ГОСТ Р 52636—2006
Предоставление доступа к хранимым подписанным ЭПМЗ осуществляют в соответствии с права
мидоступа (см. раздел 9).
Копирование для передачи заинтересованным лицам и пересылку хранимых ЭПМЗ по электрон
ным каналам связиосуществляют в соответствии с требованиями раздела 13.
8.2.5 Уничтожение электронной персональной медицинской записи
Порядок удаления ЭПМЗ в течение ее жизненного цикла приведен в 8.2.14— 8.2.17.
Уничтожение ЭПМЗ. превысившей срок хранения, установленный для медицинских документов
данного типа, проводится специально назначенным для этого сотрудником (группой сотрудников) на
основании решения лица, ответственного за хранение медицинскихдокументов в данной организации.
Удалениедолжно быть оформлено протоколом в соответствующем рукописном или электронном жур
нале с указанием типа ЭПМЗ ивремени, в течение которого проведено удаление.
Процедура удаления недолжна выполняться компьютером автоматически подостижении опреде
ленного момента времени. Официально установленный срок хранения определенных ЭПМЗ может
быть продлен руководством медицинской организации.
9 Требования к организации прав доступа к электронной персональной
медицинской записи и электронным медицинским архивам
Система организации прав доступа должна бытьдетально изложена в «Политике безопасности»
медицинскойорганизации исодержатьследующие разделы:
- права и организациядоступа к ЭПМЗсотрудников медицинской организации;
- права и организациядоступа к ЭПМЗ пациентов;
- права и организация доступа к ЭПМЗ представителей независимых и вышестоящих организа
ций.
9.1Права и организация доступа к электронной персональной медицинской записи сотруд
ников медицинской организации
В настоящем разделе приведены права сотрудников на создание, ведение, подписание, доступ,
просмотр, распечатку, копирование и передачу ЭПМЗ поэлектронным каналам связи, а также способы
обеспеченияданных прав.
Правадоступа сотрудников могут быть:
- персональными, то есть предоставленными сотруднику лично;
- должностными, то есть предоставленными сотруднику в соответствии с занимаемой им дол
жностью (лечащий врач. зав. отделением и др.);
- ситуационными (ролевыми), то есть отвечающими той ситуации (роли), в которой сотрудник
исполняетсвои обязанности(например, дежурныйврачнавремядежурствадолжениметьбольшеправ,
чем врач отделения; врач-консультант только при проведении консультации или врач-лаборант при
выполнении исследования может получать полныйдоступ ко всем ЭПМЗ пациента);
- административными, то есть расширенными правамидоступа, предоставленными специально
му персоналу, осуществляющемуадминистрирование медицинских архивов и ЭПМЗ. обеспечивающе
му безопасность и разрешение нештатных ситуаций.
Права доступа могут распространяться на отдельные типы записей или записи, относящиеся к
определенным пациентам.
В основу распределения прав доступа должны быть положены требования к ведению бумажных
медицинскихдокументов, определенные существующими нормативнымидокументами, ипринятаятех
нологиялечебно-диагностического процесса медицинскогоучреждения.
В ПБдолжны быть определены также технические и организационные средства аутентификации
сотрудниковпри работесЭПМЗ. наоснове которыхустанавливаютихправадоступа. Ксредствамаутен
тификации могут быть отнесены пароли. SMART-карты. идентификационные карты (магнитные или
штрихкодовые), USB-ключи идр. Для обеспечения правдоступа могут использоваться те же техничес
киесредства, что идля подписания ЭПМЗ (см. 8.2.16). В процессе предоставлениясотруднику правдос
тупа и средств аутентификации с негодолжна быть взята подписка о том. что он обязуется держать эти
средства в секрете и что он проинформирован об ответственности, связанной с передачей средств
аутентификации другимлицам, и использовании ихдля несанкционированногодоступа к ЭПМЗ и ЭМА.
В случае использованияв даннойорганизации электронной цифровой подписи (ЭЦП) сотруднику,
имеющемуправо подписи определенных ЭПМЗ, предоставляется сертификат ЭЦП или регистрируется
уже имеющийся у негосертификат (см. раздел 11).
8