперт ECM-Journal.
Подходит ли стандартный способ — отправка документов через «Контур.Диадок», Synerdocs, СБИС? На вопросы читателя отвечает эксперт ECM-Journal.
Вопрос к эксперту
Екатерина Копалова, заместитель финансового директора ООО ЦСМ «Здравица» (Новосибирск):
— Мы работаем со страховыми компаниями, оказываем пациентам медицинские услуги по полисам ДМС. В пакет документов для страховых входит реестр оказанных услуг. Он содержит персональные данные специальной категории о состоянии здоровья застрахованного пациента.
Можно ли передавать подобные данные через сервисы обмена? Если операторы ЭДО разные и у нас с контрагентом настроен роуминг, то в таком случае нельзя? Или всегда запрещено?
Дело в том, что от некоторых страховых компаний поступил отказ обмениваться документами по ЭДО, потому что канал связи не соответствует законодательству. Текст отказа такой:
«Обращаем ваше внимание, что ваша информационная система не предназначена для обработки персональных данных, содержащих сведения медицинского характера. Обмен пакетами документов, содержащих реестры оказанных услуг с медицинскими данными, с использованием указанной системы нарушает требования законодательства РФ в области защиты персональных данных и может привести к наложению штрафных санкций в соответствии со статьей 13.11 Кодекса об административных правонарушениях РФ. Учитывая данный факт, мы просим Вас не направлять в адрес компании документы, содержащие медицинские данные через вашу систему. Обмен пакетами документов в электронном виде, содержащих реестры оказанных услуг с медицинскими данными, возможен через другую систему <Название>, которая предназначена для обмена документами соответствующего класса персональных данных». |
Но конкретно в чём нарушение при передаче через привычный сервис оператора ЭДО («Контур.Диадок», «Тензор» или «Калуга Астрал»), не написано. И никто толком объяснить не может. Получается, что есть класс документов, которые мы не можем отправлять через обычные сервисы в электронном виде?
Усложняется ситуация тем, что медицинские организации уже вынуждены пользоваться разными сервисами операторов ЭДО. При этом выясняется, что обмен некоторыми документами возможен только в другом — дополнительном сервисе, который может обрабатывать реестры оказанных услуг в формате, нужном для автоматической загрузки в информационную систему страховой компании. Использовать только его нельзя — функционал не соответствует возможностям стандартного сервиса обмена. Расходы на ЭДО увеличиваются в разы.
Хуже возросшей стоимости — множество бизнес-процессов. С поставщиками обмениваемся через 1С ЭДО, с покупателями-юрлицами — с помощью других сервисов, а со страховыми придётся через ещё один. При этом с частью контрагентов документооборот остаётся в бумаге.
Ответ читателю
Александр Быков, руководитель проектов Directum:
— Документооборот между медицинскими организациями и страховыми компаниями имеет важные особенности в части работы с персональными данными.
Действительно, любые сведения о здоровье (диагноз, медицинские услуги) — это специальная категория персональных данных (ст. 10, 152-ФЗ). Закон предусматривает для этой категории самые строгие меры безопасности (1 или 2 уровень защищённости в соответствии с Постановлением Правительства РФ № 1119 от 1 ноября 2012 года).
Провайдер облачных услуг, например, оператор электронного документооборота должен предусмотреть много обязательных и очень серьёзных мер как организационного, так и технического характера. Например, применение в качестве технических мер защиты сертифицированных криптографических средств. Речь идёт о шифрующем оборудовании, сертифицированном ФСБ. Его цена весьма высока. Кроме покупки нужны затраты ещё и на поддержку, а также обязательное периодическое обновление. Поэтому операторы, как правило, создают отдельную услугу, предусматривающую необходимые повышенные меры (как указано в письме).
При этих условиях роуминг между операторами может быть не налажен, так как надо не только купить и сопровождать средства шифрования, но и обеспечить их совместимость у двух операторов.
Если пользователь будет передавать через обычный сервис обмена документы со специальной категорией персональных данных, не предпринимая мер защиты и не ставя в известность оператора, то ответит по всей строгости закона. В соответствии со ст. 13.11 КоАП его ждёт наказание за нарушение по защите персональных данных. Вся ответственность в этом случае будет на пользователе. При обмене между организациями вторая сторона обязана не принимать такой документ к обработке, иначе она тоже нарушит закон.
Иллюстрация: кадр из м/ф «Добрый доктор Айболит»
Комментарии 0