Медичні інформаційні системи та дані про здоров’я: що потрібно знати перед розробкою

Цифровізація системи охорони здоров’я в Україні сформувала нову технологічну інфраструктуру, ключовим елементом якої є електронна система охорони здоров’я (ЕСОЗ). Саме через неї медичні заклади, лікарі та пацієнти взаємодіють із державними медичними реєстрами.

Для компаній, що розробляють програмне забезпечення для медичних закладів, фармацевтичного сектору або пацієнтів, розуміння принципів роботи ЕСОЗ є не лише технічним, а й юридичним питанням. Продукт, який обмінюється даними з державними медичними реєстрами, зазвичай підпадатиме під визначення медичної інформаційної системи та повинен відповідати як технічним вимогам до інтеграції з ЕСОЗ, так і правилам обробки медичних персональних даних.

У цій статті ми розглянемо, як влаштована ЕСОЗ, як програмне забезпечення може отримати доступ до державних медичних реєстрів і які вимоги щодо захисту персональних даних слід врахувати ще на етапі розробки.

Цифрова медицина по-українськи

Електронна система охорони здоров’я (ЕСОЗ) — це державна інформаційно-комунікаційна система, створена для обліку медичних послуг та управління інформацією у сфері охорони здоров’я. 

Правовою основою функціонування ЕСОЗ є Закон України “Про державні фінансові гарантії медичного обслуговування населення”. Саме цим законом на уповноважений державний орган покладено обов’язок забезпечити створення та функціонування електронної системи охорони здоров’я.

Детальні правила роботи ЕСОЗ визначені постановою Кабінету Міністрів України “Про деякі питання електронної системи охорони здоров’я”. Затверджений нею Порядок функціонування ЕСОЗ встановлює архітектуру системи, правила доступу до неї та вимоги до програмних рішень, які інтегруються з державними медичними реєстрами.

Дві частини однієї системи

ЕСОЗ побудований за модульним принципом і складається з двох взаємопов’язаних компонентів: центральної бази даних та електронних медичних інформаційних систем.

Тобто схематично, архітектура ЕСОЗ виглядає таким чином: 

(Міністерство охорони здоров’я України, сторінка “Електронна система охорони здоров’я”)

Ядро ЕСОЗ: центральна база даних

Ключовим елементом ЕСОЗ є центральна база даних (ЦБД). 

Саме вона містить державні медичні реєстри, програмні модулі та електронні кабінети пацієнтів, через які функціонує вся система.

У ЦБД, зокрема, ведуться такі реєстри:

• реєстр пацієнтів;
• реєстр декларацій про вибір лікаря;
• реєстр суб’єктів господарювання у сфері охорони здоров’я;
• реєстр медичних спеціалістів і медичних працівників;
• реєстр медичних записів, направлень та електронних рецептів;
• реєстр медичних висновків.

ЦБД також інтегрована з низкою інших державних реєстрів немедичного характеру, зокрема з Державним реєстром актів цивільного стану громадян та Державним реєстром фізичних осіб — платників податків.

Адміністратором ЦБД є Національна служба здоров’я України, яка реалізує ці повноваження через державне підприємство “Медичні гарантії”. Технічне функціонування системи забезпечує державне підприємство “Електронне здоров’я”. Воно відповідає за підключення медичних інформаційних систем до ЦБД, може обмежувати або зупиняти доступ до системи, а також відключати системи, що не відповідають технічним вимогам.

Водночас доступ до ЦБД не означає автоматичного доступу до всіх її реєстрів. Обсяг доступу визначається функціональністю конкретної медичної інформаційної системи та її роллю в екосистемі ЕСОЗ.

Інтерфейс між користувачами та державою: медичні інформаційні системи

Медичні інформаційні системи (МІС) — це програмні рішення, через які користувачі фактично взаємодіють з ЕСОЗ. Вони забезпечують роботу електронних кабінетів, автоматизують процеси в медичних закладах і дозволяють створювати, переглядати та обмінюватися медичною інформацією в електронній формі.

По суті, МІС виконують роль технологічного інтерфейсу між лікарями, медичними закладами або пацієнтами та ЦБД ЕСОЗ. Саме через такі системи формуються електронні медичні записи, рецепти, направлення та інші медичні документи, а обмін інформацією з державними реєстрами відбувається через API.

Окрім класичних медичних інформаційних систем, у межах інфраструктури ЕСОЗ також виділяють:

• пацієнтські інформаційні системи (ПІС) — програмні рішення, призначені для використання пацієнтами;
• диспетчерські медичні інформаційні системи (ДМІС) — системи, що використовуються для організації роботи екстреної медичної допомоги.

Варто враховувати, що хоча загальна процедура підключення таких систем до центральної бази даних ЕСОЗ є подібною, кожен із цих видів систем має власні особливості. Насамперед це стосується технічних вимог, функціональних модулів та обсягу доступу до даних, які визначаються залежно від ролі системи в інфраструктурі ЕСОЗ.

Інтеграція з eHealth: як отримати доступ до ЕСОЗ

Підключення МІС до ЦБЛ ЕСОЗ є багатоступеневою процедурою, що складається з таких етапів:

1. Підготовка до розробки

Розробник подає заявку на отримання доступу до тестових середовищ ЕСОЗ. Після її розгляду він отримує технічні специфікації, доступ до тестової інфраструктури та можливість взаємодіяти зі службою технічної підтримки. На цьому етапі також визначається майбутній функціонал системи — розробник обирає один або кілька функціональних напрямів і планує відповідні модулі.

2. Розробка системи 

МІС створюється відповідно до технічних вимог, встановлених Національною службою здоров’я України та технічним адміністратором ЕСОЗ. Оскільки ці вимоги регулярно оновлюються, розробникам необхідно відстежувати їх актуальні версії під час розробки.

3. Авторизація з безпеки системи

Відповідно до Закону України “Про захист інформації в інформаційно-комунікаційних системах”, медична інформаційна система повинна пройти процедуру авторизації в Держспецзв’язку.

Необхідність такої процедури зумовлена тим, що МІС обробляють персональні дані лікарів і пацієнтів, а також інформацію про стан здоров’я, яка належить до конфіденційної інформації з обмеженим доступом. Законодавство України встановлює підвищені вимоги до захисту таких даних, особливо у випадках, коли програмне забезпечення взаємодіє з державними інформаційними ресурсами, зокрема з реєстрами, що функціонують у межах ЕСОЗ.

На практиці це означає, що розробник системи, яка обробляє таку інформацію та інтегрується з ЕСОЗ, повинен забезпечити відповідність її системи захисту встановленим державним вимогам. Для цього, як правило, розробляється цільовий профіль безпеки системи на основі базового профілю для систем, що обробляють відкриту або конфіденційну інформацію, після чого система проходить процедуру державної авторизації в Держспецзв’язку.

4. Подання заявки на тестування

Після завершення розробки система подається на тестування до ДП “Електронне здоров’я”. Разом із заявкою подаються необхідні документи, а також надсилається зашифрований архів із даними для доступу до тестового середовища МІС.

5. Тестування системи

ДП “Електронне здоров’я” перевіряє подані матеріали та, за відсутності зауважень, проводить тестування системи. За його результатами формується висновок щодо відповідності МІС технічним вимогам.

6. Укладення договору про підключення

Якщо система успішно проходить тестування, з розробником укладається договір про підключення до ЦБД. Після цього розробник отримує ключі доступу до продуктивного середовища, а інформація про підключену МІС і її функціональні можливості публікується на офіційному сайті ЕСОЗ.

Необхідно враховувати, що навіть після підключення система може проходити повторні перевірки. Якщо виявляється невідповідність технічним вимогам, доступ МІС до центральної бази даних може бути тимчасово зупинений або повністю припинений.

Водночас варто звернути увагу, що підключення до ЦБД передбачає не лише технічну інтеграцію, а й виконання низки операційних зобов’язань розробником МІС. Зокрема, типовий договір про підключення встановлює мінімальні гарантовані умови забезпечення функціонування системи.

Серед ключових вимог, які повинен забезпечити розробник МІС, можна виділити:

1. Наявність вебсайту з інструкціями та навчальними матеріалами для користувачів МІС, а також контактами служби підтримки.
2. Функціонування служби підтримки користувачів, яка працює із використанням спеціалізованих систем обробки звернень (наприклад, helpdesk-систем). Така служба повинна вести журнал звернень, фіксувати опис проблеми, причини звернення, час створення та вирішення запиту, а також результати його опрацювання.
3. Регулярне оновлення навчальних матеріалів відповідно до фактичних функціональних можливостей МІС для роботи в ЕСОЗ.
4. Забезпечення стабільної роботи системи. Договір передбачає, що МІС повинна бути доступною для користувачів у режимі 24/7 із показником доступності не менше 96% часу на добу, за винятком планових технічних робіт або недоступності, спричиненої зовнішніми факторами.

Дані про здоров’я: під особливим захистом закону

Функціонування будь-якої медичної інформаційної системи неминуче пов’язане з обробкою значних масивів персональних даних. Йдеться не лише про ідентифікаційні дані лікарів та пацієнтів, а й про інформацію щодо стану здоров’я, медичних записів, результатів обстежень, електронних рецептів та інших медичних документів. Такі дані належать до чутливої категорії персональних даних і перебувають під посиленим правовим захистом.

Для розробників МІС це означає, що питання захисту даних повинні враховуватися ще на етапі проєктування системи. Архітектура продукту, модель доступу до даних, логування операцій та механізми безпеки мають одразу відповідати вимогам законодавства про захист персональних даних.

Основні правила обробки таких даних встановлені Законом України “Про захист персональних даних”. У типовій моделі використання МІС розробник системи виступає розпорядником персональних даних, тоді як медичний заклад, який використовує систему для ведення медичної документації та роботи з пацієнтами, є володільцем цих даних.

Це означає, що розробник МІС обробляє персональні дані не у власних цілях, а виключно за дорученням медичного закладу та в межах визначеної мети обробки. Така модель відносин передбачає обов’язкове укладення письмового договору про обробку персональних даних або включення відповідних положень до договору про надання послуг. У цьому договорі, як правило, визначаються мета обробки, строки зберігання даних, порядок взаємодії сторін у разі реалізації прав суб’єктів даних, а також вимоги до безпеки інформації, що обробляється в МІС.

Разом із цим, статус розпорядника покладає на розробника МІС низку практичних обов’язків щодо організації безпечної обробки даних у системі. Законодавство вимагає впровадження комплексу організаційних та технічних заходів захисту персональних даних, серед яких для медичних інформаційних систем особливо важливими є:

• визначення порядку доступу працівників розробника до персональних даних, що містяться в МІС. Доступ до таких даних має надаватися лише в межах службових обов’язків, із фіксацією рівнів доступу та веденням обліку працівників, які мають такий доступ;
• укладення письмових зобов’язань про нерозголошення персональних даних із працівниками, які можуть мати доступ до інформації в системі. У разі звільнення або зміни посади доступ до персональних даних повинен бути негайно припинений;
• ведення обліку операцій із персональними даними, що обробляються в МІС. Зокрема, йдеться про фіксацію дати, часу та джерела збирання персональних даних, їх зміни, перегляуду, передачі та видалення, працівника який здійснив одну із указаних операцій тощо;
• журналювання (логування) операцій у системі, що дозволяє відстежувати доступ до медичних записів та інші дії з персональними даними;
• розробку плану реагування на інциденти, зокрема на випадок несанкціонованого доступу до даних, технічних збоїв або інших надзвичайних ситуацій;
• регулярне навчання працівників, які залучені до розробки, адміністрування або підтримки МІС і можуть мати доступ до персональних даних.

Крім того, оскільки в межах МІС обробляються дані про стан здоров’я, законодавство вимагає призначення відповідальної особи або створення структурного підрозділу, який організовує роботу із захисту персональних даних. Інформація про таку особу підлягає повідомленню Уповноваженому Верховної Ради України з прав людини.

На практиці ці вимоги мають не лише формальний характер. Медичні заклади, обираючи медичну інформаційну систему, дедалі частіше перевіряють, чи відповідає вона вимогам законодавства про захист персональних даних. Тому розробникам МІС варто бути готовими до юридичної та технічної перевірки (due diligence) системи перед її впровадженням, зокрема щодо архітектури безпеки, політик обробки даних та внутрішніх процедур захисту інформації.

Розробка МІС: технології та комплаєнс мають рухатися разом

Розробка медичних інформаційних систем — це не лише технічне завдання. Таке ПЗ функціонує у високорегульованому середовищі, де одночасно застосовуються вимоги до інтеграції з ЕСОЗ, стандарти захисту інформації в інформаційних системах та правила обробки персональних даних, зокрема даних про стан здоров’я.

Тому питання захисту даних і відповідності законодавству повинні враховуватися ще на етапі проєктування системи. Саме підхід privacy та security by design дозволяє уникнути проблем із підключенням до ЕСОЗ, перевірками та вимогами медичних закладів.

Якщо у вас виникли питання щодо розробки МІС, інтеграції з ЕСОЗ або організації законної обробки медичних даних, команда Legal IT Group допоможе оцінити ризики та підготувати необхідну документацію.