Защита медицинских данных в 2025 году, требования и риски для клиник

Когда врач отправляет пациенту заключение или рекомендации в привычном мессенджере, это уже не просто вопрос удобства. Это потенциальный юридический и репутационный риск. 

С 1 марта 2023 года и по сей день законодательство и практика надзора по защите медицинских данных изменились так, что привычные рабочие процессы требуют переосмысления. На недавнем вебинаре «Защита медицинских данных: риски, правила, решение» мы вместе с коллегой — Александром Бодровым, руководителем направления аналитического отдела, АО «ИнфоТеКС», разобрали реальные кейсы, новые требования и практические советы, которые помогут медицинским организациям работать в рамках закона и не потерять пациентов.

1. Что именно поменялось и почему это касается всех

За последний год произошли и идут существенные изменения в законодательстве, которые касаются персональной информации, и в том числе защиты медицинских данных.

Это не абстрактные поправки, а новые требования к хранению, передаче и обработке данных, которые уже влияют на повседневную работу медицинских организаций.

На практике это значит: если раньше врач мог обмениваться документами и давать рекомендации через удобный для него канал связи, например, мессенджер, то теперь важно понимать, где эти данные хранятся, как они обрабатываются, какой риск утечек и кто за это отвечает.

2. Медучреждения в списке КИИ: почему это важно

Учреждения здравоохранения в абсолютном большинстве случаев относятся к субъектам критической информационной инфраструктуры (КИИ). 

По словам моего коллеги, Александра Бодрова, сфера здравоохранения прямо первая в перечислении. 

Это не формальность: включение в КИИ влечет за собой дополнительные регламенты, требования к отечественному ПО и повышенную персональную ответственность руководства. Александр Бодров также напомнил о реальных правоприменительных прецедентах: есть реальная практика привлечения по статье 274.1: неправомерное воздействие на КИИ, когда в информационные системы вносились недостоверные данные. Этот пример показывает: нарушение целостности ИТ-инфраструктуры в сфере здравоохранения может иметь не только административные, но и уголовные последствия.

3. Мессенджеры — не место для врачебной тайны

Один из самых простых и одновременно опасных моментов: привычная переписка с пациентом в WhatsApp*(принадлежит корпорации Meta, деятельность которой признана в России экстремистской и запрещена) или Telegram. Пациент, как физическое лицо может пересылать данные где угодно, но медицинская организация подчиняется четким требованиям законодательства. Практический вывод: получить согласие пациента недостаточно, чтобы узаконить передачу врачебной информации через иностранный мессенджер. Даже напоминания о визите в некоторых случаях могут квалифицироваться как сведения, относящиеся к врачебной тайне.

4. Злоумышленники — это не «хакеры-романтики»

Хакеры работают не из любви к искусству, как правило, а работают за деньги — и за каждой крупной атакой стоит коммерческий интерес.

Роскомнадзор фиксирует утечки в миллионах записей, а целями злоумышленников становятся базы с анализами, снимками и личными данными пациентов.

Риск шантажа, фишинга и коммерческой эксплуатации данных растет: для медицинского учреждения это прямая угроза потери клиентов, потенциальные иски, и уголовная ответственность для ответственных лиц.

5. Телемедицина: рынок готов, но соответствующих законодательству решений мало

На рынке много телемедицинских платформ, но лишь небольшая часть из них соответствует требованиям 152-ФЗ и требованиям к КИИ. Телемедицинских платформ, способных заменить привычные мессенджеры, еще меньше. 

Типичные проблемные места:

• хранение данных за пределами РФ;
• отсутствие сертифицированных средств защиты;
• использовании ИИ-функций без регистрации как медицинское изделие;
• незащищенная передача файлов.

Мы вместе с моим коллегой Александром Бодровым настоятельно рекомендуем: перед тем как внедрять какое-либо платформенное решение, клиника должна проверить его на соответствие всем требованиям законодательства.

6. Что нужно сделать руководителю медицинского организации уже сейчас

1. Оценить, где хранятся и как передаются данные.
2. Назначить ответственного за информационную безопасность (указ Президента №250, уровень — заместитель руководителя).
3. Провести аудит используемых платформ: есть ли сертификация по требованиям информационной безопасности, как обрабатываются и хранятся данные, соответствует ли закону защищенность каналов связи?
4. Перестать использовать иностранные мессенджеры для передачи медицинской информации.
5. Если внедряете ИИ-решения, проверяйте, чтобы у него была регистрация как медицинского изделия.

Информационная безопасность медицинских сервисов и систем уже стала реальным критерием устойчивости функционирования практически любого медицинского учреждения. С одной стороны, перед клиниками сегодня стоят жесткие требования: КИИ, персональные данные, запреты и прецеденты. С другой — есть работающие решения, которые позволяют дальше развивать цифровую медицину, не рискуя ни бизнесом, ни репутацией.

Если вы руководитель медицинского учреждения, вопрос стоит так: хотите ли вы рассчитывать на «авось» или настроить процессы, которые защитят пациентов и позволят развивать сервисы уверенно и в рамках закона? В 2025-м ответа «как раньше» или «как привычно» уже не существует.