Скинути
Контраст
Розмір
Сховати налаштування
Гаряча лінія МОЗ
0800 505 201
Налаштування доступності
Close
Налаштування доступності
Гаряча лінія МОЗ
0800 505 201
Facebook Youtube Telegram X White
Про міністерство
Стратегія Керівництво Положення про міністерство Міжнародні партнери Очищення влади Внутрішній аудит
Воєнний стан
Громадянам
Заявка на лікування за кордоном Доступні ліки Здоров'я А-Я Всеукраїнський тур ЗміниТИ Закупівлі ліків Безоплатна правнича допомога Опитування Створення безбар`єрного простору Медичний канабіс Військово-лікарські комісії Протидія COVID-19
Медичним працівникам
Освіта
Науково-дослідні установи Вступ на спеціальності галузі знань 22 «Охорона здоров'я» Цикли спеціалізації, тематичного удосконалення та заходи БПР у 2024 році
Пресцентр
Документи
Е-здоров'я
e-Stock Електронна інтегрована система спостереження за захворюваннями (ЕЛІССЗ) Система Meddata
Контакти

Управління ризиками під час впровадження інформаційних систем та технологій

Тема 4.5. Управління ризиками під час впровадження інформаційних систем та технологій

4.5.1. Глосарій

Персональні дані – відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.

Розпорядник персональних даних – фізична чи юридична особа, якій володільцем персональних даних або законом надано право обробляти ці дані від імені володільця.

Обробка персональних даних – будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем.

Третя особа – будь-яка особа, за винятком суб’єкта персональних даних, володільця чи розпорядника персональних даних та Уповноваженого Верховної Ради України з прав людини, якій володільцем чи розпорядником персональних даних здійснюється передача персональних даних.

Захист інформації – сукупність правових, адміністративних, організаційних, технічних та інших заходів, що забезпечують збереження, цілісність інформації та належний порядок доступу до неї.

Інформація – будь-які відомості та/або дані, які можуть бути збережені на матеріальних носіях або відображені в електронному вигляді.

Управління ризиком система прийняття управлінських рішень та реалізації заходів, спрямованих на зміну рівня або усунення ризику.

Ризик в діяльності закладу являє собою потенційну можливість виникнення небажаної (несприятливої) події або негативних наслідків, які можуть здійснювати вплив на досягнення поставлених цілей, пов’язаних з основною діяльністю закладу. Ризик характеризується нестабільністю, невизначеністю та можливістю виникнення небажаних подій або втрат. 

Механізми керування ризиком є набором інструментів, методів, форм і засобів взаємодії між суб'єктами управління та ризиками. Їх метою є розроблення та реалізація управлінських рішень, спрямованих на попередження виникнення ризиків в інвестиційній діяльності, зменшення їх впливу та подолання наслідків, що вони можуть мати.

4.5.2. Вступ

У цьому матеріалі розглянуто сутність управління ризиками в діяльності закладів охорони здоров’я, визначено основні зовнішні та внутрішні ризики під час впровадження інформаційних систем та технологій. Представлено основні напрями управління ризиками в умовах невизначеності. Висвітлено питання надійності та захисту інформаційних ресурсів, аналізу можливих негативних наслідків при настанні ризикових ситуацій. 

4.5.3. Передумови

Впровадження цифрового формату управління в закладах охорони здоров'я суттєво змінює традиційні підходи до зберігання, обігу та захисту інформації, а також відкриває можливості щодо інноваційного розвитку цих закладів. Це дозволяє поєднати всі виробничі процеси в єдину цифрову систему та максимально автоматизувати управління цією системою. Готові рішення дають змогу економити час на вирішення завдань. Використання інформаційних систем та сучасного програмного забезпечення сприяють оптимізації роботи закладу в цілому, а також вимагають мінімальних витрат часу на їх впровадження і адаптацію. Слід відмітити, що разом із додатковими можливостями виникають і додаткові ризики, пов’язані з впровадженням інформаційних систем та технологій у діяльність закладу охорони здоров’я. 

Ризики можуть виникати з різних джерел, включаючи зовнішні фактори (наприклад, економічні зміни, природні катастрофи та ін.) та внутрішні фактори (наприклад, помилки в управлінні, технічні неполадки, витік даних та ін.). Серед зовнішніх загальносуспільних ризиків провадження діяльності закладів можна виділити такі: 

1. Політичний: ризик пов’язаний із політичною ситуацією або її зміною у державі та діяльністю органів державної влади (військові дії, націоналізація приватної власності, конфіскація майна тощо).

2. Законодавчий: ризик може бути спричинений змінами чинних правових норм, наприклад, виходом нових нормативно-­правових актів, що змінюють умови середовища існування для закладів охорони здоров’я (запровадження нових податків, скасування податкових пільг, підвищення податкових ставок тощо).

3. Природний: ризик пов’язаний зі стихійними лихами, що можуть як виникнути без антропогенного чиннику (повені, землетруси тощо), так і бути спричиненими забрудненням навколишнього середовища (пожежі, скидання токсичних відходів фармацевтичної промисловості до каналізаційних мереж тощо).

4. Регіональний: ризик обумовлений соціально-економічною специфікою окремих регіонів та законодавством, що діє на регіональному рівні, тощо.

5. Галузевий: ризик залежить від тенденцій розвитку в сфері охорони здоров’я (інновації, нанотехнології) та суміжних галузей.

6. Макроекономічний: ризик обумовлений розвитком економічних й інтеграційних процесів у країні та загалом у світі. Макроекономічні ризики включають такі ризики як: інфляційні/дефляційні, валютні, структурні.

4.5.4. Детальний огляд – теоретичний та практичний

Ураховуючи перелік зовнішніх ризиків під час впровадження інформаційних систем та технологій, варто зауважити, що вплив зовнішніх чинників неодмінно впливає на формування факторів впливу на внутрішнє середовище закладу, отже, слід більш детально зупинитися на внутрішніх ризиках під час впровадження інформаційних систем у закладах. 

До внутрішніх ризиків при впровадженні інформаційних систем та технологій можна віднести: 

  • Ризики безпеки даних: заклади охорони здоров'я мають доступ до персоналізованої медичної інформації пацієнтів, що створює ризик незаконного доступу, втрати або крадіжки даних. Недостатня захищеність даних може призвести до порушення конфіденційності пацієнтів та потенційного втручання в їх приватність.
  • Ризик виникнення помилок у процесі лікування пацієнтів: відсутність своєчасної комунікації між медичним персоналом, неправильне ведення медичних записів або недоступність важливої інформації можуть сприяти виникненню помилок. Медичні помилки можуть мати серйозні наслідки для пацієнтів і призводити до небажаних наслідків, ускладнень або навіть смерті. 
  • Ризики виникнення технічних проблем: впровадження інформаційних технологій може включати ризик технічних проблем, таких як відмова систем, перебої в роботі мережі, відсутність електропостачання, втрата даних або несправність обладнання. Це може спричинити призупинення загальної роботи та функціонування закладу, затримки у наданні медичної допомоги та можливість втрати даних. Разом із цим, виникає і ризик залежності від технологій: інформаційні технології можуть стати критично важливими для нормального функціонування закладів охорони здоров'я, в разі виникнення технічних проблем або відмови систем може виникнути залежність від них, що призводить до перебоїв у наданні медичної допомоги та погіршення роботи закладу.
  • Ризики при впровадженні нових технологій: впровадження нових інформаційних технологій може бути складним процесом, який вимагає перекваліфікації та навчання персоналу. Недостатня підготовка або опір до змін можуть призвести до труднощів у використанні нових систем та послуг.
  • Ризики кібератак: заклади охорони здоров'я можуть стати об'єктом кібератак, зловмисники можуть намагатися несанкціоновано отримати доступ до медичних систем та інформації про пацієнтів. Такі кібератаки можуть мати на меті крадіжку конфіденційних даних, втручання в роботу системи, поширення шкідливого програмного забезпечення або навіть блокування роботи системи.
  • Ризики витоку конфіденційної інформації: конфіденційна нформація може бути викрадена або витікати через недостатні заходи безпеки, недбале використання паролів, недостатній захист мережі або вразливості в системах. Це може призвести до порушення конфіденційності пацієнтів та негативного впливу на репутацію закладу.
  • Ризики недостатньої інтероперабельності систем: заклади охорони здоров'я можуть використовувати різноманітні інформаційні системи, які не завжди взаємодіють між собою ефективно. Це може призвести до обмеженого доступу до важливої інформації та ускладнити обмін даними.
  • Ризики невірної інтерпретації даних: використання складних медичних систем та алгоритмів може призвести до неправильної інтерпретації даних. Це може мати наслідки для прийняття рішень щодо діагностики, лікування та доведення ефективності медичних процедур.
  • Ризики етичних проблем: при впровадженні інформаційних технологій можуть виникати етичні питання, пов'язані з конфіденційністю даних та доступом до медичної інформації третіх осіб. 
  • Ризики залежності від постачальників: використання інформаційних систем і технологій може створити залежність від постачальників програмного забезпечення, обладнання та підтримки. У разі проблем або незадовільної роботи постачальників можуть виникнути перебої у роботі систем та наданні медичної допомоги.

Ураховуючи зазначене, управління ризиками під час впровадження інформаційних систем та технологій в закладах охорони здоров’я є важливим етапом для забезпечення успішного результату та зменшення потенційних негативних наслідків. Управління ризиками при впровадженні інформаційних систем та технологій передбачає реалізацію низки заходів, серед яких:

  • Оцінка ризиків: проведення детальної оцінки ризиків, пов'язаних із впровадженням інформаційних систем та технологій. Ідентифікація потенційних загроз, визначення ймовірності їх виникнення та потенційних наслідків.
  • Розробка плану управління ризиками: розробка плану дій з управління ризиками, включаючи конкретні заходи для зменшення ризиків, визначення відповідальних осіб та виконавців, а також механізму моніторингу та контролю за виконанням рішень.
  • Забезпечення безпеки даних: розробка і впровадження політики та процедур забезпечення безпеки даних. Це може включати захист мережі, шифрування даних, контроль доступу, резервне копіювання та відновлення даних, а також навчання персоналу щодо безпеки даних.
  • Залучення зацікавлених сторін: залучення всіх зацікавлених сторін до процесу впровадження інформаційних систем, включаючи медичний персонал, адміністраторів, IT-фахівців та представників пацієнтів. Налагодження комунікації з персоналом (безпосередньо користувачами) дозволяє враховувати їхні потреби та думки щодо впровадження.
  • Навчання персоналу: забезпечення достатнього рівня навчання та підготовки персоналу щодо використання новітніх інформаційних систем та технологій, забезпечує розуміння процесів, формування навичок, необхідних для безпечного та ефективного використання систем.
  • Тестування та поетапне впровадження: проведення детального тестування нових інформаційних систем та технологій перед повним впровадженням, починаючи з пілотних проектів або окремих відділень, щоб виявити потенційні проблеми та забезпечити високу якість впровадження.
  • Моніторинг та оновлення: здійснення поточного моніторингу роботи інформаційних систем та технологій, аналіз даних, виявлення потенційних проблем та ризиків, забезпечення регулярного оновлення та підтримки систем для забезпечення ефективної роботи та врахування змін.

Одним із найбільш важливих питань управління ризиками при впровадженні інформаційних систем та технологій постає захист інформації в системах управління медичною інформацією (МІС), оскільки вони містять персоналізовані медичні дані про пацієнтів. 

Для забезпечення високого рівня безпеки і конфіденційності інформації в МІС на сьогодні використовуються такі заходи та технології:

  • Аутентифікація та авторизація: користувачі МІС повинні пройти процедуру аутентифікації, наприклад, за допомогою унікального ідентифікатора та пароля, щоб мати доступ до системи. Після аутентифікації користувачам надаються відповідні рівні авторизації, що визначають їхні права доступу до різних функцій та даних в МІС.
  • Шифрування даних: персональна медична інформація, що передається між компонентами МІС або зберігається на серверах, повинна бути зашифрована. Шифрування даних забезпечує їх захист від несанкціонованого доступу під час передачі або зберігання.
  • Фізичний захист: серверні приміщення, де зберігається обладнання МІС, можуть бути захищені фізичними засобами, такими як контроль доступу, відеоспостереження, пожежні сигналізації тощо. Це допомагає запобігти несанкціонованому доступу до фізичних ресурсів.
  • Резервне копіювання та відновлення: регулярне створення резервних копій даних МІС та розробка планів відновлення даних у разі виникнення аварійних ситуацій або втрати даних допомагають забезпечити безпеку і цілісність інформації в МІС.
  • Моніторинг доступу та аудит: системи МІС можуть мати механізми моніторингу доступу та аудиту, які реєструють активності користувачів, їхні дії та доступ до конкретних даних. Такі заходи дозволяють виявляти незвичайну або підозрілу активність, а також забезпечують можливість перегляду журналів подій для виявлення можливих порушень безпеки.
  • Соціальний інжиніринг: користувачі МІС повинні бути навчені та обізнані щодо методів соціального інжинірингу, які можуть використовуватися зловмисниками для отримання несанкціонованого доступу до системи, навчання персоналу про розпізнавання шахрайства та підозрілих ситуацій може допомогти запобігти таким атакам.
  • Політики безпеки та внутрішні правила: встановлення політики безпеки, яка визначає правила та процедури використання МІС, включаючи паролі, обмеження доступу та інші безпекові механізми, які є важливим кроком для забезпечення захисту інформації. Усі працівники повинні бути ознайомлені з цими політиками та дотримуватися їх під час використання МІС.
  • Загальні заходи безпеки, такі як: регулярне оновлення програмного забезпечення, використання міцних паролів та захист мережі, також є важливими для забезпечення безпеки. Регулярний аналіз та оновлення безпекових заходів допомагають підтримувати високий рівень захисту інформації в МІС.

Нормативно-правова база, що регулює захист інформації включає такі нормативні акти:

Також постанови Кабінету міністрів України та накази Міністерства охорони здоров'я України, які зокрема регулюють захист в закладах охорони здоров'я. 

Слід зауважити, що в Україні використовуються стандарти технічного захисту інформації, такі як серія стандартів ISO/IEC 27000, які встановлюють загальні вимоги до систем управління інформаційною безпекою та надають рекомендації щодо захисту інформації в МІС. У тому числі Україна має процедури перевірки відповідності МІС та інших систем вимогам щодо захисту інформації та забезпечення відповідних заходів безпеки.

4.5.5. Висновки

В основу системи управління ризиками під час впровадження інформаційних систем та технологій входять такі компоненти: 

  • Кібербезпека: заклади охорони здоров'я повинні приділяти особливу увагу захисту своїх медичних інформаційно-комунікаційних систем від кібератак. Розробка та впровадження ефективних заходів з кібербезпеки є необхідністю для запобігання можливим загрозам.
  • Нормативно-правова база: заклади охорони здоров'я повинні дотримуватися відповідних нормативних вимог та законодавства щодо впровадження та захисту інформаційних систем. Це включає впровадження стандартів, протоколів та процедур для забезпечення конфіденційності, цілісності та доступності даних.
  • Управління ризиками: заклади охорони здоров'я повинні мати проактивну стратегію управління ризиками при впровадженні інформаційно-комунікаційних систем. Це охоплює оцінку потенційних ризиків, розробку планів заходів з ризик-менеджменту, впровадження контрольних механізмів та постійне моніторингове відстеження.
  • Залучення фахівців: заклади охорони здоров'я повинні співпрацювати з кваліфікованими фахівцями з інформаційної безпеки та кібербезпеки. Це допоможе забезпечити належний рівень захисту систем та впровадження кращих практик.

4.5.6. Корисні посилання 

1. Закон України Про захист інформації в інформаційно-комунікаційних системах.  

2. Закон України "Про захист персональних даних".

3. Закон України "Про інформацію".

4. Розпорядження КМУ "Про схвалення Концепції розвитку електронної охорони здоров’я"

5. Постанова Кабінету Міністрів від 25 квітня 2018 р. № 411 Деякі питання електронної системи охорони здоров’я

Ключові слова / Теги

Персональні дані, обробка персональних даних, кібербезпека, захист інформації, управління ризиками

Наступна сторінка: Значення електронної системи охорони здоров’я в реалізації програми медичних гарантій