ЕЦП: досвід Польщі, Німеччини та Канади

Законодавство, яким регулюється використання ЕЦП у країнах Європейського Союзу (далі — ЄС), традиційно відповідає загальним нормам ЄС, на яких воно базується. 1 липня 2016 р. вступив у дію акт під назвою «Electronic Identification and Authentication and Trust Services» — «Електронна ідентифікація, аутентифікація та довірчі послуги», відомий під короткою назвою eIDAS Regulation (далі — регламент), який заклав нові стандарти для електронних транзакцій. Відповідно, між законами країн ЄС простежуються очевидні паралелі, оскільки вони враховують вказаний акт під час розробки власного законодавства, проте результати їх застосування дещо відрізняються.

З допомогою регламенту eIDAS передбачалося розширити повноваження та сферу дії попереднього нормативно-правового документа — Директиви 1999/93/ЄС. До впровадження нового акта в більшості випадків громадяни, що мешкають на теренах ЄС, не могли використовувати електронну ідентифікацію в інших країнах — членах ЄС, оскільки національна система електронної ідентифікації їх країни не визнавалася в інших країнах. Взаємовизнання було ключем до того, щоб охорона здоров’я стала для європейських громадян доступною за межами кордонів, а їх медичні дані відкривалися для перегляду будь-де, що потребувало надійної та безпечної електронної системи ідентифікації.

Терміни, які ввів регламент:

• підписувач — особа, яка створює електрон­ний підпис;
• електронний підпис — дані в електронній формі, які вкладені чи логічно пов’язані з іншими даними електронної форми та які використовуються підписувачем при підписанні;
• покращений електронний підпис — дані, які безпосередньо пов’язані з підписувачем та дозволяють ідентифікувати його, забезпечують контроль їх використання єдиною особою та можливість відслідкувати будь-яке втручання чи зміну даних;
• кваліфікований електронний підпис — покращений електронний підпис, який створено кваліфікованим засобом і який базується на кваліфікованому електронному сертифікаті.

Саме кваліфікований ЕЦП юридично прирівнюється до власноручного, при цьому такий підпис у разі визнання його в одній з країн — членів ЄС має визнаватися й в інших. Регламент дозволяє країнам висувати власні вимоги в національному законодавстві стосовно того, який вид ЕЦП може використовуватися за конкретних обставин.

Новий регламент застосовується в повній відповідності з принципами захисту персональних даних, передбаченими Директивою 95/46/ЄС «Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних», вимоги якої дійсні як для постачальників довірчих послуг, так і для органів нагляду. Зокрема, серед них:

• вимога обробляти персональні дані законно, чесно, у сумісний з цілями спосіб та зберігати їх у формі, що дозволяє встановлювати особу, на строк не довше, ніж це необхідно;
• зобов’язання для органу чи агентства, що визначає цілі і засоби обробки персональних даних, надавати особі, дані якої збираються, інформацію щодо цілей обробки та будь-якої додаткової інформації, наприклад, стосовно одержувача її даних, можливостей права доступу та права на виправлення тощо;
• право особи запитувати підтвердження щодо того, чи обробляються її дані, ким та з якою метою, й отримувати інформацію про логіку, яка використовується під час автоматизованої обробки даних.

У випадках, коли обробка необхідна для виконання завдання для суспільних потреб, особа має право заперечувати проти обробки власних даних, якщо інше не передбачено національним законодавством. Крім того, передбачена можливість заперечувати проти обробки власних даних, якщо вона здійснюється з метою прямого маркетингу — для цього особу мають поінформувати про таке право та надати змогу висловити заперечення.

Польща

Цивільний кодекс Польської Республіки, запроваджений ще в 1964 р., зазнав численних змін і у його нинішньому вигляді містить статтю, яка передбачає можливість висловити намір щодо здійснення правочину, у тому числі в електронній формі (за деякими винятками). Отже, електронні правочини і договори формально цілком належать до таких, що можуть бути укладені в електронному вигляді. З прийняттям в 2001 р. Закону «Ustawa z dnia 18 wresmia 2001 r. o podpisie elektronicznym» у Польщі офіційно запровадили електронний підпис, який за певних умов прирівнювався до власноручного підпису особи.

7 грудня 2015 р. розпорядженням Ради міністрів Польщі в країні створено Міністерство цифризації, яке має комплексні повноваження в сфері електронного урядування, телекомунікацій, пошти та впровадження програм інтегрованої інформатизації. У 2016 р. новим Законом «Ustawa z dnia 5 wresnia 2016 r. o uslugach zaufania oraz identyfikacji elekronicznej» скасовано поперед­ній, і саме він зараз регулює дану сферу. У ньому відсутні деякі терміни, зокрема, наприклад, немає пояснення застосування терміна «електрон­ний підпис», відповідно, передбачається застосування термінології регламенту eIDAS та її класифікації видів ЕЦП.

Новим законом встановлено, що міністр, який відповідає за інформатизацію, забезпечує функціонування національної довірчої інфраструктури. До його завдань належить розробка організаційних і технічних вимог, порядку ведення реєстру, порядку видачі та відкликання сертифіката постачальника довірчих послуг, вимог до політики органу сертифікації тощо.

Національна інфраструктура включає:

• Реєстр постачальників довірчих послуг. Він є загальнодоступним, містить перелік усіх постачальників та інформацію про них в елект­ронному вигляді;
• Національний центр сертифікації, який видає та відкликає сертифікати довірених постачальників послуг, що використовуються для перевірки електронних підписів, та пуб­лікує інформацію про них;
• Довірчий список.

Обов’язковою вимогою закону до постачальників довірчих послуг є наявність укладеного договору страхування щодо збитків, які можуть бути завдані споживачам, чинного на весь період надання послуг. Інформація та дані, пов’язані з надаванням та отриманням електронних послуг, відносяться законом до конфіденційних.

На сьогодні в Польщі діє небагато авторизованих центрів сертифікації. Найбільшим з них є CERTUM. Проте, окрім нього, діють Polska Wytwornia Papierow Wartosciowych, Krajowa Izba Rozliczeniowa Spółka Akcyjna та декілька інших. Детальне законодавче регулювання ЕЦП, обмеження зловживань та відповідальний державний нагляд дали змогу використовувати елект­ронний підпис не лише в медичній, а й у комерційній, банківській та іншій сферах, і навіть судовій. Нині у Польщі функціонують такі послуги, як е-Податки, е-Митниця та е-Суд.

Реалізацію національного плану щодо впровадження системи eHealth покладено на Центр інформаційних систем охорони здоров’я, який підпорядковується Міністерству охорони здоров’я Польщі. Серед його завдань: моніторинг інформаційних систем на центральному та регіо­нальному рівнях, соціологічний, статистичний та економічний аналіз, забезпечення розвитку інформаційних систем для оптимізації асигнувань на сферу охорони здоров’я тощо. Усі реєстри дію­чих закладів охорони здоров’я, аптек, лабораторій, фармацевтичних компаній, центральний реєстр фармацевтів, реєстр лікарів, медсестер, інших фахівців медичної галузі і лікарських засобів зібрані на єдиній Платформі медичних реєстрів — rejestrymedyczne.csioz.gov.pl.

За моніторинг та обслуговування медичних інформаційних систем відповідає Центр інформаційних систем охорони здоров’я (Centrum Systemów Informacyjnych Ochrony Zdrowia — CSIOZ), який діє в країні з 2000 р. з метою поліпшення якості послуг.

Німеччина

Цивільний кодекс Німеччини встановлює, що договір не обов’язково повинен супроводжуватися власноручним підписом для визнання його чинним. Він вважається таким, що має силу, якщо сторони досягли згоди щодо його істотних умов і ця згода може бути виражена вербально, фізично (власноручний підпис) або ж електронним шляхом.

Першим законом, який регулював ЕЦП в Німеччині, був закон від 2001 р. «Signaturgesetz (Gesetz über Rahmenbedingungen für elektronische Signaturen)» — тобто закон про електронний цифровий підпис або ж про типові вимоги до елект­ронних підписів. Ним юридично визнавалися електронні підписи, таким чином створювалося підґрунтя для запровадження ЕЦП в країні. Після прийняття в ЄС регламенту eIDAS даний закон був замінений новим, більш досконалим.

Набувши чинності у липні 2017 р., Закон «Vertrauensdienstegesetz» (Закон про довірчі сервіси) фактично доповнив правила ЄС, визначені регламентом eIDAS. Ним встановлено правові засади діяльності постачальників довір­чих послуг, а також компетентні органи нагляду, зокрема:

• Федеральна мережева агенція електроенергії, газу, телекомунікацій, пошти та залізниці;
• Федеральна служба безпеки інформаційних технологій.

Вказані органи формують, перевіряють, здійснюють верифікацію ЕЦП та їх сертифікатів. Згідно із законом усі постачальники довір­чих послуг зобов’язані співпрацювати з органами нагляду, а саме: допускати упов­новажених осіб у робочий час для перевірок, надавати на їх запит усю документацію та сприя­ти їх роботі шляхом надання іншої інформації. При цьому окремою статтею закону захищаються права осіб з інвалідністю — передбачено, наскільки це можливо, необхідність зробити для них довір­чі послуги доступними та корисними.

Політика конфіденційності відповідає загальним нормам ЄС, проте для постачальників довірчих послуг окремо встановлено вимогу щодо обов’язкової передачі даних споживачів компетентним державним органам за визначеними законом підставами. Серед них — розслідування злочинів і провини, загроза націо­нальній безпеці чи громадському порядку, виконання інших захищених законом державних чи конституційних обов’язків тощо. Постачальники довірчих послуг зобов’язані документувати кожен випадок передачі даних і зберігати цю документацію протягом не менше ніж 12 міс. Крім того, у разі запиту на передачу даних стосовно конкретної особи компетентний орган має повідомити їй про таку передачу.

У грудні 2015 р. Бундестаг Федеративної Республіки Німеччина (федеральний парламент) прийняв Закон «Gesetz für sichere digitale Kommunikation und Anwendungen im Gesundheitswesen», скорочено — E-Health-Gesetz, тобто закон про безпечні цифрові комунікації та їх застосування в сфері охорони здоров’я, згідно з яким з 2016 р. в Німеччині почалося покрокове впровадження електронних сервісів у медичній сфері. Його необхідність обґрунтовувалася наступним чином:

• дані, які зберігаються в медичній картці пацієнта, за можливості швидкого доступу до них можуть врятувати життя;
• детальний план лікування може попередити небезпечні для життя наслідки від самолікування, а електронна реєстрація пацієнтів дозволить їм краще розуміти власний діагноз і методи лікування;
• телемедицина потрібна для підтримки осіб з обмеженими можливостями;
• пацієнти зможуть вводити власні дані щодо свого здоров’я, наприклад, з фітнес-трекерів та інших подібних пристроїв;
• лікар зможе перевіряти актуальні дані щодо страховки пацієнта;
• план лікування в майбутньому буде записуватися в електронній медичній картці, що не лише зручно, а й дозволить контролювати сумісність препаратів, які приймає пацієнт, та за потреби коригувати їх взаємодію.

Для цих цілей уповноваженим особам (передусім — лікарям) потрібен захищений доступ до даних пацієнтів, тому вони повинні проходити електронну ідентифікацію за допомогою спеціальної картки лікаря — «e-Arztausweis».

У фармацевтів і парамедиків, відповідно, є власні електрон­ні ідентифікатори, проте лікарська електронна картка має найширші можливості, а саме:

• ідентифікувати себе візуально в якості лікаря, наприклад, в аптеці чи медичних закладах;
• ідентифікувати себе електронно, наприклад, у медичних системах;
• за допомогою кваліфікованого ЕПЦ підписувати медичну звітність, документи для виставлення рахунків, рецепти на лікарські засоби тощо;
• отримати доступ до електронної медичної картки пацієнта тощо.

У 2019 р. планується, що з проектом «e-Arztausweis» будуть поєднуватися нові можливості на кшталт ведення звітів клінічних випробувань лікарських засобів, внесення декларацій донорів і навіть відкриття рахунку в банку. Усі вказані функції потребуватимуть ЕЦП та картки лікаря.

Канада

Нормативно-правовим актом, який регулює елект­ронне діловодство в Канаді, є «Personal Information Protection and Electronic Documents Act» — (PIPEDA), тобто закон про захист персональних даних та електронних документів, прийнятий 13 квітня 2000 р. Передбачалося поетапне набрання чинності окремими розділами закону, тому сферу охорони здоров’я він охопив у 2002 р. У цілому його нормами встановлюються правила збору, обробки, зберігання та використання персональних даних, а також регулюється обіг елект­ронної документації. Для громадян передбачено ряд прав щодо отримання інформації про будь-яке використання їх даних, мету обробки та оскарження методів такої обробки.

Окрім терміна «персональні дані», закон окремо визначає поняття «особиста медична інформація», до якого належать дані щодо:

• фізичного чи психічного здоров’я особи;
• донорства особою будь-якого органу тіла чи його матеріалів і речовин;
• медичних послуг, отриманих особою, та будь-яка інша інформація, отримана в ході їх надання.

Усі організації повинні дотримуватися принципів, передбачених національним стандартом країни у типовому кодексі захисту персональних даних, викладених окремим додатком до закону. Це 10 ґрунтовних правил, серед яких є як обов’язкові для виконання базові вимоги, так і рекомендовані — наприклад, рекомендується розробка інструкцій щодо зберігання персональних даних та запровадження окремих процедур.

Законом встановлено два види ЕЦП:

• простий електронний підпис;
• захищений електронний підпис.

Простий підпис — це набір даних з літер, знаків, чисел та інших символів, утворений в елект­ронній формі, який прикладається до електрон­ного документа. Захищений електронний підпис, натомість, є результатом використання унікальної технології чи процесу з наступними умовами:

• ЕЦП є унікальним;
• накладення ЕЦП знаходиться під контролем виключно особи, яка його здійснює;
• технологія чи процес дозволяють ідентифікувати особу, яка їх використовує;
• ЕЦП пов’язаний з документом, на який накладається, та дозволяє визначити, чи змінювався документ після цього.

За допомогою захищеного ЕПЦ в Канаді можна не тільки підписати рецепт, а й, наприклад, підтвердити показання свідка чи навіть принести присягу, тож він прирівнюється до власноручного.

Розвиток електронної системи в сфері охорони здоров’я розпочався з появою Canada Health Infoway Inc. (Infoway) — незалежної організації, що фінансується з федерального бюджету. Запровадження національної електронної медичної системи включало розробку Electronic Health Record (EHR). Цей термін застосовують щодо процесу збору, зберігання та доступу до електрон­ної картки пацієнтів, фактично — до електронної системи охорони здоров’я Канади. Кожна канадська провінція має змогу адаптувати систему до власних потреб, проте вона включає наступні загальні компоненти:

• реєстр пацієнтів;
• реєстр медичних спеціалістів, які мають доступ до системи;
• візуальну діагностичну систему, яка являє собою електронну базу знімків рентгенографічного, ультразвукового, магнітно-резонансного й комп’ютерно-томографічного дослідження та пацієнтів;
• систему інформації про лікарські засоби, що надає лікарям доступ до медичної історії пацієнта;
• систему інформації щодо лабораторної діагностики, що надає доступ до бази даних аналізів пацієнта.

Infoway встановлює та покращує стандарти роботи в системі EHR і розробляє Electronic Health Record Solution Blueprint – типову концепцію національного розвитку системи.

Бажаєте завжди бути в курсі останніх новин фармацевтичної галузі?
Тоді підписуйтесь на «Щотижневик АПТЕКА» в соціальних мережах!