Роз’яснення Міністерство охорони здоров'я України щодо вимог до кібербезпеки в ЕСОЗ та повноважень медсестер та медбратів

В умовах постійних кібератак на державні системи захист даних є пріоритетом України у всіх критичних сферах, зокрема в медицині. Оскільки медичні дані є чутливими, доступ до них є персоналізованим, контрольованим і таким, що дозволяє відстежити дії з ними (створення, перегляд тощо).

У МОЗ наголошують, що протягом останніх місяців Національною командою реагування на кіберінциденти, кібератаки, кіберзагрози CERT-UA зафіксовано збільшення кількості кібератак ворога саме на медичні заклади.

Щоб забезпечити безпеку персональних та медичних даних кожного українця, користувачі електронної системи охорони здоров’я працюють під власним обліковим записом і несуть персональну відповідальність за свої дії.

• Щодо електронних направлень

Поширена в ЗМІ інформація про те, що «з 20 травня медсестри більше не зможуть оформлювати направлення», є некоректною, і ніяких змін у вимогах до оформлення направлень не вносилося.

Відповідно до законодавства, від початку запуску направлень повноваження щодо їх формування були та є лише в лікарів, як первинної, так і спеціалізованої медичної допомоги. 

Винятково лікар, на підставі оцінки стану здоров’я пацієнта та медичних показань, може приймати рішення про медичні призначення (як щодо процедур і досліджень, так і щодо ліків).

Як і раніше, медичні сестри та брати можуть мати власні облікові записи в медичних інформаційних системах та допомагати лікарю, формуючи проєкти документів на підпис після перевірки, або обліковувати документи про медичне обслуговування, проведене ними за призначенням лікаря. Якщо раніше в окремих закладах використовувалася практика роботи під обліковим записом лікаря інших осіб та використання ними КЕП лікаря – це є прямим порушенням законодавства.

Нагадаємо, що нормативно визначено випадки, коли пацієнт може звернутися до медзакладу без направлення, при цьому отримати послуги безоплатно. Звичайно, направлення не потрібне і у випадках надання екстреної медичної допомоги. 

• Що змінюється

У відповідь на зростання загрози та в межах планових заходів з підвищення рівня захисту, технічні вимоги до медичних інформаційних систем були уточнені в частині вимог до безпеки, які визначені законодавством та відповідають сучасним вимогам кіберзахисту в усьому світі.

А саме:

• Двофакторна автентифікація: додатковий рівень захисту від зламу акаунтів.
• Моніторинг кількості пристроїв: кожен працівник (лікар, медсестра, адміністратор) працює виключно під власним логіном.
• Впроваджується додатковий контроль активних сесій - якщо працівник заходить у систему на новому пристрої, його попередній сеанс на іншому комп'ютері автоматично завершується.
• Захист від перебору паролю: у разі 5-разового неправильного введення пароля доступ до системи для цього користувача блокується на 5 хвилин.
• Захист від несанкціонованого перегляду.
• Чи вплинуть нововведення на роботу молодших спеціалістів з медичною освітою

Сьогодні роль молодших спеціалістів, як і їх повноваження, поетапно зростають. Медична сестра/брат у частині взаємодії з медичними записами та персональними даними пацієнта можуть зокрема:

• Працювати з медичними подіями: створювати та вести епізоди з типом «Профілактика» і взаємодії типу «Інтервенція».
• Фіксувати стан пацієнта: переглядати записи про стан / діагноз пацієнта, створювати записи про стан пацієнта за визначеним переліком кодів, створювати та переглядати раніше створені спостереження.
• Керувати процедурами: реєструвати проведені маніпуляції та формувати діагностичні звіти.
• Працювати з е-Рецептами: переглядати створені е-Рецепти, статус їх погашення, здійснювати повторне надсилання SMS з номером рецепта, повторний друк інформаційної довідки до рецепта.
• Працювати з вакцинацією: фіксувати дані про щеплення, призначене лікарем.
• Виконувати направлення: медсестра не просто бачить е-Направлення, а фіксує його виконання у межах своєї компетенції.
• Самостійно реєструвати та оновлювати дані пацієнтів.