ar-net.ru Для обеспечения персонифицируемости ЭПМЗ при передаче за пределы организации их электронных копий по электронным каналам связи или на электронных носителях (дискетах, CD и DVD дисках, флэш-картах) использование электронной цифровой подписи обязательно (см. раздел 13).
11 Требования к электронной цифровой подписи для электронной персональной медицинской записи
Требования к электронной цифровой подписи для ЭПМЗ должны соответствовать требованиям, регламентированным [2], а также требованиям других нормативных документов, регламентирующих использование электронной цифровой подписи.
При использовании электронной цифровой подписи для подписания ЭПМЗ подпись должна охватывать всю информацию ЭПМЗ, включая все прикрепленные файлы и все элементы формализованных данных, с тем чтобы обеспечить неизменность и персонифицируемость всей информации, включенной в ЭПМЗ.
Все сертификаты ЭЦП, используемые в данной организации, должны быть зарегистрированы. При регистрации в соответствующем ЭМА должна быть размещена информация о владельце сертификата, выдавшем его удостоверяющем центре, сроке его действия, сфере его действия в данном ЭМА (типы ЭПМЗ, разрешенные к подписи), а также открытый ключ, позволяющий проверить целостность подписи ЭПМЗ. Регистрационная информация о сертификате ЭЦП должна сохраняться в ЭМА в течение всего срока хранения подписанных им ЭПМЗ. Информация о сертификатах ЭЦП с истекшим сроком действия или отозванных также должна быть сохранена и дополнена датой отзыва или прекращения срока действия сертификата. Эти процедуры должны обеспечить для любой ЭПМЗ в течение всего срока ее хранения возможность проверки целостности ЭЦП и легитимности сертификата ЭЦП на момент подписания.
12 Требования к пользовательским интерфейсам электронной персональной медицинской записи
Интерфейс представления ЭПМЗ должен соответствовать следующим требованиям:
- быть понятным и не допускать двусмысленного толкования;
- быть выполненным с учетом эргономических требований, быть интуитивно понятным;
- все кодированные или приведенные в сокращении параметры или элементы должны иметь расшифровку или всплывающие подсказки, поясняющие их значение; пояснения могут всплывать автоматически при наведении на кодированный элемент или по нажатию специальной клавиши;
- при использовании электронной цифровой подписи (ЭЦП) в интерфейс должен быть включен результат проверки целостности ЭЦП в соответствии с сертификатом подписавшего; сведения о нарушении целостности ЭЦП должны быть выделены специально;
- при работе на многопользовательских компьютерах в интерфейс необходимо включать информацию о лице, прошедшем аутентификацию на данном компьютере, что позволит новому пользователю своевременно пройти процедуру собственной аутентификации.
Любой интерфейс должен включать в себя обязательные элементы, позволяющие однозначно определить:
- к какому пациенту относится данная ЭПМЗ;
- дату и время описываемого в ЭПМЗ события;
- статус, стадию жизненного цикла ЭПМЗ (только создана, находится в процессе ведения, подписана); для неподписанных ЭПМЗ их статус должен наглядно выделяться;
- Ф.И.О. подписавшего, дату и время подписи для подписанных ЭПМЗ.
13 Требования к передаче по электронным каналам связи и электронным копиям электронной персональной медицинской записи
В случае необходимости могут быть созданы электронные копии ЭПМЗ для передачи заинтересованным лицам и организациям (включая пациентов). При этом должны быть выполнены следующие требования:
- конфиденциальность персональной медицинской информации;
- неизменность и достоверность ЭПМЗ, защита ее от подделок;
- идентифицируемость копии ЭПМЗ, возможность определить происхождение ЭПМЗ и место ее постоянного хранения.
В "Политике безопасности" медицинской организации должны быть установлены:
- порядок выполнения электронных копий ЭПМЗ и список лиц, имеющих право на выполнение копий;
- порядок передачи электронных копий ЭПМЗ пациентам, способ регистрации передачи копий и уведомления пациентов о правилах по соблюдению конфиденциальности персональных медицинских данных; рекомендуется разработать памятку для пациентов, содержащую рекомендации по пользованию электронными копиями ЭПМЗ;
- порядок передачи электронных копий ЭПМЗ независимым и вышестоящим организациям, запросы на предоставление копий, способ регистрации передачи копий и документы, служащие основанием для такой передачи.
Электронные копии ЭПМЗ могут записываться на электронные носители информации (дискеты, CD и DVD диски, флэш-карты) или пересылаться по электронным каналам связи. Требования, предъявляемые к разновидностям копий, в целом одинаковы. К электронным копиям, передаваемым по электронным каналам связи, может быть дополнительно применено шифрование - для предотвращения несанкционированного доступа к информации в процессе ее передачи. Решение о шифровании передаваемых записей должно быть предметом отдельного соглашения между передающей и принимающей организациями.
Электронная копия ЭПМЗ обязательно должна быть подписана электронной цифровой подписью лица, выполнившего копию. Подпись должна распространяться на всю цифровую информацию, входящую в копию, включая все прикрепленные файлы.
В электронную копию ЭПМЗ должна быть включена вся информация, необходимая для доступа к содержимому ЭПМЗ, в частности:
- вся информация о пациенте, позволяющая его точно идентифицировать;
- фрагменты электронных справочников и классификаторов, позволяющие расшифровать и представить в человекочитаемом виде все формализованные и кодированные элементы ЭПМЗ;
- идентификаторы электронного медицинского архива и передаваемой ЭПМЗ, позволяющие определить место постоянного хранения данной ЭПМЗ.
Электронная копия ЭПМЗ должна сопровождаться бумажной или включенной в текст электронного сообщения инструкцией, в которой приведен способ просмотра и правильной организации доступа к электронной копии ЭПМЗ.
Получатель электронной копии ЭПМЗ должен иметь электронные средства (компьютерные программы), необходимые для просмотра и организации доступа к электронной копии ЭПМЗ. Эти электронные средства могут:
- содержаться на том же электронном носителе, что и копия ЭПМЗ;
- передаваться по электронным каналам связи;
- заранее передаваться получателю копии ЭПМЗ по отдельному соглашению.
Если для просмотра копии ЭПМЗ нужны какие-либо стандартные электронные средства (программы), то информация об их необходимости должна быть включена в инструкцию по просмотру копии ЭПМЗ. В инструкцию также необходимо включать требования к оборудованию, необходимому для просмотра ЭПМЗ.
14 Требования к созданию бумажной копии электронной персональной медицинской записи
Бумажная копия ЭПМЗ может быть создана автором и собственноручно подписана им. В этом случае вся ответственность возлагается на автора и регламентируется нормативными документами, определяющими правила работы с медицинскими документами.
В ситуации, когда бумажная копия ЭПМЗ создается без участия автора, должны быть выполнены нижеперечисленные требования.
14.1 Бумажная копия ЭПМЗ должна иметь явные визуальные отличия, свидетельствующие о том, что данный документ является бумажной копией ЭПМЗ, а не традиционным медицинским документом. Для соответствия данному требованию каждая страница копии должна содержать колонтитул, включающий в себя:
- надпись "Копия из ЭМА" (электронного медицинского архива);
- идентификатор ЭМА;
- идентификатор ЭПМЗ в данном ЭМА;
- дату распечатывания;
- номер страницы и общее число страниц в документе;
- идентификатор ЭМА и идентификатор ЭПМЗ, приведенные в виде штрихового кода, доступного для чтения средствами автоматической идентификации (см. раздел 15).
В конце документа должны быть указаны дата и время подписания ЭПМЗ и Ф.И.О. подписавшего.
14.2 Медицинский сотрудник, производящий распечатывание,, должен выполнить процедуры, обеспечивающие проверку неизменности и авторства ЭПМЗ. Регламент таких процедур должен быть установлен в "Политике безопасности" медицинской организации. Медицинский сотрудник, сделавший бумажную копию, должен удостоверить подпись автора ЭПМЗ своей подписью. Эта подпись удостоверяет только правильность печати и соблюдение всех принятых в данной организации процедур обеспечения неизменности и персонифицируемости ЭПМЗ. Удостоверяющий подпись сотрудник не принимает на себя ответственность за медицинское содержание ЭПМЗ, она сохраняется за автором ЭПМЗ.