Права и организация доступа к ЭПМЗ сотрудников медицинской организации

В данном разделе должно быть отражено, какие сотрудники и в какой ситуации имеют права на создание, ведение, подписание, доступ, просмотр, распечатку, копирование и передачу ЭПМЗ по электронным каналам связи, а также каким способом обеспечиваются эти права.

Права доступа сотрудников могут быть:

- персональными (предоставленными сотруднику лично);

- должностными - предоставленные сотруднику в соответствии с занимаемой им должностью (лечащий врач, зав.отделением и др.);

- ситуационными – отвечающими той ситуации, в которой сотрудник исполняет свои обязанности (в частности дежурный врач на время дежурства должен иметь больше прав, чем врач отделения; врач-консультант только при провидении консультации или врач-лаборант при выполнении исследования должны иметь полный доступ ко всем ЭПМЗ пациента);

- административными – расширенные права доступа, предоставленные специальному персоналу, осуществляющему администрирование медицинских архивов и ЭПМЗ, обеспечивающим безопасность и разрешение нештатных ситуаций.

Права доступа могут распространяться на отдельные типы записей или записи, относящиеся к определенным пациентам.

В основу распределения прав доступа должны быть положены требования в отношении ведения бумажной медицинской документации, определенные существующими нормативными документами, и требования и технология лечебного процесса медицинского учреждения.

В политике безопасности должны быть определены также технические и организационные средства аутентификации сотрудников при работе с ЭПМЗ, на основе которых определяются права доступа сотрудника. К средствам аутентификации могут относиться пароли, SMART-карты, идентификационные карты (магнитные или штрихкодовые), USB-ключи. Для обеспечения прав доступа могут использоваться те же технические средства, что и для подписания ЭПМЗ (см. 9.). В процессе представления сотруднику прав доступа и средств аутентификации с него должна быть истребована подписка о том, что он обязуется держать эти средства в секрете и что он проинформирован об ответственности, связанной с передачей средств аутентификации другим лицам и использовании их для несанкционированного доступа к ЭПМЗ и электронным медицинским архивам.