Безпека електронної системи охорони здоровʼя

Від початку побудови електронної системи охорони здоровʼя (ЕСОЗ) захист даних завжди був пріоритетним завданням. ЕСОЗ – одна з систем в Україні, в якій реалізовані найсучасніші засоби захисту, серед яких: використання користувачами кваліфікованих електронних підписів (КЕП), реалізація архітектурних принципів GDPR (відокремлене зберігання медичних та персональних даних), blockchain-подібні алгоритми, що забезпечують цілісність даних та інші. Так, лише на вході в систему користувачі проходять двофакторну авторизацію: через встановлену МІС та безпосередньо вхід в ЕСОЗ за протоколом OAuth.2.

​​Система має багаторівневий захист та отримала  атестат відповідності комплексної системи захисту інформації. 

Також кожен МІС, що підключений до ЦБД, повинен мати атестат відповідності комплексної системи захисту інформації (КСЗІ) відповідно до норм українського законодавства. 

 Ця вимога передбачена Законом України “Про захист інформації в інформаційно-комунікаційних системах” та іншими нормативно-правовими актами щодо підключення МІС до центральної бази даних ЕСОЗ.

Сьогодні наша держава бореться із загарбником на всіх фронтах і кіберфронт не є винятком. На рівні центральної бази даних адміністратор забезпечує проведення необхідних заходів із захисту інформації та попереджає реальні та потенційні атаки ворога.

Проте захист інформації також не менш важливий і на робочому місці кожного користувача. Для цього закладам охорони здоров’я необхідно: 

🔹регулярно оновлювати програмне забезпечення (зокрема,операційних систем, систем керування базами даних, програмних бібліотек тощо);

🔹контролювати цілісність та автентичність ПЗ; 

🔹забезпечувати мережевий захист: фільтрація та аналіз мережевого трафіку, виявлення і протидія мережевим атакам і т. д.;

🔹унеможливлювати втрату інформації, забезпечити резервне копіювання даних, захист від несанкціонованого доступу, розмежування прав доступу тощо;

🔹забезпечувати реєстрацію подій, пов’язаних з отриманням користувачами доступу до ресурсів ЗОЗ;

🔹проводити резервування конфігураційних файлів та критично важливих системних файлів;

🔹проводити перевірку кваліфікованого електронного підпису на інформаційних об’єктах в ЗОЗ її користувачами;

🔹забезпечувати антивірусний захист, перевірку на наявність шкідливого програмного коду всіх вкладень, що завантажуються користувачами до ЗОЗ.

Для забезпечення виконання всіх цих заходів доцільно в закладах охорони здоров’я визначити відповідальних за це осіб або ж створити відповідні ІТ підрозділи, а також забезпечити контакт таких осіб чи підрозділів зі службами підтримки медичних інформаційних систем, які працюють у закладі.

Також рекомендуємо
6 Лютого 2025
Відключення медичної інформаційної системи від ЦБД ЕСОЗ (EvoMis)

Шановні користувачі електронної системи охорони здоровʼя!

Державне підприємство “Електронне здоров’я”, що відповідно до Порядку функціонування електронної системи охорони здоров’я, затвердженого постановою Кабінету Міністрів України від 25 квітня 2018 р. № 411, є  адміністратором центральної бази даних електронної системи охорони здоров’я (надалі – Адміністратор) повідомляє наступне.

Відповідно до наказу Адміністратора від 06.02.2025 №7 та поданої заяви Оператора (ТОВ “ПОЛІКЛІНІКА БЕЗ ЧЕРГ”) електронної медичної інформаційної системи про добровільне відключення електронну медичну інформаційну систему “КП “МІС “IT4MEDICINE” (EvoMis)” буде відключено від центральної бази даних ЕСОЗ з 10 лютого 2025 року.

Нагадуємо, що у разі відключення МІС від центральної бази даних електронної системи охорони здоров’я, користувачі МІС мають право:

– обрати для роботи в електронній системі охорони здоров’я іншу МІС відповідно до алгоритму вибору МІС;

– розірвати договір з Оператором МІС;

– продовжити співпрацю з МІС у частині функціоналу, що не підключений до ЕСОЗ.

24 Серпня 2021
Вітаємо з Днем Незалежності України!
Сьогодні виповнюється 30 років Незалежності України!
Вітаємо!🇺🇦
На честь цієї визначної дати ми зібрали 30 визначних моментів в електронній системі охорони здоров’я!
1. Верховна рада України прийняла закон “Про державні фінансові гарантії медичного обслуговування”, в якому окремо зазначено необхідність розбудови електронної системи охорони здоров’я. Даний закон дав початок медичній реформі, законопроєкт підтримали 240 депутатів.
2. Електронна система охорони здоров’я працює в тестовому режимі з вересня 2017 року, коли з’явилася технічна можливість зареєструвати у системі медичний заклад, лікарів, а також внести дані декларацій пацієнтів.
3. 5 лютого 2018 року відбулася передача майнових прав інтелектуальної власності від Проектного офісу до Міністерства охорони здоров’я України.
4. 27 грудня 2017 р.- утворена Національна служба здоров’я України і Положення про неї затверджене Кабінетом Міністрів України.
5. Створено ДП «Електронне здоров’я», яке відповідає за адміністрування центральної бази даних.
6. Держава почала оплачувати медичні послуги за програмою медичних гарантій установам з 1 серпня 2018 року із застосуванням даних ЕСОЗ.
7. Затверджено регламент функціонування компонентів електронної системи обміну медичною інформацією, що необхідні для запуску нової моделі фінансування на первинному рівні надання медичної допомоги.
8. Почав діяти оновлений перелік послуг первинної медичної допомоги.
9. Запроваджено державну програму реімбурсації “Доступні ліки”.
10. Перший мільйон е-рецептів виписано протягом двох перших місяців функціонування програми реімбурсації.
11. Запуск електронних медичних записів – фундаментального функціоналу для розвитку та побудови ЕСОЗ.
12. Старт другої хвилі медичної реформи в Україні – контрактування закладів спеціалізованої медичної допомоги.
13. Побудовано комплексну систему захисту інформації (КСЗІ) на ЦБД та отримано атестат її відповідності.
14. Запуск на основі медичного висновку про народження електронного свідоцтва про народження та послуг єМалятко.
15. Офіс Глобального партнерства Державного департаменту США та Інститут суспільного бізнесу та Конкордія Університету Вірджинії оголосили українську урядову програму “Доступні ліки” фіналістом нагороди 2020P3 Impact. Премія P3 Impact відзначає 5 державно-приватних партнерств, які спрямовані на вирішення нагальних проблем у сферах економічного росту та розвитку, сталого розвитку та глобального здоров’я.
16. Затверджено концепції розвитку електронної охорони здоров’я (ЕCОЗ).
17. Сформовано план заходів з реалізації концепції розвитку ЕСОЗ.
18. Впровадження електронних інструментів для сприяння протидії поширення коронавірусної хвороби.
19. Подолано вендерлок, ДП “Електронне здоров’я” отримало можливість самостійних релізів.
20. Розробка технічної документації для реалізації програми eStock.
21. Зафіксовано рекордну кількість електронних медичних записів в ЕСОЗ – аж 2 мільйони!
22. Створення та адміністрування порталу “Вакцинація від COVID-19”.
23. Відновлення роботи порталу міжнародних протоколів лікування Дуодецім.
24. Понад 30 млн 600 тисяч українців зареєстровано у системі на сьогодні.
25. Понад 24 тисячі лікарів доєднались до системи ЕСОЗ.
26. 45 міс підключено до ЕСОЗ.
27. Здійснено 500+ підключень функціоналу медичних інформаційних систем.
28. Запуск дашбордів для моніторингу стану роботи компонентів ЦБД.
29. Запуск е-лікарняних на основі електронних медичних листків тимчасової непрацездатності.
30. Розробка ковід-сертифікатів на основі даних з ЕСОЗ.
Вітаємо всіх українців зі святом! В якому б куточку світу, де б Ви не знаходились нехай завжди переповнює гордість за нашу державу, бо українець – це не просто відмітка в паспорті, а й поклик серця!
Слава Україні!💙💛
24 Березня 2026
Актуальні зміни в ЕСОЗ: оновлено технічні вимоги до МІС

Готуємося до оновлень в ЕСОЗ: незабаром у системі з’являться нові інструменти та виправлення. Зміни вже зафіксовані в технічних вимогах до МІС, тож очікуйте на оновлений функціонал на своїх робочих місцях уже незабаром.

Наказом Національної служби здоровʼя № 138 від 20.03.2026 була затверджена нова, 37 редакція технічних вимог до медичних інформаційних систем (МІС).

Відповідність МІС актуальним технічним вимогам – ключова умова роботи МІС з центральною базою даних ЕСОЗ. Дізнавайте більше, коли ці оновлення стануть доступні вам – у представника вашої МІС.

Зауважимо: протягом 2 місяців з дати затвердження технічних вимог, медичні інформаційні системи мають забезпечити відповідність актуальним вимогам та подати заявки на відповідні тестування.

Розповімо детальніше, які ключові зміни увійшли до нових технічних вимог до МІС.

Вимоги з безпеки

✅Розширено вимоги з безпеки, тепер у вимогах до МІС

👉На кого вплинуть ці зміни: на всіх користувачів ЕСОЗ (лікарів, медсестер, керівників, адміністраторів).

🔙Як було: Базові вимоги до кібербезпеки існували й раніше, але зараз вони стали чіткішими та деталізованішими

🔍Що змінюється:

  • Обов’язкова двофакторна автентифікація (2FA): тепер для входу в МІС необхідно підтверджувати особу додатковим “фактором” (як от через телефон, додаток, SMS та ін.).
  • Уточнено правила захисту від зламу (Brute-force): встановлено обмеження щодо автоматичного блокування користувача на 5 хвилин, у разі неправильно введеного паролю 5 разів.
  • Принцип «Один користувач – один пристрій»: якщо ви зайдете в систему на іншому комп’ютері, попередній сеанс автоматично завершиться.
  • Контроль доступу до кожної дії (Захист від IDOR): МІС перевірятиме ваші права на перегляд кожної конкретної сутності. Навіть якщо хтось спробує зімітувати доступ, система не дозволить переглянути «чужі» дані.

Медичні записи. Електронні рецепти

✅Відображення мінімальних цін лікарського засобу за QR-кодом в інформаційній памʼятці до е-Рецепта

👉На кого вплинуть ці зміни: на пацієнтів (водночас інформація важлива для роботи лікарів та фармацевтів).

🔙Як було:  в інформаційній пам’ятці містилася лише базова інформація про призначення, без можливості швидкого порівняння цін на аналогічні за складом та формою ліки.

🔍Що змінюється:

Відтепер за посиланням у паперовій памʼятці пацієнт зможе переглянути додаткову інформацію, а саме:

  • усі доступні ліки з призначеною  діючою речовиною, формою та дозуванням; 
  • до трьох найбільш економічно вигідних варіанти з їх вартістю за одиницю (таблетку або капсулу).

Робота з записом про пацієнта

Доступ до перегляду записів про пацієнтів у Реєстрі ЕСОЗ

👉 На кого вплинуть ці зміни: на всіх медичних працівників, які працюють з персональними даними пацієнтів в ЕСОЗ. 

🔙 Як було: при зверненні пацієнта лікар міг переглянути тільки ті персональні дані, які вже були локально збережені в його МІС. 

🔍 Що змінюється: тепер зареєстрований та авторизований медичний працівник може переглянути персональні дані, що збережено в Реєстрі пацієнтів ЕСОЗ на національному рівні.

Перегляд даних доступний виключно за дозволом пацієнта.

Це зокрема дозволяє спростити оновлення запису про пацієнта, наприклад, для виправлення помилки.

✅Додано можливість при реєстрації пацієнта вносити посвідку на постійне проживання з терміном дії “Безстроково”

👉 На кого вплинуть ці зміни: на пацієнтів, які отримали посвідку на постійне проживання до 01.06.2018

🔙 Як було:  виникали технічні обмеження з реєстрацією в ЕСОЗ іноземців, які мали старі зразки посвідок.

🔍 Що змінюється: додано можливість зареєструвати в ЕСОЗ пацієнтів, які проживають в Україні за посвідкою на постійне проживання (з терміном дії “Безстроково”), виданою до 1 червня 2018 р.

Управління персоналом

✅ Новий напрям верифікації — перевірка дійсності паспорта працівників

👉 На кого вплинуть ці зміни: на керівників закладів,  адміністраторів, фахівців з кадрів та всіх медичних працівників.

🔙 Як було: дані паспортних документів працівників не перевірялися.

🔍 Що змінюється: невдовзі система почне автоматично перевіряти дійсність паспортного документа працівника (зокрема серію та номер) за даними Державної міграційної служби України.

Якщо під час перевірки буде виявлено, що документ недійсний, некоректний або застарілий, статус працівника зміниться на «Неуспішна верифікація», а на екрані з’явиться попередження:

«Зазначений паспорт працівника не дійсний за даними ДМС. Перевірте внесені дані з оригіналом документа. У разі неспівпадіння даних про працівника в ЕСОЗ та документах – оновіть запис. Якщо помилки відсутні – попросіть працівника надати дійсний документ або порадьте звернутись до ДМС».

У такому випадку керівник закладу, адміністратор або фахівець з кадрів має:

  • перевірити актуальність даних з оригіналом документа;
  • за потреби оновити інформацію в системі;
  • або порадити працівнику звернутися до ДМС для врегулювання питання.

Нова дія із записами про працівників — «Деактивація»

👉 На кого вплинуть ці зміни: на керівників, адміністраторів та фахівців з кадрів

🔙 Як було: для припинення роботи працівника, а також для скасування помилково внесених записів чи дублів використовувалась лише одна дія — «Звільнити».

🔍 Що змінюється: запроваджено гнучкіший механізм «Деактивації» запису, який дозволяє коректно розділяти кадрові ситуації, а також уникати технічних неточностей, правильно вести облік персоналу та забезпечувати коректність даних в ЕСОЗ.

Під час деактивації стануть доступні такі варіанти статусу:

  • «Припинено» — застосовується у разі фактичного звільнення працівника (із обов’язковим зазначенням дати завершення роботи).
  • «Внесений помилково» — використовується для скасування випадково створеного дубля або неактуального запису про працівника (дату завершення роботи зазначати не потрібно).
12 Серпня 2025
Автоматична деактивація записів померлих пацієнтів: новий напрям верифікації в ЕСОЗ

Для того, щоб інформація про пацієнтів в ЕСОЗ була точною та актуальною, а також забезпечити прозору оплату за медичні послуги, НСЗУ регулярно перевіряє (верифікує) записи про пацієнтів у Центральній базі даних ЕСОЗ.

Нагадаємо, що наразі в ЕСОЗ здійснюється автоматичний обмін з такими державними реєстрами:

  • з 2024 року – з Державним реєстром фізичних осіб – платників податків (за РНОКПП)
  • з травня 2025 року – з Державним реєстром актів цивільного стану громадян (ДРАЦСГ):
  • етап 1 — за свідоцтвами про народження українського зразка
  • етап 2 — автоматичне отримання актових записів про смерть пацієнта.

Саме другий етап дозволяє автоматично деактивувати записи померлих пацієнтів, зокрема і тих, які з певних причин не були деактивовані під час щомісячної перевірки, яку також здійснює НСЗУ на підставі отриманих відомостей із ДРАЦСГ.

Так виявлення актових записів про смерть пацієнтів здійснюється автоматично та на постійній основі.

На що важливо звернути увагу лікарям – нагадуємо у розʼясненні.

🔹Статус “Успішна верифікація” за напрямком ДРАЦСГ (етап 2 – автоматичне отримання актових записів про смерть пацієнта) встановлюється, якщо ⬇️

  1. інформація про смерть пацієнта у реєстрі ДРАЦСГ відсутня;
  2. отримано актовий запис про смерть пацієнта.

🔹Якщо у ході верифікації буде підтверджено смерть пацієнта ⬇️

система визнає пацієнта таким, що помер, відповідно:

  • запис про пацієнта буде деактивовано (статус пацієнта – “Неактивний”);
  • а також припиняється декларація про вибір лікаря ПМД, якщо така наявна.

🔹Статус “Неуспішна верифікація” за напрямком ДРАЦСГ (етап 2 – автоматичне отримання актових записів про смерть пацієнта) встановлюється, якщо ⬇️

під час верифікації неможливо автоматично підтвердити або спростувати смерть пацієнта.

У такому випадку лікар, який має активну декларацію з таким пацієнтом, має підтвердити чи спростувати в ЕСОЗ статус про смерть пацієнта через МІС.