Программное обеспечение для ведения базы данных о пациентах, ПО для врачей Опции

[Sancho]

Никому не попадались программы для ведения базы данных о пациентах (другими словами, программное обеспечение для клиник), где бы можно было вносить диагнозы, назначаемое лечение, дату повторного визита и пр.?
Или дайте ссылки на эти ресурсы (желательно бесплатные) или тематические форумы.
Заранее спасибо.

P.S.: может быть это вопрос и не для этой ветки форума, но более подходящей я не нашел

[Игорь]

В связи с вступлением в силу с 1 января 2010 года законодательства о персональных данных всю представленную в теме информацию о госпитальных информационных системах следует дезавуировать. В настоящее время ни одна (!) госпитальная система, эксплуатирующаяся на территории России, не соответствует требованиям и не сертифицирована в установленном законом порядке в ФСТЭК (т.е. отсутствует в списке сертифицированных продуктов на сайте ФСТЭК). Следовательно, начиная с указанного выше срока, эксплуатация всех госпитальных информационных систем во всех клиниках России незаконна, подпадает под действие Кодекса об административных правонарушениях со всеми вытекающими правовыми последствиями для руководства клиник и должна быть прекращена.

Если уважаемых коллег заинтересовала данная информация, могу предоставить все необходимые ссылки на информационные ресурсы (за исключением 4-х документов ФСТЭК с грифом ДСП).

Приглашаю также обсудить меры по решению проблемы.

Сообщение отредактировал Игорь - 16.05.2009 - 14:46

[Igoroshka]

В связи с вступлением в силу с 1 января 2010 года законодательства о персональных данных всю представленную в теме информацию о госпитальных информационных системах следует дезавуировать. В настоящее время ни одна (!) госпитальная система, эксплуатирующаяся на территории России, не соответствует требованиям и не сертифицирована в установленном законом порядке в ФСТЭК (т.е. отсутствует в списке сертифицированных продуктов на сайте ФСТЭК). Следовательно, начиная с указанного выше срока, эксплуатация всех госпитальных информационных систем во всех клиниках России незаконна, подпадает под действие Кодекса об административных правонарушениях со всеми вытекающими правовыми последствиями для руководства клиник и должна быть прекращена.

Если уважаемых коллег заинтересовала данная информация, могу предоставить все необходимые ссылки на информационные ресурсы (за исключением 4-х документов ФСТЭК с грифом ДСП).

Приглашаю также обсудить меры по решению проблемы.

Было бы интересно познакомиться с такими документами. У нас (Белоруссия) пока до этого дело не дошло (к сожалению). Но, думаю, вскоре также будут подвижки в этом направлении.

По существу.
Вся информация госпитальной системы хранится в БД. Рискну предположить, что для более-менее крупной системы это будет из коммерческих: MS SQL сервер, Oracle, 4D, из бесплатных: mysql, PostgreSQL.
Как мне видится, в случае MS SQL сервер, Oracle проблема хранения, регламентации доступа прозрачно решается на уровне сервера и/или сервера приложений (возможно, с приобритением дополнительных модулей). В случае с Oracle регламентация может вестить "в особо извращенном виде ". Однако, скорее всего, прийдется изменять представления (если приложение написано нормально) или править запросы, что гораздо хуже.
При использовании mysql, PostgreSQL Нужно будет шифровать поля с персональной информацией и реализовывать механизм организации доступа. Это приличные переделки в ПО.

Остается открытым вопрос передачи персональных данных по сети. В случае с Oracle есть прозрачное решение. Как в SQL server -- не знаю.

[Игорь]

Было бы интересно познакомиться с такими документами. У нас (Белоруссия) пока до этого дело не дошло (к сожалению). Но, думаю, вскоре также будут подвижки в этом направлении.

К сожалению? Святая наивность! http://www.iksmedia.ru/blogs/post/449145.html Это еще минимально радикальное мнение.

Я уже цитировал п. 1 ст. 22 Закона 152. Процитирую п. 2 этой же статьи: "Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных: ... 2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных; ...". Т.е., достаточно заключить с пациентом договор (а многие клиники так и делают) на оказание медицинских услуг - и можно использовать для информационной защиты стандартные (возможно, несертифицированные), но эффективные средства, не получать лицензию на защиту информации и т.д. Кстати, в договоре учесть согласие на передачу данных в установленном законом порядке. Наверное, это является основанием того, чтобы все существующие медицинские информационные системы (МИС) могли быть выведены "из-под удара" Закона. Это мое личное мнение.

Однако некоторые авторы так не считают, а напротив, утверждают, что МИСам должна быть установлена максимально возможная конфиденциальность и максимальная группа по защите персональной информации (= максимально возможные затраты, ведущие к полной нереализуемости МИСов в существующих условиях, что, впрочем, самими авторами и признается). См., например, http://www.consultant.ru/online/base/?req=...MED;n=31473;p=1, а также http://www.consultant.ru/online/base/?req=...ase=MED;n=29496.

Сообщение отредактировал Игорь - 3.06.2009 - 18:00

[Igoroshka]

К сожалению? Святая наивность! http://www.iksmedia.ru/blogs/post/449145.html

Это еще раз доказывает, что основной угрозой для информационной системы прежде всего являются вполне легальные с точки зрения системы пользователи.

[Игорь]

Это еще раз доказывает, что основной угрозой для информационной системы прежде всего являются вполне легальные с точки зрения системы пользователи.

Совершенно верно, но не обычные пользователи.

Скопировать целиком базу данных, а именно такие проблемы и случаются время от времени, может только ее администратор. Стандартные организационные и программно-технические средства (применявшиеся до принятия закона и применяемые сейчас) обеспечивают достаточную защиту персональных данных. Законодательство, существовавшее до принятия означенного закона, обеспечивает полную правовую защиту. Было бы желание - можно и вычислить, и наказать, в соответствии с действующим законодательством, администратора, поставившего на рынок базу данных ГИБДД или налоговой службы.

Если администраторы упомянутых баз данных имели возможность безнаказанной кражи этих самых данных данных до принятия обсуждаемого пакета законов, точно также они будут иметь такую возможность и после принятия и вступления в действия данного пакета законов, независимо от того, имеет Windows рабочей станции сертификат ФСТЭК или нет, сертифицирован файервол или нет.

В любой БД ФИО хранится только как информационное поле (правда, может использоваться для связывания с другими БД) и используется для поиска. Вся информация, относящаяся к пациенту, связывается по паре первичный-внешний ключ. Таким образом, если первичный ключ продублировать на ИБ, возможна однозначная идентификация пациента. Особенно, если первичный ключ будет формироваться по определенным правилам и с ИБ вводиться посредством считывания штрих-кода.

Речь идет о том, можно ли идентифицировать пациента по записи в базе данных, из которой (из записи) удалены поля ИМЯ, ФАМИЛИЯ, АДРЕС, НОМЕР ПОЛИСА и т.д. Причем идентифицировать БЕЗ ПРИВЛЕЧЕНИЯ дополнительной информации. Естественно, если в бумажной ИБ имеется паспортная часть, содержащая номер записи в электронной ИБ (этим номером может быть хоть номер истории болезни, хоть некое случайное число, записанное хоть числами, хоть штрих-кодом - который на самом деле является просто особым шрифтом, хоть и тем, и другим одновременно - неважно), то понятно, что эта запись относится к данному пациенту (иначе вообще зачем нужна эта МИС).

Запись в ЭИБ без паспортной части как раз и будет обезличенной. И этот подход считаю единственным, позволяющим формально выполнить закон (ценой некоторого снижения функциональности) без привлечения финансовых средств, которых, собственно, и так нет.


Сообщение отредактировал Игорь - 5.06.2009 - 12:50