Медицинская организация как оператор персональных данных обязана соблюдать требования Закона от 27 июля 2006 г. No 152-ФЗ. Одно из требований – обеспечить сохранность сведений, полученных от пациентов и сотрудников. Хранить персональные данные можно как в бумажном, так и в электронном виде
Если медицинская организация обрабатывает персональные данные в информационной системе, то она обязана защитить ее от несанкционированного доступа. Правила установлены постановлением Правительства РФ от 1 ноября 2012 г. No 1119.
Угрозы, которые могут привести к несанкционированному и случайному доступу к персональным данным при их обработке, можно разделить на три типа (п. 6 постановления Правительства РФ от 1 ноября 2012 г. No 1119):
Тип угрозы | Тип информационной системы |
1-й тип | Информационная система, для которой актуальны угрозы из-за наличия системного программного обеспечения с недокументированными (недекларированными) возможностями |
2-й тип | Информационная система, для которой актуальны угрозы из-за наличия прикладного программного обеспечения с недокументированными (недекларированными) возможностями |
3-й тип | Информационная система, для которой актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей |