Як захищені персональні та медичні дані пацієнтів в ЕСОЗ

В умовах воєнного стану та підвищеної загрози кібератак зі сторони російської федерації дотримання вимог безпеки є пріоритетом №1 електронної системи охорони здоровʼя (ЕСОЗ).
На сьогодні дані, які зберігаються в ЕСОЗ, є більш захищеними, ніж ті, що зберігаються на паперових носіях у медичних закладах. Щобільше – на відміну від паперових карток внесення даних в ЕСОЗ гарантує їх цілісність та збереженість. МОЗ відповідає на найбільш поширені питання щодо захисту персональних та медичних даних пацієнтів в ЕСОЗ.
❓Як втілюється захист національної електронної системи охорони
здоровʼ  я?
НСЗУ, як власник центральної бази даних електронної системи охорони здоровʼя, та ДП «Електронне здоровʼя», як її адміністратор, втілюють усі необхідні заходи безпеки та превентивно працює над посиленням безпеки. Крім того, адміністратор здійснює регулярні перевірки безпеки медичних інформаційних систем. Також до моніторингу безпеки залучені експерти провідних міжнародних аудиторських компаній.
❓Як підтверджується захист даних в ЕСОЗ?
Окрім іншого, центральна база даних ЕСОЗ успішно пройшла сертифікацію та отримала атестат відповідності КСЗІ. Щобільше – усі медичні інформаційні системи, які здійснюють обмін даними з центральною базою даних ЕСОЗ, також отримали атестат відповідності КСЗІ. Іншими словами, це підтвердження того, що дані в системі зберігаються відповідно до вимог, установлених державою.
❓Чи зберігаються персональні дані про пацієнта в медичних інформаційних системах?
Персональні та медичні дані пацієнтів, визначені законодавством, зберігаються на рівні центральної бази даних ЕСОЗ, що є сукупністю реєстрів даних. Так, під час кожного візиту пацієнта лікар здійснює синхронізацію та відправку даних до ЕСОЗ, засвідчуючи цю дію власним кваліфікованим електронним підписом (КЕП).
Додатково в системі реалізовано принцип відокремленого зберігання персональних та медичних даних пацієнта, що суттєво знижує ризик витоку персоніфікованих даних.
❓Як захищений доступ до даних в ЕСОЗ?
Доступ до інформації, що міститься в ЕСОЗ, надається виключно ідентифікованим та автентифікованим користувачам (лікарям), що мають відповідні права доступу.
Так, лише на вході в систему користувачі проходять двофакторну авторизацію: через встановлену МІС та безпосередньо вхід в ЕСОЗ, на рівні якого і визначаються права доступу користувача.
❓Хто має доступ до моєї медичної інформації?
Доступ до даних про пацієнта за його згодою має сімейний лікар (терапевт, педіатр), з яким пацієнт уклав декларацію. Своєю чергою, лікарі-спеціалісти можуть отримати доступ до релевантних епізодів медичної допомоги лише у випадку направлення сімейного лікаря або іншого лікаря-спеціаліста. Доступ до інших даних лікарів-спеціалістів здійснюється за згодою пацієнта.
Ні безпосередньо медичні інформаційні системи, ні працівники інших інституцій не мають доступу до даних про пацієнта.
Надалі в системі буде реалізований функціонал, що дозволятиме пацієнту самостійно керувати доступами до власних даних через електронні кабінети пацієнтів.
Також рекомендуємо
5 Лютого 2024
Найбільш поширені запитання-відповіді щодо реєстрації пацієнта в ЕСОЗ

Час від часу від медичних працівників надходять запитання, пов’язані з етапом реєстрації пацієнта в ЕСОЗ. Сьогодні розглянемо найбільш поширені з них і надамо відповіді. 

Чи треба зазначати УНЗР усім і де його взяти? 

УНЗР вноситься виключно за умови, якщо він присвоєний пацієнтові. 

УНЗР вказано в паспорті у форматі ID картки та/або у біометричному паспорті. Номер знаходиться з правої сторони та має вигляд наступного формату: 11111111-22222.

Наприклад, якщо ви реєструєте пацієнта з ID карткою, система вимагатиме від вас внесення УНЗР. У випадку якщо реєструється пацієнта з паспортом-книжкою або свідоцтвом про народження, УНЗР вноситься за наявності (пацієнт може мати закордонний паспорт).

Для кого РНОКПП є необов’язковим?

РНОКПП є необов’язковим для:

  • Для осіб, які через свої релігійні переконання відмовились від присвоєння РНОКПП і мають відмітку у паспорті або відповідну довідку, податковий код не зазначається (поле залишається порожнім), проставляється відмітка про відмову від його присвоєння. 
  • Пацієнтів віком до 14 років (оскільки вони могли його ще не отримати). Для таких осіб РНОКПП не зазначається (поле залишається порожнім), відмітка про відмову від його присвоєння не зазначається.

Загалом РНОКПП є обов’язковим полем для осіб, які досягли 14 років і не відмовилися від його присвоєння. Він зазначається згідно з документом, що посвідчує особу пацієнта або довідки, яка підтверджує присвоєння такого номера.

Якщо особа відмовилася від РНОКПП, що треба робити? 

Якщо особа з релігійних переконань відмовилася від РНОКПП, навпроти поля “Ознака ВІДМОВИ від РНОКПП” встановлюється «галочка» чи «так» ВИКЛЮЧНО для осіб які:

  1. ВІДМОВИЛИСЬ від РНОКПП (ІПН)
  2. Повідомили про це відповідний контролюючий орган
  3. Мають відмітку у паспорті чи документ про відмову

Для таких пацієнтів ОБОВ’ЯЗКОВИМ є завантаження електронних копій документів (фото/скан-копії), що підтверджують відмову особи від отримання РНОКПП (документ чи сторінка паспорту з відміткою).

З яким документом можна зареєструвати пацієнта? 

Перш ніж реєструвати пацієнта в ЕСОЗ, здійсніть ідентифікацію та його пошук в системі. Переконавшись, що пацієнт ще не зареєстрований, розпочинайте реєстрацію. Про важливість ідентифікації пацієнта більш детально можна ознайомитися за посиланням.

Щоб зареєструвати пацієнта в ЕСОЗ, треба зазначати один із документів, які посвідчують особу, із наступних варіантів:

– паспорт громадянина України

– тимчасове посвідчення громадянина України

– свідоцтво про народження (для осіб, які не досягли 14-річного віку) 

– документ, що підтверджує факт народження, виданий компетентними органами іноземної держави, легалізований у встановленому порядку

– посвідка на постійне проживання в Україні

– посвідчення біженця

– посвідчення особи, яка потребує додаткового захисту

Для всіх пацієнтів номер телефону є обов’язковим? 

Ні, не вимагається, але рекомендовано. Адже номер телефону – один із найбільш зручних способів автентифікації пацієнта в ЕСОЗ. CМС-повідомлення від “E-health” з номером е-направлень, номером МВТН, номером е-рецептів та кодів їх погашення надходять на той номер телефону, який вказаний в Реєстрі пацієнтів. Тобто номер телефону є ще й зручним каналом в отриманні сповіщень від ЕСОЗ. 

Крім того, за наявності номеру телефону пацієнт зможе не лише самостійно управляти доступом до своїх медичних та чутливих даних, але й буде в курсі щодо дій з такими даними. Якщо хтось захоче отримати доступ до даних пацієнта, то без 4-значного коду з СМС такий доступ не буде видано або ж якщо хтось створить пацієнту е-направлення, то система оперативно його про це повідомить. 

Зауважимо, що можна вказати один номер телефону та зокрема, адресу електронної пошти, які допоможуть надсилати пацієнтові важливу інформацію чи нагадування.

Чи має бути у дитини свій власний номер телефону? 

Номер телефону дитини зазначати не треба. Для осіб, які не досягли віку 14 років, доступний лише метод автентифікації за унікальним записом законного представника (мати/батько/тощо) в ЕСОЗ. 

Зазначимо, що номер телефону – це один із трьох доступних методів автентифікації пацієнта в ЕСОЗ. Два інші варіанти – “за документами” і “за унікальним записом законного представника”. 

Чи можна зареєструвати на один номер телефону всю сім’ю?

Ні, не можна. Номер телефону – це один із методів підтвердження дій кожного пацієнта в ЕСОЗ, який вказується в Реєстрі пацієнтів. Саме на цей номер пацієнту надходитимуть СМС-повідомлення від “E-health” з номером е-направлень, номером МВТН, номером е-рецептів та кодів їх погашення. Номер телефону при реєстрації в ЕСОЗ може вказуватися лише для однієї особи. 

Чи треба переукладати декларацію, якщо змінилися дані про пацієнта чи лікаря?

Ні, при зміні будь-яких персональних даних пацієнта, в тому числі зміні чи втраті номеру телефону, переукладати декларацію не потрібно. Треба лише змінити метод автентифікації пацієнта через вашу МІС. У випадку втрати номеру телефону подається відповідна заявка до НСЗУ. 

Якщо лікар, з яким пацієнт уклав декларацію, вже не працює у медичному закладі, то в такому випадку декларацію потрібно переукладати з новим лікарем цього або іншого закладу. 

Хто такий законний представник? 

Законний представник – це людина, якій вже виповнилося 18 років і яка уповноважена представляти права іншого пацієнта Для дітей, які не досягли 14 років, обов’язково вказувати дані про законного представника. Автентифікація таких дітей в ЕСОЗ відбувається методом автентифікації законного представника. Для дітей, які досягли віку 14 років, заповнення блоку про законного представника є опційним і заповнюється на розсуд лікаря.

Також законний представник заповнюється для повнолітніх осіб, які визнані недієздатними. 

Законний представник обов’язково має надати документи, що посвідчують особу та повноваження законного представника.

Хто такий “екстрений контакт”?

“Екстрений контакт” – це довірена людина, до якої можуть звернутися медичні працівники у випадку, якщо пацієнту надається екстрена або ургентна допомога. Зазвичай ця людина із кола сім’ї або близьких друзів. При реєстрації пацієнта в ЕСОЗ у блоці відомостей про довірену особу для повідомлення у разі настання екстреного випадку вносяться такі дані зі слів пацієнта: 

  • Прізвище довіреної особи
  • Ім’я
  • По-батькові
  • Номер телефону
2 Травня 2025
Працездатність ЕСОЗ: часткова недоступність авторизації та сповільнена обробка медичних висновків (оновлено)

⚠️ UPDT (15:30): оновлено перелік поточних технічних проблем та статус їх вирішення

У ході технічних робіт уже відновлено:

✅авторизацію/реєстрацію користувачів в ЕСОЗ

✅можливість зареєструвати законного представника для недієздатного пацієнта

надходженням листів на електронну пошту користувачів

✅ обробку медичних висновків

 

Шановні колеги!

У центральній базі даних ЕСОЗ поки спостерігаються тимчасові технічні труднощі, а зокрема:

📌тимчасово методи автентифікації для деяких пацієнтів відображаються некоректно.

Команди НСЗУ та ДП “Електронне здоров’я” докладають максимум зусиль, щоб ви якнайшвидше змогли повноцінно користуватися системою. Про результати відновлювальних робіт повідомимо окремо.

Слідкувати за оновленнями можна тут: https://status.ehealth.gov.ua/.

Нагадуємо, як діяти під час затримок у роботі ЦБД ЕСОЗ:

  • Призначення ліків коштом пацієнта (крім наркотичних) може здійснюватися на паперових рецептурних бланках.
  • Усі медичні записи, направлення та рецепти слід внести до системи одразу після усунення технічних несправностей.
  • Медичні висновки про тимчасову непрацездатність під час недоступності ЕСОЗ формуються не пізніше п’яти днів з моменту встановлення лікарем факту непрацездатності.
  • Призначення ліків та тест-смужок за програмою реімбурсації, а також наркотичних препаратів можливе лише за е-рецептом. Тому, будь ласка, проінформуйте пацієнтів про можливі затримки та можливість отримання е-рецептів після відновлення роботи ЕСОЗ.
5 Липня 2022
Вхід до робочого кабінету в ЕСОЗ
Іноді трапляється, що лікарі не можуть увійти до свого робочого кабінету в ЕСОЗ чи змінити пароль доступу. Звісно, в кожної лікарні встановлений різний функціонал МІС, але сьогодні ми зібрали типові проблемні моменти, з якими зіштовхуються лікарі, коли намагаються увійти до системи.
1) Варто пам’ятати, якщо лікарі намагаються увійти в систему і вказують помилковий пароль декілька разів підряд – система буде фіксувати кожну спробу увійти, як окремий вхід. Відповідно, система рахує кількість спроб і у підсумку може заблокувати підключення до МІС на певний проміжок часу. Наприклад, лікар понад 3 рази невірно вводив пароль, система обмежить спроби входу на 10 хвилин.
2) Змінюйте пароль завчасно. Кожні три місяці або частіше, згідно з вимогами безпеки вашої МІС, працівники медичних закладів повинні змінювати свій пароль. Якщо пароль не змінити, система блокує вхід і трапитись це може під час робочого дня. Тому важливо попередньо змінити пароль доступу, щоб мати змогу увійти до системи, коли це буде необхідно.
3) Також перевірте термін дії вашого кваліфікованого електронного підпису. КЕП використовується для ідентифікації користувачів та підтверджує їхні дії в ЕСОЗ і також має певний термін дії.
4) При відновленні паролю перевіряйте папку “СПАМ” на робочій пошті. Часом повідомлення з відновленням пароля знаходиться саме в ній.
5) Використовуйте та оновлюйте лише ліцензоване програмне забезпечення. Це важливо, оскільки при кожному оновленні знешкоджується цілий ряд проблем, помилок та потенційних загроз. Оновлення програмного забезпечення посилює захист інформації на вашому комп’ютері.
6) Очищуйте кеш. Кеш браузера — це тимчасове сховище, призначене для прискорення завантаження сайтів. Він працює, зберігаючи статичні файли в локальній пам’яті комп’ютера. Тобто, очищуючи кеш, ви можете прискорити завантаження сторінки. Можливо, у Вас довго завантажується матеріал в інтернеті саме внаслідок переповненого кешу.
7) Працюйте тільки з тими операторами, МІС яких пройшла тестування ДП “Електронне здоров’я”. Повний перелік протестованих та підключених МІС відображається на сайті:
Представники підключених медичних інформаційних систем нададуть вам консультацію, у разі виникнення проблем.
📍 Нагадуємо, у разі, якщо ви не знаєте контактів підтримки МІС, яка встановлена в закладі, ви завжди можете отримати відповідну інформацію в адміністратора ЦБД ЕСОЗ (ДП «Електронне здоровʼя»).
16 Березня 2023
Які дані доведеться вносити до ЕСОЗ в обовʼязковому порядку?
До 31 березня 2023 року всі заклади системи охорони здоровʼ я мають почати працювати в електронній системі охорони здоровʼя – ЕСОЗ.
📌 Ця вимога передбачена Ліцензійними вимогами провадження господарської діяльності з медичної практики та поширюється на всіх субʼєктів господарювання.
📌 Так, цифровізація охорони здоровʼя сприятиме формуванню єдиного медичного простору, у якому вся медична інформація про здоровʼя українців буде зберігатися централізовано та захищено.
📌 Чинними вимогами законодавства передбачено, що установи системи охорони здоровʼя мають вносити в електронному вигляді наступну медичну документацію:
1) медичні висновки про тимчасову непрацездатність;
2) медичні висновки про народження;
3) медичні записи осіб з підозрою на інфікування або з підтвердженим діагнозом COVID-19 (на період дії карантину, встановленого Кабміном, та протягом 30 днів з дня його скасування);
4) починаючи з квітня 2023 року – записи про рецепти на антибактеріальні, наркотичні (психотропні) та загалом всі рецептурні ЛЗ;
5) медичні записи про взаємодію з пацієнтом, на підставі яких формуються медичні висновки та електронні рецепти;
6) медичні записи, записи про направлення та рецепти щодо надання медичних послуг у рамках ПМГ або іншої програми, що фінансується з держбюджету;
7) медичні записи про направлення з метою проведення розширеного неонатального скринінгу новонароджених;
📌 інформацію про результати реабілітаційного обстеження, реабілітаційні втручання, зміни до медичних записів індивідуального реабілітаційного плану тощо.
📌 Інші медичні записи, не передбачені цим переліком як обовʼязкові, можуть вноситись до ЕСОЗ за рішенням закладу та за згодою пацієнта, отриманою відповідно до вимог Закону України “Про захист персональних даних”.
📌 Водночас повний перехід до цифрового обліку усієї медичної документації буде відбуватися поступово і передбачатиме внесення додаткових змін до інших нормативно-правових актів.