Безпека електронної системи охорони здоровʼя

Від початку побудови електронної системи охорони здоровʼя (ЕСОЗ) захист даних завжди був пріоритетним завданням. ЕСОЗ – одна з систем в Україні, в якій реалізовані найсучасніші засоби захисту, серед яких: використання користувачами кваліфікованих електронних підписів (КЕП), реалізація архітектурних принципів GDPR (відокремлене зберігання медичних та персональних даних), blockchain-подібні алгоритми, що забезпечують цілісність даних та інші. Так, лише на вході в систему користувачі проходять двофакторну авторизацію: через встановлену МІС та безпосередньо вхід в ЕСОЗ за протоколом OAuth.2.

​​Система має багаторівневий захист та отримала  атестат відповідності комплексної системи захисту інформації. 

Також кожен МІС, що підключений до ЦБД, повинен мати атестат відповідності комплексної системи захисту інформації (КСЗІ) відповідно до норм українського законодавства. 

 Ця вимога передбачена Законом України “Про захист інформації в інформаційно-комунікаційних системах” та іншими нормативно-правовими актами щодо підключення МІС до центральної бази даних ЕСОЗ.

Сьогодні наша держава бореться із загарбником на всіх фронтах і кіберфронт не є винятком. На рівні центральної бази даних адміністратор забезпечує проведення необхідних заходів із захисту інформації та попереджає реальні та потенційні атаки ворога.

Проте захист інформації також не менш важливий і на робочому місці кожного користувача. Для цього закладам охорони здоров’я необхідно: 

🔹регулярно оновлювати програмне забезпечення (зокрема,операційних систем, систем керування базами даних, програмних бібліотек тощо);

🔹контролювати цілісність та автентичність ПЗ; 

🔹забезпечувати мережевий захист: фільтрація та аналіз мережевого трафіку, виявлення і протидія мережевим атакам і т. д.;

🔹унеможливлювати втрату інформації, забезпечити резервне копіювання даних, захист від несанкціонованого доступу, розмежування прав доступу тощо;

🔹забезпечувати реєстрацію подій, пов’язаних з отриманням користувачами доступу до ресурсів ЗОЗ;

🔹проводити резервування конфігураційних файлів та критично важливих системних файлів;

🔹проводити перевірку кваліфікованого електронного підпису на інформаційних об’єктах в ЗОЗ її користувачами;

🔹забезпечувати антивірусний захист, перевірку на наявність шкідливого програмного коду всіх вкладень, що завантажуються користувачами до ЗОЗ.

Для забезпечення виконання всіх цих заходів доцільно в закладах охорони здоров’я визначити відповідальних за це осіб або ж створити відповідні ІТ підрозділи, а також забезпечити контакт таких осіб чи підрозділів зі службами підтримки медичних інформаційних систем, які працюють у закладі.

Також рекомендуємо
17 Серпня 2022
Хто має виписувати е-рецепт на антибіотики при наданні спеціалізованої медичної допомоги?
З 1 серпня українські лікарі почали працювати з функціоналом виписки електронних рецептів на антибіотики.
Зокрема, така можливість стала доступною і для фахівців спеціалізованої медичної допомоги – на амбулаторному рівні та в умовах стаціонару.
Принагідно нагадуємо, що при наданні спеціалізованої медичної допомоги (як під час амбулаторного лікування, так і в умовах стаціонару) виписувати електронний рецепт на антибіотик повинен саме той спеціаліст, який проводить огляд пацієнта, визначає діагноз та здійснює призначення, а отже – відповідає за процес лікування пацієнта.
У такому випадку скерування пацієнта до сімейного лікаря для виписки е-рецепта є недоцільним.
Що важливо знати про виписку рецептів на антибіотики?
🔷 У разі, якщо лікар, не має технічної можливості виписати електронний рецепт (заклад не підключений до Електронної системи охорони здоровʼя (ЕСОЗ), відсутній функціонал у Медичній інформаційній системі (МІС) тощо), лікар має виписати пацієнту паперовий рецепт на спеціальному бланку форми ф-1.
🔷 Важливо зауважити, що інформаційна довідка/паперовий бланк мають обовʼязково бути засвідчені особистим підписом та печаткою лікаря. Це є свідченням достовірності рецепта.
🔷 Якщо пацієнт перебуває на лікуванні у стаціонарі, медичний заклад за умовами співпраці з НСЗУ повинен забезпечувати пацієнтів медикаментами, зокрема антибіотиками, які визначені Національним переліком основних лікарських засобів та галузевими стандартами у сфері охорони здоров’я. Для призначення та застосування таких лікарських засобів виписувати рецепт пацієнту не потрібно. Ці ліки гарантовано мають надаватися пацієнтам безоплатно.
🔷 У разі виняткових ситуацій, якщо пацієнт для лікування у стаціонарі потребує антибіотик, не передбачений Нацпереліком та галузевими стандартами у сфері охорони здоров’я, лікар зможе виписати йому рецепт. Зауважимо, що у такому випадку для виписки рецепта на антибіотики в стаціонарі потрібна відповідна підстава, адже всі дані про призначення лікар вноситиме до ЕСОЗ. Якщо лікар випише рецепт на ліки, які мають надаватися в стаціонарі безоплатно – це вважатиметься порушенням умов договору з НСЗУ.
🔷 Якщо лікар здійснює виписку зі стаціонару пацієнта, який потребує подальшої антибіотикотерапії, лікар стаціонару повинен виписати рецепт, щоб пацієнт у той же день міг придбати ліки та продовжити лікування вдома.
14 Лютого 2023
МОЗ та ДП “Електронне здоровʼя” спільно з KSE провели дослідження якості взаємодії користувачів з ЕСОЗ
З червня за ініціативи Міністерство охорони здоров’я України та ДП «Електронне здоровʼя», за підтримки Kyiv School of Economics проходило дослідження якості взаємодії медичних працівників з електронною системою охорони здоровʼя (ЕСОЗ). Головна мета дослідження – розробка методології для регулярного вимірювання індексу якості взаємодії користувача з ЕСОЗ.
У дослідженні взяли участь лікарі, які щодня працюють з електронною системою охорони здоровʼ я та практично можуть оцінити як переваги, так і труднощі у роботі з системою.
До експертної групи лікарів, які виявили бажання взяти участь у дослідженні, долучилися близько 700 медичних фахівців різної спеціалізації, щонайменше 230 з них взяли участь в анкетуванні, та понад 40 – в глибинних інтервʼ ю. У ході кількох етапів дослідження було визначено ряд ключових питань та потреб, з якими регулярно зіштовхуються користувачі. Серед них: питання швидкості передачі даних, пропозиції щодо розширення та оптимізації бізнес-процесів функціонала реєстрації пацієнта, зміни його реєстраційних даних тощо. Також лікарі надали свої відгуки та рекомендації щодо їх взаємодії, зокрема і з медичними інформаційними системами.
Наразі команда проєкту спільно з експертами-соціологами з Київської школи економіки завершили аналіз дослідження, сформували методологію для вимірювання індексу оцінки взаємодії користувачів та передали рекомендаційні звіти для представників медичних інформаційних систем для подальшого опрацювання.
Надалі планується впровадження напрацьованої методології для проведення регулярного моніторингу користувацького досвіду та вимірювання індексу оцінки якості взаємодії всіх користувачів ЕСОЗ.
18 Грудня 2023
Цифровізація реабілітаційної допомоги: внесено мільйон записів за класифікатором МКФ

Сьогодні через війну потреба у реабілітації серед військових та цивільних збільшилася в десятки та навіть сотні разів.

Протягом 2023 року в електронній системі охорони здоровʼя (ЕСОЗ) було сформовано понад 1,2 мільйона е-направлень на реабілітаційні послуги.

Забезпечення ефективної, активної та доказової реабілітації є одним із завдань держави та її відповідальністю перед українцями, які постраждали внаслідок війни.

З цією метою держава трансформує систему реабілітаційної допомоги в Україні. Зокрема, впроваджуються сучасні цифрові інструменти на принципах Міжнародної класифікації функціонування, обмеження життєдіяльності та здоровʼя (МКФ).

Так, з червня 2023 року 1,5 тисячі фахівців з реабілітації з понад 500 закладів по всій країні почали активно обліковувати медичну інформацію про реабілітаційні втручання в ЕСОЗ. 

На сьогодні в ЕСОЗ внесено понад мільйон записів (з використанням класифікатора МКФ) щодо провадження реабілітації для 123,5 тисячі пацієнтів. Ця кількість містить в тому числі дані про реабілітаційні обстеження. 

«Електронні записи дозволяють захищено зберігати дані про відновлення людини в єдиному місці, – коментує заступниця міністра охорони здоровʼя з питань цифровізації Марія Карчевич. – А доступ до цієї інформації може надаватися усім фахівцям, які залучені до процесу реабілітації. Таким чином, вони можуть у будь-який момент відстежити прогрес реабілітації та за потреби оперативно внести корективи до реабілітаційного плану».

На додаток, якщо пацієнт буде скерований в інший заклад охорони здоров’я, йому не доведеться везти з собою відповідні медичні документи з попереднього місця реабілітації.

А якщо, наприклад, пацієнт вирішить продовжити реабілітацію за кордоном, лікар фізичної та реабілітаційної медицини зможе сформувати друковану форму індивідуального реабілітаційного плану пацієнта, яка міститиме дані про пройдений шлях реабілітації. 

Завдяки використанню міжнародних кодів МКФ облік реабілітаційної допомоги здійснюється  за уніфікованими параметрами, а отже, буде чіткий, однозначний та зрозумілий як для українських фахівців, так і для їх колег за кордоном.

Наступним етапом реформування системи реабілітації планується цифровізація інструментів функціонального оцінювання стану пацієнта та формування призначення допоміжних засобів реабілітації в ЕСОЗ.

Розбудова ефективної системи реабілітації є ініціативою першої леді Олени Зеленської. Проєкт «Реабілітація травм війни в Україні» реалізують Міністерство охорони здоров’я України, Національна служба здоров’я України, ДП «Електронне здоровʼя», Міністерство соціальної політики України, Офіс Президента України, радниця-уповноважена Президента України з питань безбар’єрності, БФ «Пацієнти України», Український католицький університет, Protez Hub та Всеукраїнське об’єднання фізичних терапевтів.

29 Лютого 2024
Хто має доступ до даних пацієнта в ЕСОЗ?

Електронна система охорони здоровʼя (ЕСОЗ) дозволяє обмінюватися даними у сфері охорони здоров’я. У ній зберігаються та обробляються персональні та медичні дані пацієнтів.

ЕСОЗ складається з центральної бази даних, яка належить державі в особі НСЗУ, та медичних інформаційних систем (МІС), які медичні заклади використовують для зберігання, перегляду, обміну інформацією в електронній формі, зокрема, з центральною базою даних.

Доступ до інформації, що міститься в ЕСОЗ, надається виключно ідентифікованим та підтвердженими системою користувачам, що мають відповідні права та визначені рівні доступу. Інформація пацієнтів захищається законодавством України про персональні дані.

Тож права доступу до інформації про пацієнтів мають:

1. Сімейний лікар

Доступ до даних про пацієнта, за його згодою, має сімейний лікар (терапевт, педіатр), з яким пацієнт уклав декларацію.

Лікар первинної медичної допомоги має доступ до всіх медичних даних, окрім інформації про ВІЛ та психіатричних діагнозів, якщо пацієнт не надав письмово тимчасовий дозвіл на доступ до цих даних.

2. Інші медичні працівники

Інші медичні працівники, зокрема лікуючий лікар, мають доступ виключно до тієї інформації, до якої пацієнт сам дав доступ, та на ту, яка прикріплена до направлення, за яким пацієнт звернувся до медичного працівника.

Якщо медпрацівнику потрібні дані для надання медичних послуг пацієнту, то він може запросити дозвіл у пацієнта (або його уповноваженої особи). Надання такого доступу до своїх даних пацієнт підтверджує через обраний метод автентифікації (через смс, документи чи іншу особу).

3.  Уповноважені посадові особи НСЗУ
Персональні та медичні дані пацієнтів зберігаються відокремлено в центральній базі даних ЕСОЗ. У цілях безпеки посилання на пацієнта в медичній інформації анонімізоване з використанням спеціального шифрування.  Уповноважені посадові особи НСЗУ можуть використовувати знеособлені медичні записи, наприклад, для здійснення оплат медзакладам за фактично надані послуги або збору статистичних даних для прийняття рішень.

На запит пацієнта НСЗУ може надати персональні дані, які зберігаються про нього в ЕСОЗ.

Тож отримати медичну інформацію про себе пацієнт може через звернення до свого сімейного або лікуючого лікаря. Інформацію про персональні дані можна отримати через запит до НСЗУ. Наразі завершується розробка функціональних можливостей, які дозволятимуть пацієнту самостійно керувати доступами до власних даних.