MCZavod
Менеджмент · 3 января 2026

Защита медицинских данных пациентов: чек-лист по 152-ФЗ для клиник

Штрафы до 1.5 млн рублей: как защитить базу МИС от инсайдеров и подготовиться к проверкам Роскомнадзора.

Медицинские данные (диагнозы, результаты анализов психиатрии или венерологии, пластические операции) относятся к особой, "специальной" категории персональных данных. Утечка базы телефонов из доставки пиццы — это спам. Утечка медицинской карты политика или звезды шоу-бизнеса — это уничтожение бизнеса.

В 2026 году штрафы за нарушение 152-ФЗ "О персональных данных" для юрлиц (клиник) достигают 1.5 млн рублей за каждый доказанный эпизод. Но штрафы от Роскомнадзора меркнут перед исками о возмещении морального вреда от самих пациентов.

Инфографика: Чек-лист информационной безопасности 152-ФЗ для клиники

Откуда утекают данные? (Спойлер: не от хакеров)

Чаще всего в утечках виноваты не мифические хакеры из даркнета, взламывающие сервер клиники, а внутренние инсайдеры. Это увольняющийся врач, который скачивает свою базу пациентов на флешку; или администратор, продающий контакты "свежедиагностированных" пациентов конкурентам или фармпредставителям.

Чек-лист защиты: 5 уровней обороны

1. Юридический слой (Бумажный щит)

  • ИДС на обработку ПД: Пациент обязан подписать согласие ДО того, как администратор внесет его фамилию в МИС. Согласие должно включать галочку "на маркетинговые рассылки", иначе каждая смс-ка со скидкой — это штраф от ФАС.
  • Идентификация личности: Администратор не имеет права выдавать результаты анализов мужу пациента, если в карте нет нотариально заверенной доверенности (или заранее подписанного разрешения с указанием ФИО мужа).
  • Журнал допуска: Утвержденный приказом список лиц, имеющих доступ к базе.

2. Физический слой

Мониторы в зоне ресепшн. Пациент, стоящий у стойки администратора, НЕ должен видеть экран МИС с записями и диагнозами других людей. Используйте антибликовые пленки приватности.

3. IT-инфраструктура (Закрытие контура)

  • Ролевая модель в МИС: Рядовой терапевт видит только свою сетку расписания и карты тех пациентов, которых он лечит. Он физически не может нажать кнопку "Экспорт базы в Excel" или посмотреть карту из базы гинекологии.
  • Блокировка USB: На компьютерах в регистратуре и ординаторской должны быть аппаратно заблокированы USB-порты, чтобы избежать копирования на флешку.
  • Автологаут: Если врач забыл заблокировать компьютер и ушел мыть руки на 5 минут, сессия в МИС должна вылетать на экран пароля, чтобы уборщица или следующий пациент ничего не увидели.

4. Мессенджеры — абсолютное зло

Пересылка фотографий рентген-снимков с ФИО пациента или результатов анализов между врачами в публичном WhatsApp (серверы Meta) недопустима. Законодательство прямо запрещает передачу мед. данных через иностранные мессенджеры. Используйте защищенные корпоративные чаты внутри вашей МИС.

Вывод

Проведение процедуры технической защиты (выделенный сервер в защищенном контуре аттестованного ЦОД по классу К2/К3) стоит денег. Но это та страховка в 100-200 тысяч рублей в год, которая спасает репутацию клиники ценой в сотни миллионов при первой же серьезной проверке.