Персональные данные в клинике – 2026: чек-лист с учетом новых требований | ЕИДМЕД
+7 (812) 679-79-02
Вход

Персональные данные в клинике – 2026: чек-лист с учетом новых требований

05.03.2026 Персональные данные Главный врач

Актуальный чек-лист аудита персональных данных в клинике по 152-ФЗ на 2026 год: новые требования к защите от кибератак, уведомление в ГосСОПКА за 72 часа, оборотные штрафы до 6 млн руб.

База знаний / Персональные данные в клинике – 2026: чек-лист с учетом новых требований
В 2026 году аудит ПДн включает не только документы, но и проверку киберустойчивости, шифрования и реагирования на инциденты.
В 2026 году аудит ПДн включает не только документы, но и проверку киберустойчивости, шифрования и реагирования на инциденты.

Этап 1: Подготовка к аудиту с учетом требований 2026

Назначение ответственного за ПДн с новыми полномочиями

Издайте приказ о проведении внутреннего аудита. Назначьте ответственного за организацию защиты ПДн. В 2026 году этот сотрудник должен не просто хранить документы, а контролировать: передачу данных в ГосСОПКА при инцидентах, работу с криптографией, обучение персонала новым угрозам (фишинг, социальная инженерия).

Определение области проверки: МИС, облака, подрядчики

Определите, какие процессы и системы проверять: регистратура, МИС (медицинская информационная система), облачные сервисы (например, для передачи данных в страховые), сайт клиники, интеграции с ЕГИСЗ. В 2026 году особое внимание — подрядчикам: если они допустят утечку, штраф получает клиника.

Сбор данных: актуализация уведомления в РКН

Соберите все документы по ПДн. Проверьте, актуально ли уведомление в Роскомнадзор. Если изменились цели обработки, категории данных или появилась трансграничная передача — уведомление нужно обновить. С 2022 года трансграничная передача ужесточена.

Этап 2: Анализ документации — новые требования 2025-2026

Политика обработки ПДн: адаптация под клинику

Проверьте Политику на сайте. В 2026 году шаблоны из интернета не проходят: документ должен быть адаптирован под реальные процессы клиники (цели обработки, категории данных, сроки хранения, порядок уничтожения). Политика должна быть доступна на сайте и стенде.

Согласие на обработку ПДн: разделение по целям

Убедитесь, что согласия разделены по целям: на оказание медуслуг, на маркетинговые рассылки, на передачу данных партнерам (страховым, лабораториям). Единое согласие «на всё» — грубое нарушение. Также проверьте согласие на распространение данных (если публикуете фото, отзывы).

Положение об обработке и защите ПДн

Обновите внутреннее Положение с учетом новых требований: порядок действий при утечке (уведомление в ГосСОПКА за 72 часа), использование СКЗИ (сертифицированных средств криптозащиты), работа с биометрией.

Журналы и акты: уничтожение данных

Проверьте Журнал учета обращений субъектов ПДн. Добавьте акты об уничтожении данных с истекшими сроками хранения. Уничтожение должно быть подтверждено документально.

Этап 3: Технические меры защиты — стандарт 2026

Многофакторная аутентификация (MFA)

В 2026 году MFA — обязательное требование для доступа к МИС и другим системам с ПДн. Пароль + подтверждение по SMS или push-уведомлению. Это снижает риск компрометации учетных записей (фишинг, кража паролей).

Шифрование данных: диски и каналы передачи

Все носители с ПДн (серверы, ноутбуки, внешние диски) должны быть зашифрованы (BitLocker, VeraCrypt). Передача данных — только по защищенным каналам (TLS 1.3, VPN). Запрещена отправка документов с ПДн по email без шифрования — это нарушение ст. 19 152-ФЗ.

SIEM-системы и мониторинг инцидентов

Для крупных клиник рекомендуется внедрение SIEM-систем (Splunk, MaxPatrol) для централизованного сбора событий безопасности и выявления аномалий. Это позволяет обнаруживать утечки в реальном времени.

Неизменяемые резервные копии (immutable backups)

Атаки шифровальщиков (ransomware) стали главной угрозой 2025 года. Настройте резервное копирование с защитой от изменений — immutable backups. Это гарантирует восстановление данных даже при полной компрометации системы.

Антивирус и межсетевой экран

Сертифицированные ФСТЭК средства защиты (антивирус Касперского, Dr.Web, межсетевые экраны ViPNet) — обязательны для систем, обрабатывающих ПДн.

Этап 4: Организационные меры — человеческий фактор

Обучение сотрудников: защита от фишинга

В 2026 году обучение персонала — не рекомендация, а необходимость. Проводите тренинги по распознаванию фишинговых писем, правилам парольной гигиены, безопасной работе с мессенджерами. Раз в год — обязательная проверка знаний.

Регламент реагирования на инциденты (72 часа)

Разработайте четкий план действий при утечке: изоляция систем, уведомление Роскомнадзора (не позднее 72 часов с момента обнаружения), внутреннее расследование, взаимодействие с правоохранительными органами.

Контроль подрядчиков и партнеров

При передаче данных страховым компаниям, лабораториям, облачным провайдерам проверяйте их защищенность. Используйте только защищенные каналы (например, Контур.Страхование с шифрованным каналом MEDI). Передача через мессенджеры (WhatsApp, Telegram) или email запрещена.

Физическая безопасность

Архивы с медкартами, серверные помещения должны быть с контролем доступа. Журналы выдачи ключей, видеонаблюдение — обязательны.

Новые риски 2026: кибератаки и утечки

По данным Роскомнадзора, в 2025 году число кибератак на медицинские организации выросло на 47%. Главные угрозы: фишинг (компрометация учетных записей сотрудников), атаки шифровальщиков (ransomware) с требованием выкупа, утечки через незащищенные каналы (email, мессенджеры). В 2026 году клиники должны быть готовы не только защищаться, но и оперативно реагировать — уведомление об инциденте в ГосСОПКА в течение 72 часов.

Проблемы 2026 — решения 2026

Проблема: Передача данных страховой по email

Клиника отправляет реестры оказанных услуг в страховую компанию по обычной электронной почте. Данные не шифруются, контроль доступа отсутствует.

Решение: Защищенный ЭДО

  • Перейти на специализированные сервисы с шифрованием (например, Контур.Страхование с каналом MEDI).
  • Использовать VPN или TLS 1.3 для передачи.
  • Заключить соглашение о конфиденциальности со страховой.
  • Фиксировать передачу в журналах.

Проблема: Отсутствие MFA в МИС

Врачи и администраторы входят в МИС только по паролю. При компрометации пароля злоумышленник получает доступ ко всем данным.

Решение: Многофакторная аутентификация

  • Внедрить MFA (SMS, push-уведомления, аппаратные токены).
  • Настроить ролевую модель доступа (маркетолог не видит диагнозы).
  • Вести логи действий в МИС.

Проблема: Нет плана реагирования на утечку

При атаке шифровальщика клиника не знает, что делать: платить выкуп? звонить в РКН? восстанавливать из бэкапов?

Решение: Регламент и immutable backups

  • Разработать регламент реагирования (изоляция, уведомление за 72 часа, расследование).
  • Настроить неизменяемые резервные копии (immutable backups).
  • Не платить выкуп — обращаться в МВД (отдел «К»).

Клиники обязаны не просто «соблюдать закон», а внедрять проактивные меры защиты. Игнорирование требований ведёт к миллионным штрафам и уголовной ответственности. В 2025 году мы видели приговоры по ст. 137 УК РФ за продажу данных пациентов — до 2 лет лишения свободы.

— Олег Петухов, юрист по информационной безопасности

Таблицы для документирования аудита 2026

Фиксируйте результаты проверки в структурированных таблицах. В 2026 году особое внимание — срокам хранения, категориям данных и матрице угроз с учетом новых рисков.

Ключевые документы для проверки (2026)

Документ Требование 2026
Политика обработки ПДн Адаптирована под клинику, на сайте и стенде, актуальные цели
Положение о защите ПДн Включает порядок реагирования на инциденты (72 часа)
Приказ о назначении ответственного за ПДн Ответственный обучен новым угрозам
Формы согласий Разделены по целям, отдельно на распространение
Журнал учета обращений субъектов ПДн Ведется актуально
Акты об уничтожении ПДн Оформляются при уничтожении данных с истекшим сроком

Категории персональных данных в медицинской организации

Тип ПДн Примеры Особые требования 2026
Общие ФИО, адрес, телефон, email, паспорт Согласие на обработку, уведомление РКН
Специальные Диагноз, анализы, история болезни Усиленная защита, шифрование, доступ строго по ролям
Биометрические Фото для идентификации, отпечатки пальцев Отдельное согласие на распространение, сертифицированные СКЗИ

Матрица угроз и мер защиты (2026)

Угроза Источник Мера защиты 2026
Фишинг, компрометация учетных записей Сотрудник открыл вредоносное письмо MFA, обучение персонала, SIEM
Атака шифровальщика (ransomware) Внешний злоумышленник Immutable backups, антивирус, сегментация сети
Утечка через мессенджеры/email Сотрудник отправил данные в Telegram Запрет передачи по незащищенным каналам, DLP-системы
Несанкционированный доступ к МИС Бывший сотрудник, взлом Ролевой доступ, логи, MFA
Физическая утрата носителей Утерян ноутбук с данными Шифрование дисков (BitLocker)

Часто задаваемые вопросы о аудите ПДн в 2026 году

Как часто проводить аудит персональных данных в 2026 году?

Минимум раз в год. Но с учетом роста кибератак и изменений в законодательстве рекомендуется проводить аудит каждые полгода, а также при любых изменениях: внедрение новой МИС, смена облачного провайдера, начало трансграничной передачи, изменение целей обработки.

Нужно ли согласие на обработку ПДн для пациентов по ОМС?

Да, нужно. Хотя обработка в медико-профилактических целях формально является исключением, позиция Роскомнадзора и судебная практика требуют получения письменного согласия. Это защищает клинику от претензий и штрафов.

Что делать при утечке персональных данных в 2026 году?

1) Изолировать зараженные системы. 2) В течение 72 часов уведомить Роскомнадзор и передать информацию в ГосСОПКА. 3) Провести внутреннее расследование. 4) Уведомить субъектов ПДн (если требуется). 5) Восстановить данные из неизменяемых резервных копий.

Какие штрафы грозят за нарушение 152-ФЗ в 2026 году?

Штрафы по ст. 13.11 КоАП РФ: для должностных лиц — до 50 тыс. руб., для юрлиц — до 600 тыс. руб. за первое нарушение. За повторное — до 6 млн рублей. Также возможна уголовная ответственность по ст. 137 УК РФ (до 5 лет лишения свободы).

Обязательно ли уведомлять Роскомнадзор об обработке ПДн в 2026?

Да. Медицинские организации обязаны направить уведомление до начала обработки. При изменении целей, категорий данных или появлении трансграничной передачи — уведомление обновляется. Исключений для клиник практически нет.

Как правильно передавать данные в страховые компании по ДМС?

Только по защищенным каналам с шифрованием. Рекомендуется использовать специализированные сервисы электронного документооборота с шифрованным каналом (например, Контур.Страхование с каналом MEDI). Передача по email или через мессенджеры запрещена и является нарушением ст. 19 152-ФЗ.

Что такое immutable backups и зачем они нужны?

Неизменяемые резервные копии (immutable backups) — это копии данных, которые нельзя изменить, зашифровать или удалить злоумышленнику даже при полном захвате системы. В 2025–2026 годах это стандарт защиты от атак шифровальщиков (ransomware).

Какие средства защиты обязательно должны быть сертифицированы?

Средства криптографической защиты информации (СКЗИ) — обязательно сертифицированы ФСБ. Межсетевые экраны, антивирусы — рекомендуется сертификация ФСТЭК. Это требование при аттестации информационных систем.

Остались вопросы?

Напишите мне в Telegram — отвечу на любые вопросы по статье

✍️ Написать в Telegram

Читайте также

Актуально

Эпидемиологическая безопасность в медицинской организации: полное руководство 2026

Полное руководство по эпидемиологической безопасности в медицинской организации: правовая основа, профилактика ИСМП, дезинфекция, стерилизация, бельевой режим, обращение с отходами и новые требования 2026 года.

Читать далее
Актуально

Медицинские осмотры работников: полное руководство для медицинской организации 2026

Полное руководство по организации медицинских осмотров в медицинской организации: виды осмотров, правовая основа, пошаговый алгоритм, документальное оформление, ответственность и изменения 2026 года.

Читать далее