Как хорошо известно, одним из базовых сервисов ЕГИСЗ является «Интегрированная электронная медицинская карта» (ИЭМК). На федеральном уровне данный сервис 1й версии был создан по заказу Минздрава еще в 2013 г., в настоящее время в эксплуатации находится 3я его версия и ожидается, что он будет развиваться и дальше. Разработчики различных медицинских информационных систем (МИС) обеспечивают интеграцию своих продуктов с ИЭМК, а региональные органы исполнительной власти (ОИВ) осуществляют подключение к нему медицинских организаций (МО) и передачу медицинских сведений.
По официальным данным Минздрава, в 2016 г. работы по интеграции с федеральным сервисом ИЭМК были выполнены в 81 субъекте Федерации. Подключены к сервису 7076 (40,5% от общего числа) медицинских организаций, а 39% (6811) из них передают сведения об оказанной медицинской помощи, источник: http://government.ru/dep_news/27327/.
При этом согласно контрольным показателям, предусмотренным «Дорожной картой развития ЕГИСЗ на 2015-2018 гг», доля МО, которые передают данные в федеральную ИЭМК, должно было составлять не менее 30% (п.40), а процент от общего количества случаев оказания медицинской помощи, информация о которых передана в систему ИЭМК, должно было составлять не менее 35% (п. 41). Таким образом, на данный момент внедрение сервиса ИЭМК идет даже опережающими темпами.
Тем не менее, по мере распространения и развития этого сервиса то и дело ведется дискуссия о том, насколько разработчики МИС, ОИВ и МИАЦы на местах обязаны обеспечивать интеграцию с этим сервисом и наполнение его медицинскими сведениями? Например, в наших проектах мы периодически получаем вопросы от врачей, администраторов МО и т.д. вида «Где сказано, что мы обязаны что-то там передавать в федеральную ИЭМК?»
Поясняя, что это требование истекает из различных информационных писем Министерства, мы получаем второй типичный вопрос – насколько вообще законно ведение сервиса ИЭМК, а также насколько законна передача персональных медицинских данных из МИС МО в сервис ИЭМК?
Попробуем в этом разобраться и ответить на оба вопроса.
Что такое ИЭМК?
Для начала уточнимся, что же такое ИЭМК. Для этого процитируем определение, данное Борисом Зингерманом в документе «Проект ГОСТ Электронная медицинская карта. Термины и определения», опубликованном на «Портале оперативного взаимодействия участников ЕГИСЗ» по адресу http://portal.egisz.rosminzdrav.ru/materials/310:
«Интегрированная электронная медицинская карта (ИЭМК) – совокупность электронных персональных медицинских записей (ЭПМЗ), относящихся к одному человеку, собираемых, передаваемых и используемых несколькими медицинскими организациями. Входящие в ИЭМК электронные персональные медицинские записи могут храниться как централизованно, так и распределено (в различных медицинских организациях). При распределенном хранении доступ к отдельным ЭПМЗ, входящим в ИЭМК, осуществляется через централизованный индекс, содержащий информацию о месте хранения и способе доступа к каждой ЭПМЗ.
Интегрированная электронная медицинская карта может быть создана группой медицинских организаций или органом управления здравоохранения. Способ управления ИЭМК, хранения информации в ней, права доступа и стандарты информационного обмена и информационной совместимости данных (интероперабельности) должны быть определены организациями, создающими ИЭМК. Общие требования к ИЭМК должны быть сформулированы в отдельном национальном стандарте, основываясь на требованиях законодательства Российской Федерации и нормативных документах Министерства здравоохранения Российской Федерации.
Термин ИЭМК является аналогом международного термина Electronic Health Record (EHR)»
Очень четкое и понятное определение. Кстати говоря, кроме него, Борисом Зингерманом разработан отдельный документ «Проект национального стандарта ЭМК. ИЭМК», который очень подробно и в деталях рассматривает, что должен из себя представлять сервис ИЭМК, каким требованиям соответствовать и т.д. Документ доступен по адресу http://portal.egisz.rosminzdrav.ru/materials/309
История становления
Но вернемся именно к федеральному сервису ИЭМК. Как хорошо известно, ЕГИСЗ, частью которого он является, создается и развивается в нашей стране на основании Приказа Минздравсоцразвития РФ от 28.04.2011 N 364 «Об утверждении Концепции создания единой государственной информационной системы в сфере здравоохранения», http://portal.egisz.rosminzdrav.ru/materials/99.
Формально старт в создании региональных сегментов ЕГИСЗ был дан письмом Минздравсоцразвития России от 8 октября 2010 г. N 29-1/10/2-10191, в котором в адрес руководителей исполнительных органов государственной власти субъектов Российской Федерации были направлены методические рекомендации по подготовке программы модернизации здравоохранения субъекта РФ на 2011 - 2012 годы по разделу "Внедрение современных информационных систем в здравоохранение".
Состав создаваемых в 2011 - 2013 годах региональных сегментов ЕГИСЗ, а также функциональные и технические требования к ним, включая минимальные целевые показатели информационно-технологического обеспечения учреждений, определялись соответствующими «Методическими рекомендациями» Минздравсоцразвития России, в которых в том числе были предусмотрены требования по внедрению в МО медицинских информационных систем, а также их интеграция с сервисом ИЭМК и передача соответствующих данных.
Здесь отдельно заметим, что нередко в профессиональной среде бытует мнение, что данные методические рекомендации, которые как известно многократно пересматривались и дополнялись, так и не имеют юридического статуса и никем официально не утверждены. На самом деле это не совсем так – эти документы одобренными решением «Правительственной комиссии по внедрению информационных технологий в деятельность государственных органов и органов местного самоуправления» (пункт 3 раздела II протокола от 12 апреля 2011 г. N 5) и были официально направлены в субъекты Российской Федерации письмом Минздравсоцразвития России от 7 октября 2011 г. N 29-1/10/2-9919. Так что можно утверждать, что именно начиная с этого момента в регионах должна была выполняться работа по поддержке сервиса ИЭМК.
Более того, Минздравом России в адрес руководителей высших органов власти субъектов Российской Федерации регулярно направлялись письма о необходимости обеспечения реализации необходимых мероприятий в установленные сроки (письмо от 30.12.2011 N 20-0/10/2-13453, письмо от 08.06.2012 N 29-1/10/2-116, письмо от 20.07.2012 N 18-1/10/2-779).
По теме ИЭМК было отдельное «Информационном письме Минздрава РФ № 18-3/10/2-8117 от 31.10.2013 о вводе в эксплуатацию и сроках и порядке действий региональных органов управления здравоохранением по сервису ИЭМК», в котором были указаны те мероприятия, которые должны были быть выполнены со стороны регионального органа управления здравоохранением ОУЗ) или уполномоченной организацией (как правило, МИАЦ). Они включают в себя следующее:
|
№ п/п
|
Мероприятие
|
Выполнить до
|
| 1 | Создание и направление письма о готовности к интеграции с ИЭМК | до 10.11.2013 |
| 2 | Оформление и отправка заявки на подключении к тестовой площадке ИЭМК | до 15.11.2013 |
| 3 | Обеспечить выполнение требований к защите информации, установленным действующим законодательством, обеспечить защиту конфиденциальной информации и персональных данных в соответствии с классификацией информации и объектов информатизации, на которых осуществляется обработка данных категорий информации | до 15.12.2013 |
| 4 | Установка и настройка необходимого ПО, проведение отладки взаимодействия с федеральным сервисом ИЭМК (с тестовой площадкой) | до 15.12.2013 |
| 5 | Совместная проверка контрольного примера взаимодействия МИС с ИЭМК | Сроки указаны в приложении 2 письма |
| 6 | Передача данных пациентов из МИС в тестовую площадку ИЭМК (регистрация пациентов в сервисе для создания их ИЭМК) | до 01.02.2014 |
| 7 | Оформить и направить письмо об окончании интеграции с ИЭМК на тестовой площадке и готовности к проведению интеграционных работ с основной площадкой | до 10.04.2014 |
На портале оперативного взаимодействия участников ЕГИСЗ опубликована достаточно подробная документация по федеральной ИЭМК, она доступна в разделе «Все материалы» -> «ЕГИСЗ» -> «ИЭМК» по адресу http://portal.egisz.rosminzdrav.ru/materials
Таким образом, с нашей точки зрения, Минздравом даны все необходимые поручения по интеграции МИС/РМИС с федеральной ИЭМК и подготовике к подключению и работе с промышленной средой, которые должны были быть завершены во всех субъектах РФ еще в апреле 2014 г.
Это – ответ на вопрос, является ли подключение к ИЭМК и передача данных в сервис обязательной? Да, является и для этого со стороны регулятора все необходимые требования оформлены.
Теперь давайте разберемся с более сложным вопросом – а является ли функционирование МИС и передача данных из них в ИЭМК законной?
ИЭМК и законность ведения этого сервиса
Начнем рассмотрение этого вопроса с понятия врачебной тайны и возможности без согласия пациента хранить медицинские сведения граждан в МИС/РМИС и затем передавать их в региональную/федеральную ИЭМК.
Для этого обратимся к ФЗ «Об основах охраны здоровья граждан в РФ» №323 ФЗ, в котором есть «Статья 13 Соблюдение врачебной тайны», говорящая следующее:
«4. Предоставление сведений, составляющих врачебную тайну, без согласия гражданина или его законного представителя допускается:
8) при обмене информацией медицинскими организациями, в том числе размещенной в медицинских информационных системах, в целях оказания медицинской помощи с учетом требований законодательства Российской Федерации о персональных данных;
9) в целях осуществления учета и контроля в системе обязательного социального страхования;
10) в целях осуществления контроля качества и безопасности медицинской деятельности в соответствии с настоящим Федеральным законом»
Другими словами, федеральным законодателем предусмотрен ряд исключений из общего правила о недопустимости разглашения сведений, составляющих врачебную тайну. В частности, предоставление данных сведений без согласия гражданина допускается для осуществления контроля качества и безопасности медицинской деятельности (пункт 10 части 4 статьи 13). К формам, в которых осуществляется указанная контрольная деятельность, наряду с государственным и ведомственным отнесен внутренний контроль (статьи 87, 88, 89 и 90 названного Федерального закона).
Таким образом, 323 ФЗ допускает передачу медицинских данных в ряде случаев без согласия пациента.
Далее, определимся с правом Минздрава эксплуатировать ИЭМК. Для этого обратимся к «Статье 14. Полномочия федеральных органов государственной власти в сфере охраны здоровья», в которой сказано:
«9) ведение федеральных информационных систем, федеральных баз данных в сфере здравоохранения, в том числе обеспечение конфиденциальности содержащихся в них персональных данных в соответствии с законодательством Российской Федерации».
Что касается права ведения медицинской организацией МИС/РМИС, то для этого процитируем «Статью 78. Права медицинских организаций», в которой предусмотрено:
«5) создавать локальные информационные системы, содержащие данные о пациентах и об оказываемых им медицинских услугах, с соблюдением установленных законодательством Российской Федерации требований о защите персональных данных и соблюдением врачебной тайны.»
Таким образом, МО имеют право ведения МИС/РМИС, а Минздрав имеет право ведения федерального сервиса ИЭМК.
Теперь давайте уточнимся, что же можно осуществлять в рамках ведения компонентов ЕГИСЗ? Для этого обратимся к «Статье 91. Информационные системы в сфере здравоохранения», в которой сказано:
«1. В информационных системах в сфере здравоохранения осуществляются сбор, хранение, обработка и предоставление информации об органах, организациях государственной, муниципальной и частной систем здравоохранения и об осуществляемой ими медицинской деятельности (далее - информационные системы) на основании представляемых ими первичных данных о медицинской деятельности.
2. Операторами информационных систем являются уполномоченный федеральный орган исполнительной власти, уполномоченные органы государственной власти субъектов Российской Федерации, организации, назначенные указанными органами, а также органы управления Федерального фонда обязательного медицинского страхования и территориальных фондов обязательного медицинского страхования в части, касающейся персонифицированного учета в системе обязательного медицинского страхования.
3. Порядок ведения информационных систем, в том числе порядок и сроки представления в них первичных данных о медицинской деятельности, устанавливается уполномоченным федеральным органом исполнительной власти.»
Таким образом, исходя из ФЗ N 323, к структурам, допущенным к обработке данных медицинских данных, относятся: МО и операторы ИС (из текста ч. 2 ст. 91: уполномоченный федеральный орган исполнительной власти, уполномоченные органы государственной власти субъектов РФ, организации, назначенные указанными органами, а также органы управления Федерального фонда ОМС и территориальных фондов ОМС в части, касающейся ПУ в системе ОМС).
Порядок ведения ИС, в том числе порядок и сроки представления в них первичных данных о медицинской деятельности, устанавливаются уполномоченным федеральным органом исполнительной власти (ч. 3 ст. 91). На последний возлагается и обязанность определения порядка ведения персонифицированного учета оказанной медицинской помощи (ч. 3 ст. 92). В ИС в сфере здравоохранения, как об этом указывает ч. 1 ст. 91, "осуществляются сбор, хранение, обработка и предоставление информации об органах, организациях государственной, муниципальной и частной систем здравоохранения и об осуществляемой ими медицинской деятельности на основании представляемых ими первичных данных о медицинской деятельности".
Таким образом, в соответствии с ФЗ N 323 ответственность за защиту информации ограниченного доступа (сведения о лицах, которые участвуют в оказании медицинских услуг и о лицах, которым оказываются медицинские услуги) выпадает на МО и операторов ИС, в случае с ИЭМК – на Минздрав.
Согласно ч. 1 ст. 13 ФЗ N 323 врачебная тайна – это совокупность сведений, включающих в себя данные о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, а также иные сведения, полученные при его медицинском обследовании и лечении. Данные сведения в ФЗ N 323 представляются как бы в общем, в виде четырех групп (данные о факте обращения гражданина за оказанием медицинской помощи; данные о состоянии его здоровья; установленный диагноз; иные сведения, полученные при медицинском обследовании и лечении). Тем не менее – именно эти данные составляют основу ЭМК и именно эти сведения передаются из МИС МО/РМИС в федеральную ИЭМК.
Таким образом, согласно ФЗ N 323 МО имеют полное право хранения и обработки медицинских данных пациентов и их передачу в федеральную ИЭМК без получения согласия пациента. Федеральное законодательство это не запрещает.
Но не все так просто. Иногда можно услышать мысль о том, что возможно ФЗ №323 и разрешает передачу данных в ИЭМК, но это не предусмотрено другим ФЗ - №326. Уточнимся и на этот счет. Согласно ч. 3 ст. 43 ФЗ N 326 Федеральным фондом и территориальными фондами, Пенсионным фондом РФ и его территориальными органами, СМО, МО и страхователями для неработающих граждан осуществляется персонифицированный учет (ПУ) оказанной медицинской помощи. Эти сведения достаточно конкретны и имеют отношение к 23 позициям ст. 94.
По сути, ПУ – это как раз те сведения, которые МИС/РМИС передают в федеральную ИЭМК. Получается, в этом ФЗ используется термин, отличный от ФЗ N 323 и поэтому есть сомнения, а позволяют ли положения ФЗ N 326 осуществлять передачу данных в ИЭМК и их обработку соответствующим оператором?
Здесь нужно принять во внимание, что все отмеченные выше расхождения норм ФЗ N 326 с нормами ФЗ N 323, представляющими ведение персонифицированного учета при осуществлении медицинской деятельности, в том числе в сфере ОМС, обусловлены первоначальным «страховым» ФЗ N 326 и заслуживают приведения в соответствие «медицинскому» ФЗ N 323.
ФЗ N 326, в отличие от ФЗ N 323, включает в права застрахованных лиц (п. 7 ч. 1 ст. 16) защиту персональных данных, необходимых для ведения ПУ (применительно к сфере ОМС). В ФЗ N 323 среди прав пациентов (ч. 5 ст. 19) фигурирует защита сведений, составляющих врачебную тайну. Но можно ли относиться к понятиям "врачебная тайна" и "персональные данные, необходимые для ведения ПУ" как к тождественным? Если исходить из текста п. 4 ч. 1 ст. 79 ФЗ N 323, то да, так как понятие "врачебная тайна" включает в себя и "конфиденциальность персональных данных, используемых в медицинских информационных системах". Тогда ФЗ N 323 и ФЗ N 326 указывают на одинаковые права в отношении защиты конфиденциальной медицинской информации.
Отсюда, пусть несколько условно, но все-таки мы можем признать тождественность рассматриваемых понятий, поэтому мы исходим из того, что персонифицированный учет и медицинские сведения о здоровье – это одно и тоже, хотя конечно хотелось бы – чтобы в наших ФЗ и подзаконных актах использовались одни и те же описанные термины и определения. А это, в свою очередь, позволяет сделать вывод, что ФЗ N 326 не накладывает ограничений на передачу данных из МИС в ИЭМК.
А стало быть – и согласно ФЗ N 326 эксплуатация сервиса ИЭМК и передача данных в него без согласия пациента также являются законными.