Ваші діагнози в їхніх руках: що електронні медсервіси роблять з даними і чим це загрожує

February 17, 2022

Електронні медичні сервіси – зручний спосіб зробити медичні послуги швидшими, роботу лікарів кращою, додати комфорту пацієнтам і здихатися бюрократії. Але електронна система – завжди ризик: дані можуть опинитися у вільному доступі через кібератаку, навмисний злив чи помилки лікарів або самих медичних сервісів.

В Україні електронна система охорони здоров’я – тільки на початку розвитку (деякі заклади досі користуються паперовими картками, лікарі видають паперові рецепти тощо). Але понад 27 млн громадян зареєстровані в тому чи іншому медсервісі). Їхні дані масово обробляє держава, медзаклади і приватні сервіси.

Коли йдеться про медичні дані – ставки зростають, адже вони вважаються чутливими, тобто можуть сильно впливати на життя людини, якщо їх розповсюджуватимуть, тож потребують посиленого захисту. Навряд комусь хочеться, аби інші люди дізналися про його венеричні чи психічні захворювання. Це може статися не лише зі злого умислу, але й випадково: наприклад, якщо лікар переплутав номери телефонів пацієнтів під час реєстрації в медсервісі.

Чи відповідає українське законодавство викликам у сфері медичних даних, чи наші дані достатньо захищені, чи можемо ми реально їх контролювати і чи не передаються вони бездумно будь-кому? Розберемося в цьому детальніше. 

eHealth: що це і як працює

Цифровізація охорони здоров’я почалася 2016 року з Концепції реформи фінансування, яка вбачає якісний доступ до медичної допомоги: зменшення черг, спрощення запису на прийом, покращення комунікації пацієнта з лікарем, швидкий доступ до історії хвороби онлайн. 

У рамках Концепції уряд запровадив електронну систему охорони здоров’я, яка інтегрує державну базу даних охорони здоров’я із приватними компаніями, через які люди, лікарі, аптеки та клініки мають онлайн-доступ до бази і можуть керувати записами, рецептами тощо.

Як працює ця система

За Законом “Про державні фінансові гарантії медичного обслуговування населення”, електронна система охорони здоров’я (eHealth): 

забезпечує автоматизацію ведення обліку медичних послуг та управління медичною інформацією шляхом створення, розміщення, оприлюднення та обміну інформацією, даними і документами в електронному вигляді. До її складу входять центральна база даних та електронні медичні інформаційні системи, між якими забезпечено автоматичний обмін інформацією, даними та документами через відкритий програмний інтерфейс (АРI).

Функціонування системи eHealth відбувається у Порядку, затвердженому Кабінетом Міністрів. Функціонування системи забезпечує Національна служба здоров’я України. 

МІС – програми, через які громадяни записуються до лікарів, отримують скерування, переглядають медичну картку, а лікарі проглядають і адмініструють записи пацієнтів, дивляться історію хвороби, видають скерування.

МІС зазвичай створюють юридичні особи чи ФОПи, які відповідають технічним вимогам, пройшли перевірку на сумісність з ЦБД, а також підписали договір з держпідприємством “Електронне здоров’я”, яке є адміністратором бази даних. Серед відомих МІС: Helsi, Medcard24, Moniheal, Health24 та інші.

Коли до бази даних підключаються МІС, вони отримують доступ до реєстрів, але обробляти інформацію з них про конкретну особу вони можуть, якщо мають від неї згоду. Брати дані за власним бажанням сервіси не можуть.

Як в Україні працюють з персональними даними

Пацієнт може надавати лікарям чи третім особам право на доступ до персональних даних та іншої інформації, яка є в електронній системі охорони здоров’я: стан здоров’я, діагноз, відомості про обстеження тощо. Стаття 7 Закону України “Про захист персональних даних”, дозволяє обробку медичних даних людини для роботи електронної системи охорони здоров’я. Обробку можуть здійснювати:

  • медичні працівники;
  • співробітники медичного закладу; 
  • фізичні особи-підприємці, які мають ліцензію на медичну практику;
  • працівники, відповідальні за захист персональних даних у лікаря-підприємця;
  • співробітники Національної служби здоров’я України (НСЗУ), відповідальні за захист персональних даних.

Може виникнути питання чому МІС не входить до переліку осіб, які можуть обробляти медичні дані для функціонування eHealth? Пункт 1 ч. 2 цієї ж статті дозволяє обробляти чутливі дані, якщо на це є однозначна згода (пацієнта).

Згідно зі ст. 11 Закону, доступ до даних пацієнта, збережених у системі eHealth, можна отримати лише на підставі його згоди (або у крайніх випадках, на кшталт загрози життю, рішення суду тощо). НСЗУ може використовувати дані з системи eHealth для публікації на вебсайті, але у знеособленому вигляді (наприклад, статистика).

Інформація, розміщена в електронних медичних системах – це лікарська таємниця (факт відвідин лікаря, діагноз, методи лікування). Згідно з ч. 4 ст. 24 ЗУ “Про захист персональних даних”, лікарі повинні особисто забезпечувати захист персональних даних, якими вони володіють. 

Коли ми реєструємося в одній з електронних медичних систем, то надаємо юридичній особі доступ до: 

  • паспортних даних, ідентифікаційного коду;
  • місця реєстрації та проживання;
  • даних про декларацію з сімейним лікарем;
  • записів до лікарів, рецептів;
  • історії хвороби тощо. 

У липні 2021 року депутати зареєстрували у Верховній Раді новий законопроєкт “Про захист персональних даних”. Він містить низку змін і враховує законодавство Європейського Союзу. У проєкті конкретизовано, що дані про здоров’я належать до чутливих.

Що у світі кажуть про обробку медичних даних 

Європейський Союз

Одним із основних документів у сфері захисту персональних даних є Загальний регламент про захист даних (GDPR). Він відносить дані про здоров’я до спеціальної категорії, що потребує особливого захисту: обробка дозволена лише в інтересах самої особи для управління послугами та системами з охорони здоров’я

Стаття 9 Регламенту забороняє обробку спеціальних категорій даних, зокрема, медичних, окрім коли: є явна згода людини на обробку; особа оприлюднила ці дані сама; це життєво важливі інтереси, суспільний науковий інтерес чи захист від транскордонних загроз щодо здоров’я; для надання послуг у сфері охорони здоров’я чи соціального забезпечення тощо. 

Якщо в більшості випадків людина може вимагати знищення її персональних даних або ж відкликати дозвіл на їхню обробку, з даними у сфері охорони здоров’я таке право може не діяти. Наприклад, якщо інформація про інфекційне чи психічне захворювання певної людини може шкодити іншим, суспільству в цілому. 

США

У США захист персональних даних, пов’язаних із охороною здоров’я, регулює Акт про мобільність та відповідальність медичного страхування (HIPPA). 

Правила приватності HIPAA регулюють порядок обробки даних, визначають права організацій, які працюють з цими даними, а також суб’єктів персональних даних. Акт визначає випадки, у яких без дозволу суб’єкта медичних даних, їх можна обробляти: за вимогою закону; для громадських заходів з охорони здоров’я, праці, ідентифікації померлого; в розслідуваннях певних злочинів, судових процесах, та ін. Так, роботодавці можуть подавати запит до органів охорони здоров’я і отримувати інформацію про професійні травми працівника без його згоди. 

Аби відповідати HIPPA, організації повинні забезпечити конфіденційність, цілісність та доступність даних, проводити аналіз передбачуваних загроз та виявляти непередбачувані, захищати інформацію від незаконного втручання чи розкриття, а також забезпечити відповідність працівників вимогам роботи з даними. Обов’язковим є навчання медичного персоналу, до курсу якого входять: 

  • знання правил HIPAA;
  • знання прав пацієнтів;
  • вміння користуватися системами електронної охорони здоров’я;
  • правила безпеки при користуванні комп’ютером і програмами;
  • основи кібербезпеки;
  • обробка даних пацієнта в екстрених медичних випадках тощо.

Сінгапур

Тут діє Закон про захист персональних даних. Видано спеціальний посібник, який вчить дотримуватися норм цього закону у сфері охорони здоров’я та дає вичерпну інформацію щодо вимог захисту медичних даних:

  • організації, які працюють з даними, зобов’язані забезпечити належні умови для їхнього зберігання;
  • зберігаючи персональні дані, не можна застосовувати підхід “єдине рішення для всіх”. Мають бути різні підходи до захисту різних даних: н-д медичні дані потребують більшого захисту, додаткових пристосувань тощо. Якщо в певній сфері є більша загроза для даних людини — там має бути серйозніший підхід до захисту;
  • зберігання даних повинно тривати доти, доки це потрібно для надання певних послуг або виконання конкретного завдання. Потім їх слід знищувати, якщо немає винятків. Організація, яка працює з даними, повинна переглядати необхідність збереження тих чи інших даних. 

Закон виділяє випадки, коли дані можна обробляти без дозволу особи: 

  • особі або ж іншим загрожує небезпека, а отримати згоду неможливо; 
  • у національних інтересах; 
  • для архівних та історичних цілей, 
  • якщо дані не надто чутливі; 
  • для використання в новинах; 
  • для стягнення заборгованості; 
  • для захисту здоров’я громадськості та багато іншого. 

Пункти виписані з приміткою “залежно від випадку” — необхідність обробки даних без згоди повинна зважуватися індивідуально.

Рекомендації

Є рекомендації, які поширюються на країни-члени Ради Європи (серед них Україна) щодо правил збирання, обробки, зберігання медичних персональних даних. Згідно з Рекомендацією CM/Rec(2019)2 Ради Європи щодо захисту даних, пов’язаних зі здоров’ям, системні можливості пристроїв (сховищ), на яких зберігаються дані, повинні бути максимально пристосовані для цього. 

Також має діяти постійний моніторинг і контроль за доступом до даних, а держави повинні забезпечити нормативні вимоги до процедури збору, збереження та відновлення даних. Окрім того, співробітники медичних закладів, а також інші особи, які обробляють дані, мають відповідати спеціальним професійним якостям і дотримуватися нерозголошення.

Що не так з угодами українських медичних сервісів про обробку 

Для реєстрації в електронній медичній системі користувач повинен прийняти угоду між користувачем і системою та дати згоду на обробку персональних даних. Ці угоди – дозвіл, який ми даємо медсервісам для роботи з нашими даними. 

Ми проаналізували їх, щоб розібратися в плюсах і мінусах.

Реєстрація в медичному сервісі

Зазвичай пацієнт реєструється в електронній медичній системі за допомогою номеру мобільного телефону (він же часто слугує і для автентифікації), а також вносить персональні дані (ім’я, прізвище, дата народження, стать, адреса проживання, паспортні дані). Реєструватися можна як самостійно, так і через лікаря. У Технічних вимогах до МІС, вказано, що лікар може проводити автентифікацію через СМС пацієнту або через документи пацієнта.

Деякі сервіси, наприклад, Health24, дозволяють реєструватися і входити до особистого кабінету за допомогою електронної пошти. 

Сервіс Medcard24 у своїй угоді вказує, що “обрані Користувачем Логін (зареєстрований номер телефону) і Пароль є достатньою інформацією для доступу Користувача на Сайт”. Підтвердження входу через СМС може бути необов’язковим. При вході до Helsi достатньо ввести вигаданий раніше пароль.

В угодах зазначено, що користувач сервісу відповідає за свою частину безпеки даних: не передає нікому пароль і логін, користується антивірусом тощо. Але чи не ліпше удосконалити порядок реєстрації й автентифікації на медсервісах? Адже навіть у разі помилок з боку користувача, можна уникнути неприємностей. 

Наприклад, юридична компанія Legal Support у вересні 2021 року описала досвід одного зі своїх юристів. Він зареєструвався за власним номером телефону в системі Helsi для запису на вакцинацію, але побачив у його акаунті інформацію про зовсім іншу людину. Юристу розкрилися її персональні дані. Він підозрював, що і його дані могли розкритися для когось. Такі проблеми можуть виникати через внесення помилкових даних у систему з боку лікарів при реєстрації пацієнта у медсервісі. Вдосконалена автентифікація могла б цьому запобігти. 

В Естонії з 2008 року діє електронна система охорони здоров’я.. Пацієнт і лікар мають доступ до електронної системи виключно з ідентифікатором особи (персональним ID-паспортом). Це зводить до мінімуму можливість таких помилок, про які ми писали вище. Ідентифікація пацієнта через ID-картку чи мобільний ID передбачена естонським законодавством про Медичні інформаційні системи. 

Чому б в Україні не використовувати сервіс “Дія” під час реєстрації особи в медичних сервісах? Або, якщо говорити про людей, які не користуються “Дією” – при реєстрації СМС-підтвердження можна замінити іншими способами автентифікації. Це могло б врятувати від незаконного розповсюдження персональних даних.

Які дані обробляє медичний сервіс?

Будь-яка людина повинна знати про те, які дані про неї збирають. Стаття 12 Закону “Про захист персональних даних” передбачає, що суб’єкту даних повідомляють про склад і зміст даних під час збирання. Тож в усіх без винятку угодах повинен бути перелік даних, що збираються. 

Загалом усі сервіси збирають приблизно однакові дані, проте в угодах про це написано по-різному. І не завжди чітко і вичерпно. 

Сервіс Helsi зазначає, що збирає як загальні дані про особу (ім’я, адреса проживання, паспортні дані тощо) так і чутливі дані, які стосуються стану здоров’я. Medcard24 збирає загальні дані, проте не конкретизує які, а відсилає до Закону “Про захист персональних даних”. Водночас, чітко прописано, що сервіс збирає дані, що містять лікарську таємницю: факт звернення до лікаря, медичні послуги, препарати, які необхідні чи можуть такими бути для пацієнта тощо. 

А ось з сервісом Health24 складніше. В угоді чітко вказано на загальні дані, які збираються. Проте жодного слова про медичні дані. Хоча сервіс призначений як для лікарів, так і для пацієнтів, на ньому є можливість записатися на прийом до лікаря, тож факт запису і звернення сервіс обробляє. А це лікарська таємниця

Сервіс Askep також має проблеми. У розділі щодо даних, які збирає сервіс, написано: “Аскеп збирає дані, щоб ефективно керувати своїми продуктами та надавати вам найкращі можливості для роботи з ними. Деякі дані ви надаєте напряму, наприклад, коли створюєте обліковий запис в системі Аскеп, адмініструєте обліковий запис, надсилаєте на eHealth інформацію про заклад, лікаря, пацієнта, декларації”. Це аж ніяк не можна вважати інформуванням користувачів про зміст і склад даних, які збираються. 

У новому законопроєкті “Про захист персональних даних” питанню поінформованості суб’єкта приділено більше уваги. Зокрема, інформація про зміст і склад даних повинна буде викладатися “у доступний спосіб та зрозумілою мовою, які забезпечують її ясність та зрозумілість для відповідних суб’єктів персональних даних”. Це корелюється і зі стандартами ЄС. 

Медсервіси повинні доопрацювати свої угоди, аби пацієнт, який реєструється в сервісі, чітко розумів що саме про нього буде знати сервіс. 

Кому медсервіси передають дані? 

Медичні сервіси є посередниками між пацієнтом і системою охорони здоров’я. Вони обмінюються даними між лікарями, клініками, органами охорони здоров’я з одного боку і пацієнтами з іншого. Закон “Про захист персональних даних” передбачає обов’язок у момент збору повідомляти суб’єкту даних інформацію, кому передаються його дані. Що стосується передачі даних без згоди, то це можливо лише у визначених законом випадках і тільки в інтересах нацбезпеки, економічного добробуту та прав людини (наприклад, в рамках кримінального провадження чи для порятунку людини, яка перебуває в небезпеці). 

Кожен медсервіс повинен в угодах з користувачем зазначити цю інформацію. На практиці, такі зазначення дійсно є, проте вони не завжди є чіткими та вичерпними. Розглянемо приклади українських МІС. 

Helsi дає вичерпний список суб’єктів, яким може передавати дані користувача: володільці, які ведуть медичні реєстри або інші реєстри, куди має бути передана відповідна інформація, медзакладам та лікарям, тим, кому сам користувач дозволив доступ до даних. Також вказано, що медзаклади, які використовують Helsi, можуть передавати дані контролюючим органам, згідно з законодавством. Такий самий перелік надає і сервіс Health24. 

Сервіс Medcard24 не містить переліку. В умовах обробки персональних даних зазначено, що сервіс має право передавати персональні дані, а користувач має право отримувати інформацію про третіх осіб, яким вони передаються. Закон не вимагає чіткого переліку осіб, яким дані передаються, адже можливі випадки, коли в інтересах слідства, суспільних інтересів орган терміново вимагає доступу до чужих даних. Проте сервіс навіть не окреслює можливі категорії осіб, яким дані можуть передаватися. У Типовому порядку обробки персональних даних Уповноваженого з прав людини йдеться про те, що володілець даних, яким Medcard24 і є, визначає саме перелік третіх осіб, яким можуть бути передані. Тож такий перелік має бути в угоді. 

Суперечливі умови містяться і в політиці приватності медичної інформаційної системи Moniheal, яка налагоджує комунікацію пацієнта з лікарями та моніторить стан здоров’я. Угода з цією МІС передбачає, що система може “розкривати деякі ваші персональні дані” не лише органам, які мають право законно вимагати дані (органи слідства, прокуратури, суди), а й на вимогу “посадових осіб будь-якого державного органу, або якщо ми вважаємо, що розкриття необхідне або доцільне для запобігання заподіянню шкоди здоров’ю або фінансових збитків”. 

Це суперечить практиці Європейського суду з прав людини. Згідно з рішенням у справі Gardel v. France, доступ до персональних даних у реєстрах можуть отримувати тільки ті публічні службовці, які несуть офіційний обов’язок зберігати конфіденційність інформації. Ніяк не “будь-які”. До того ж такий доступ повинен здійснюватися лише з конкретною законною метою (слідство, захист населення, державна безпека тощо). 

Також Moniheal залишає за собою право передати “будь-які наявні у нас ваші персональні дані у разі повного або часткового продажу або передачі Товариства чи його активів”. Відтак, обіцяють “докласти розумних зусиль”, щоб правонаступник використовував дані за тими ж правилами. 

Якщо дані пацієнтів оброблятиме правонаступник без згоди суб’єкта даних і не у визначений спосіб, це вважатиметься порушенням.

Де зберігаються дані?

Не всі медичні сервіси зберігають дані самостійно. Часто вони на підставі угод віддають дані на зберігання до хмарних сервісів. Тобто володільцями і розпорядниками залишаються медичні системи, але сам масив даних розташований у сховищах інших компаній. 

ЗУ “Про захист персональних даних” вимагає від володільців та розпорядників забезпечувати захист від незаконної обробки, доступу, витоку даних, втрати або знищення тощо. Закон України “Про захист інформації в інформаційно-телекомунікаційних системах” у ст. 8 зобов’язує здійснювати обробку даних з обмеженим доступом (це і медичні дані) виключно “в системі із застосуванням комплексної системи захисту інформації з підтвердженою відповідністю”. Ця відповідність, своєю чергою, повинна підтверджуватися позитивним висновком державної експертизи

Цим вимогам повинні відповідати організації, в яких технічно розміщені наші дані.

Відповідальність перед пацієнтами несуть саме медичні сервіси, адже з ними пацієнта укладає угоду. Вони повинні бути впевнені у спроможності хмарних сховищ. Наприклад, сервіс Health24 зберігає дані пацієнтів в організації ТОВ “ДЕ НОВО” і опублікував атестат відповідності організації на своєму сайті. Також в “ДЕ НОВО” зберігає дані медичний сервіс Medcard24. 

Helsi зберігає дані в Базі персональних даних “Хелсі”. Тобто медсервіс сам повинен відповідати переліченим вище вимогам і мати відповідні документи відповідності. На сайті компанії не вдалося знайти атестат відповідності, проте в реальності він є. На тендері Prozzoro сервіс опублікував файл атестату, датований 2020 роком. Так само свою базу даних має сервіс Infomed, на сайті якого розміщений й атестат відповідності. 

Закон “Про захист персональних даних” встановлює право людини знати про місцезнаходження персональних даних. Сервіс Askep, приміром, цієї вимоги не дотримується. У правилах конфіденційності зазначено, що дані зберігаються в хмарному сервісі, а організація, яка забезпечує хостинг, гарантує безпеку. Проте найменування компанії і юридичної адреси немає.

З юридичної точки зору, хмарні сервіси є розпорядниками даних пацієнтів, якщо в їхніх сховищах зберігаються такі дані. Адже мають право від імені володільця обробляти дані (зберігання вважається одним із видів обробки). Таким чином, на хмарний сервіс розповсюджуються обов’язки розпорядника. Тож хмарний сервіс повинен відповідати тим же вимогам щодо захисту даних, що й МІС. Проте, перед пацієнтами відповідає саме медичний сервіс, який має переконатися, що хмарний сервіс є надійним, сертифікованим, експертним тощо. 

Сповіщення, спам і cookie

Медичні сервіси повинні мати способи комунікації з користувачами. Так само вони мають право на легальний маркетинг, який не шкодить користувачеві. 

Медсистеми мають розбіжності щодо правил маркетингу. Так, і Helsi, і Medcard24 передбачають надсилання СМС і листів на електронну пошту безвідносно до бажання користувача. Погодився користуватися сервісом – погодився на розсилку. В умовах користування сервісу Askep чітко вказано: “Завжди можна вибрати, чи ви бажаєте отримувати рекламні повідомлення електронної пошти, SMS, телефонні дзвінки та звичайні листи від Аскеп”. 

В угоді сервісу Moniheal передбачено, що пацієнту можуть приходити повідомлення про транзакції, передбачено чат з лікарем, що користувачу приходитимуть підтвердження бронювання тощо. Під час користування додатком Moniheal з функцією надсилання повідомлень, додаток може надсилати ті сповіщення, на які надано згоду. Користувач може відмовитися від рекламних листів.

Це дає можливість відмовитися від використання персональних даних в маркетингових цілях. Така політика відповідає європейським стандартам, її також пропонують ввести і в українське законодавство у новому законопроєкті про персональні дані.

Слід зазначати чітку політику сповіщень, аби користувач знав як вберегтися від спаму. В Україні діє новий Закон “Про електронні комунікації”, який визначив поняття спаму і встановив заборону на нього. Конкретної відповідальності за спам не передбачено, проте Національна комісія, що здійснює державне регулювання у сферах електронних комунікацій, радіочастотного спектра та надання послуг поштового зв’язку, зможе вимагати припинити порушення. За невиконання розпоряджень комісії може загрожувати від 0,1 до 0,3% доходу організації, яка надає комунікаційні послуги. Звертатися щодо спаму також можна до цієї комісії (хоча спочатку бажано звернутися до того, хто спам надсилає, якщо це можливо). 

Чинні Закони “Про захист прав споживачів” та “Про електронну комерцію” дещо суперечать одне одному: перший забороняє розсилку без згоди, а другий – дозволяє, проте з умовою, що користувач може відмовитися. 

У світі ж розповсюджена протидія спаму . У 2007 році ЄСПЛ у справі Muscio v. Italy визнав спам втручанням в особисте життя і допустив, що особа може звертатися з позовом про відшкодування через шкоду від спаму. Окремо спам регулюється в США (CAN-SPAM Act), на рівні ЄС (GDPR і ePrivacy Directive), в конкретних країнах (наприклад, PECR у Великій Британії). 

Медсервіси використовують cookie. Це файли, які завантажуються у браузер користувача і запам’ятовують його дії на різних сайтах, дані, які користувач вводить на сторінці. Так організації дізнаються про вподобання, тенденції, створюють статистику, використовуючи це для покращення сервісу, зручності користувача. Українське законодавство не регулює ці файли, проте повідомляти про них, як і про будь-яку іншу обробку даних, організації зобов’язані. Детальніше про cookie – в аналітиці ЦЕДЕМ щодо cookies та приватності.

Сервіс Askep попереджає, що використовує файли cookie, зокрема для реклами на основі інтересів, проте одразу вказує, що за допомогою інструментів браузера ці файли можна видаляти або блокувати. Helsi використовує їх для збирання статистики, проте їх також можна вимкнути за бажання.

Сервіс Health24 також використовує cookie і має окрему угоду про їх використання. Вказано, що ці файли можна вимкнути, проте в такому разі може зникнути доступ до певних функцій. Річ у тім, що деякі cookie потрібні для функціонування сайту, наприклад, для збереження у кошику товарів. А от маркетингові cookie не впливають на роботу сервісів, тож їх вимкнення нічим не загрожує і повинне бути передбачене на сайті сервісу. 

Доступність угод для користувача

Згода на обробку персональних даних передбачає поінформованість суб’єкта даних. Пацієнт, перед тим як дати згоду медичним сервісам на обробку даних, повинен розуміти мету обробки, склад і зміст даних, дії з ними тощо. Важливим аспектом є доступність угод для звичайного користувача а саме текст угоди та її розташування на сайті. 

Helsi та Moniheal розмістили угоди у доступних місцях, написані вони не складною юридичною мовою з урахуванням усіх необхідних термінів і понять.

Чого не скажеш про Askep, угоду якого легко знайти, проте немає чіткого переліку дій з даними, третіх осіб, яким можуть бути передані дані. Хоч текст і простий, проте він дуже поверхневий і не дає достатнього розуміння прав і обов’язків користувача. 

Сервіси Medcard24 і Health24 мають формалізований підхід до угоди з користувачем. Мова юридична, багато цитувань законодавства, що може бути складно для сприйняття. Але такий формат все одно є прийнятним і широко застосовним у публічних офертах. 

На сайті “МедІнфоСервіс” не вдалося знайти правил конфіденційності і публічної оферти. Є лише експертний висновок щодо належного захисту інформації. Для користування сервісом його треба завантажувати на комп’ютер. Можливо, у додатку є інформація про умови користування, проте перевірити це можна тільки після отримання спеціального ключа для входу. Користувач не може дізнатися про правила конфіденційності, свої права та обов’язки заздалегідь. 

Не всі медичні сервіси забезпечують доступність своїх публічних угод з користувачем. Важливо, щоб користувач до реєстрації розумів, на що підписується. 

Доступ людини до своїх даних на сервісі

За правилами як міжнародних актів (наприклад, Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних), так і українського закону про персональні дані, кожна людина повинна мати доступ до своїх даних, які вона надала державі, сервісу, роботодавцеві. І відстрочення такого доступу – недопустиме. Окрім доступу, особа може надсилати запит на зміну (наприклад, виправлення чи доповнення) чи знищення своїх даних, відкликати згоду на обробку даних, а також вимагати інформацію про третіх осіб, яким могли надати доступ до даних. 

Усі ці права прописані і в угодах з медичними інформаційними системами, адже обмежити доступ людини до даних, тим більше чутливих, означає порушити закон. 

Як на практиці відбувається комунікація з медичними сервісами щодо доступу людини до своїх же даних?

Український медіакритик і журналіст Отар Довженко розповів у Facebook, що зареєструвавшись у сервісі Helsi, він помітив, що за його номером зареєстрована інша людина. Отар надіслав повідомлення адміністрації. У відповіді йшлося про завантаженість системи через “велику кількість звернень” і надано кілька кроків для вирішення проблемних питань. За його словами, ситуацію вдалося виправити за допомогою сімейного лікаря. Але чому доступ пацієнта до власних персональних даних для виправлення чи зміни настільки ускладнений? Судячи з коментарів до допису Довженка, така проблема доволі поширена. І виправити ситуацію зі своїми персональними даними через сам сервіс не завжди вдається. 

Про подібний випадок, але пов’язаний з вакцинацією, написав ще в жовтні психіатр і громадський діяч Сергій Глузман. За його словами, один чоловік не міг вакцинуватися від COVID-19 через блокування в системі Міністерства охорони здоров’я. Це сталося тому, що хтось подав через електронну систему заявку, яку так і не закрили. З незакритою заявкою внести особу до бази вакцинації неможливо, тож у низці клінік чоловікові не вдалося щепитися. В службі підтримки Helsi, через яку він і реєструвався на вакцинацію, відповідали лише, що система перевантажена. 

У коментарях під цим дописом одна з користувачок обурювалася, що в Helsi неможливо змінити номер телефону, хоча це часто змінні дані. На це співробітниця медичного сервісу відповіла їй, що зміна номеру відбувається у сімейного лікаря чи в медичному закладі. В угоді з Helsi на користувача покладається обов’язок “негайно повідомляти команду Helsi про втрату або зміну номеру телефону”. Тобто доступу до цих даних напряму через сервіс, немає. 

Користувачі фактично позбавлені невідкладного і зручного доступу до своїх даних, їхньої зміни, видалення тощо. І це з урахуванням того, що МІС бере на себе гарантію дотримання прав суб’єкта даних. 

Згідно з угодами, які приймає кожен, хто реєструється в МІС, ці медичні сервіси переважно є володільцями персональних даних користувачів, а також їхніми розпорядниками. Тобто вони визначають склад даних, мету і процедуру їх обробки, а також можуть обробляти їх. Отже на них, як на володільців і розпорядників покладаються обов’язки: 

  • забезпечувати доступ до даних;
  • надавати можливість змінити дані чи відкликати згоду на їхню обробку;
  • повідомляти про дії з персональними даними, передачу їх третім особам;
  • забезпечувати захист даних тощо.

Якщо технічні або інші можливості не дають медичному сервісу виконувати ці обов’язки (наприклад, коли номер телефону можна змінити тільки через лікаря), то це не є проблемою чи клопотом користувача сервісу. Це клопіт саме медичного сервісу. 

Помилки чи некоректна інформація в реєстрах можуть негативно впливати на комфортне життя людини. Про це йдеться у рішенні ЄСПЛ у справі Khelili v. Switzerland, в якій поліція без жодних доказів охрестила жінку повією у своїх комп’ютерних обліках “для профілактики”, не бажаючи видаляти ці дані. 

А якщо, наприклад, через помилку у медичному сервісі за людиною закріпиться діагноз, пов’язаний з небезпечними хворобами чи психічними розладами. А потім ця інформація якимось чином проявиться назагал? В одному з матеріалів на сайті “ТСН.ua” йдеться про візит людини до психіатра, якого насправді не було. Матір пацієнта переймається тим, що цей візит залишиться в історії і може, гіпотетично, вплинути на працевлаштування у певних органах.

Якщо відбудеться витік

Медичні дані є цінними. Володіючи інформацією про здоров’я людей, з’являється можливість збільшити прибутки у фармацевтиці, рекламному бізнесі, сфері медичних послуг. Можна тиснути на конкретних осіб, погрожувати розкриттям сенситивних даних тощо. Тому така інформація є цінною для кіберзлочинців. 

На початку 2021 року у Франції стався витік даних майже півмільйона пацієнтів: їхні імена, адреси, номери телефонів, стан здоров’я, вагітність, проблеми з фертильністю, ВІЛ-позитивний статус. Інформація ходила в групах месенджеру Telegram, де продавалися за допомогою зашифрованих повідомлень. 

У Сполучених Штатах витоки медичних даних відбуваються періодично. 2015 року зловмисники отримали доступ до серверу компанії Medical Informatics Engineering, яка створює програмне забезпечення для онлайн-записів у сфері охорони здоров’я. Постраждали близько 3,9 млн людей, чиї персональні дані стали доступними, зокрема й діагнози. У 2019 році компанія погодилася сплатити $100 тисяч штрафу за порушення HIPAA. Йдеться про недостатній аналіз ризиків для конфіденційності з боку Medical Informatics Engineering. 

На думку спеціаліста у сфері IT Пола Робертса, підвищений “попит” на незаконний доступ до медичної інформації у США з’явився після впровадження програми Obamacare, яка передбачає перенесення масиву паперових даних в електронний формат. Причинами можуть бути як незахищене передавання даних між медичними установами, так і їх незахищене зберігання. 

В Україні cеред відомих випадків був витік даних пацієнтів однієї з найбільших клінік Дніпра, причиною якого були помилки в системах самого закладу. 

Хто відповідає за витік медичних даних? За законом “Про захист персональних даних”, як володілець, так і розпорядник відповідають за захист і безпеку даних в межах своїх обов’язків (це стосується медсервісів, хмарних сервісів, органів влади). Вони повинні мати атестати відповідності, позитивні висновки експертиз, про що вже йшлося. Згідно з законом “Про захист інформації в інформаційно-телекомунікаційних мережах”, володільці і розпорядники повинні повідомляти Державну службу зв’язку та захисту інформації або підпорядкований регіональний орган про кожну спробу незаконного доступу до даних. Вони також зобов’язані повідомляти Уповноваженого Верховної Ради з прав людини про початок обробки даних, які становлять особливі ризики для людини.

Стаття 188-39 Кодексу України про адміністративні правопорушення передбачає відповідальність за порушення правил роботи з персональними даними, неповідомлення Уповноваженого про обробку ризикованих даних, невиконання вимог Уповноваженого. 

Але в Україні немає сталої практики щодо притягнення до відповідальності організацій за порушення у сфері персональних даних. Так само немає й суворої відповідальності, як, наприклад, в ЄС. GDPR встановлює для всього Європейського Союзу можливість штрафувати порушників на суми до 20 млн євро або ж до 4% річного обігу компанії. І прецеденти таких санкцій вже є: у Франції за порушення щодо cookie-файлів оштрафували Google на майже €100 млн, а в Німеччині за порушення GDPR (стеження за співробітниками) на понад €35 млн оштрафували компанію H&M. 

В Україні за порушення закону про захист персональних даних винним загрожує максимум 34 тис. грн штрафу. Медичні сервіси також можуть відключити від системи охорони здоров’я. Проте чи пропорційно це тим катастрофічним наслідкам, які можуть мати витоки чутливої інформації? І чи сприяє це відповідальності володільців і розпорядників? 

Кожен, хто постраждав від витоку, може звернутися до суду з цивільним позовом про відшкодування шкоди, зокрема моральної. Верховний Суд України 2017 року наголосив, що факт розповсюдження персональних даних презюмує моральну шкоду і позивач не зобов’язаний це доводити. Навпаки, відповідачі повинні довести протилежне. 

Але якщо медична система, наприклад, не проаналізувала ризики і не встановила актуальні заходи захисту? Чи вважатиметься проникнення кіберзлочинців до її баз даних виною самого медичного сервісу? У розумінні українського законодавства – ні. Проте у світі аналіз ризиків є обов’язковим. 

Людський фактор? Під час користування електронними медичними системами часто виникають помилки і плутанина, яка загрожує і лікарській таємниці, і захисту персональних даних. Зважаючи на те, що найвідомішою і наймедійнішою медичною системою є Helsi, найбільше повідомлень про такі проблеми стосуються саме її.

Судячи з того, що записами і скеруваннями керують лікарі, а також зі слів співробітниці Helsi, формально ці помилки допускають саме вони. Важливо розуміти, що окрім медичних систем та операторів баз даних, лікарі, як професіонали, також несуть відповідальність за захист персональних даних пацієнтів. Про це говорить Рада Європи у Рекомендації CM/Rec(2019)2 щодо захисту медичних даних: “медичні працівники повинні вжити всіх необхідних заходів для забезпечення поваги до ефективного здійснення таких прав (на захист персональних даних – ред.) в рамках їхньої професійної етики”. 

Але саме з медичним сервісом пацієнт укладає публічну угоду. Тож за все, що відбувається в рамках цієї системи, цивільну відповідальність перед користувачем несе сама МІС (наприклад, відшкодування). Якщо МІС вважатиме, що помилка сталася через лікаря, адміністратора лікарні абощо, то може вимагати в них кошти, які відшкодувала користувачеві.

Щодо адміністративної відповідальності за недотримання правил захисту персональних даних, її повинен нести лише той, хто безпосередньо завинив. За статтею 40 Закону “Основи законодавства України про охорону здоров’я”, медичні працівники не мають права розголошувати лікарську таємницю (хвороба, факт обстеження, огляду, результати аналізів тощо). А частина 4 статті 24 Закону “Про захист персональних даних” зобов’язує лікарів особисто забезпечувати захист персональних даних, якими вони володіють. Під час підписання декларації з сімейним лікарем пацієнт дає згоду на обробку даних. Тож порушення з боку лікаря можуть тягнути за собою адміністративну відповідальність за статтею 188-39 КУпАП (до 34 тисяч грн штрафу). 

Обов’язок лікарів щодо захисту даних опосередковано визнав суд у справі №369/9563/20 щодо вчинення адміністративного правопорушення. Медичний центр відмовився надати інформацію про здоров’я особи на адвокатський запит, адже не було згоди пацієнта чи його батьків. Посилаючись на законодавство про лікарську таємницю, суд дійшов до висновку, що медичний центр вчинив правильно. З цього рішення випливає, що якби центр вчинив інакше, він міг би відповідати перед законом за розголошення даних пацієнта без згоди. 

Варто зауважити, що кримінальна відповідальність щодо розкриття лікарської таємниці настає лише у разі умисних дій медпрацівника і за наявності тяжких наслідків. Або якщо розкрито інформацію про обстеження людини на ВІЛ або СНІД. 

Всесвітня організація охорони здоров’я у своєму посібнику щодо захисту персональних даних у медичній сфері наголошує на необхідності навчати як пацієнтів, так і медичний персонал особливостям захисту даних. По-перше, ВООЗ вважає необхідним навчання щодо захисту з управління даними всіх лікарів, які працюватимуть з медичними електронними системами. По-друге, лікарям, які вже давно закінчили заклади вищої освіти, треба обов’язково підвищувати кваліфікацію в цьому напрямі. 

Міністерство охорони здоров’я має програми безперервного професійного розвитку медичних працівників. 

Висновки

Електронна система охорони здоров’я – важлива і необхідна в сучасному світі. Водночас, ризики для населення чималі, адже електронні медичні інформаційні системи збирають наші найчутливіші дані, тож помилки в роботі можуть мати для когось критичні наслідки. 

В Україні поки що не зафіксовано масових зливів медичних даних або катастрофічних помилок, пов’язаних з електронною системою охорони здоров’я. Але, можливо, одна з причин у тому, що система працює не на повну. Далеко не всі результати відвідин лікарень фіксуються в ній, аналізи і діагностика зазвичай проводять у окремому порядку з паперовими результатами або повідомленнями на електронну пошту. 

Подальший розвиток електронної системи може збільшити попит на незаконні дії з медичними даними. Це показує практика інших розвинених країн, де викрадення і зливи є звичною справою. 

Загальні рекомендації

З огляду на все, що ми розглянули вище, можна виокремити низку порад і рекомендацій. 

  1. Законодавство про персональні дані варто привести у відповідність з сучасними викликами і європейськими стандартами. У Верховній Раді ще влітку 2021 зареєстрований відповідний законопроєкт. Він пропонує збільшення штрафів до мільйонів гривень; вводить поняття технології відстеження поведінки (cookie), профілювання (створення такого собі портрета людини в мережі), оцінки ризиків для суб’єкта даних та ін. 
  2. Освіта й підвищення кваліфікації медичних працівників повинні бути на найвищому рівні. Відповідальні органи влади мають створювати програми, актуальні на певний відрізок часу і оновлювати їх постійно. Захист персональних даних повинен бути одним із обов’язкових освітніх модулів, а його проходження має передбачати бездоганне вирішення практичних завдань і симуляцій. 

Також необхідно створювати додаткові роз’яснення і посібники щодо захисту медичних даних.

Медичні системи повинні бути зацікавленими в тому, щоб медичні заклади, які з ними працюють, мінімізували помилки у користуванні сервісом зі свого боку. А тому доцільно було б періодично проводити тренінги, воркшопи, лекції для персоналу закладів, підключених до тієї чи іншої інформаційної системи. Сервіс Helsi, наприклад, має навчальний портал.

  1. Медичні сервіси повинні привести у відповідність до чинного законодавства публічні оферти і умови конфіденційності. Там обов’язково повинні бути вказані відомості, передбачені договором з НСЗУ: 

1) ким та з якою метою будуть оброблятися персональні дані;

2) кому та за яких умов будуть передаватися;

3) які саме дані будуть передаватися та/або оброблятися;

4) права, визначені ч. 2 ст. 12 ЗУ «Про захист персональних даних».

Ці відомості мають бути надані користувачу у доступному вигляді, не повинні бути приховані в низці розділів і підрозділів сайту. 

  1. Безпека даних повинна покращуватися. В Україні вже давно можна користуватися як мобільним ID, так і цифровими ключами та іншими засобами. 
  2. Користувачі мають відповідально ставитися до вибору медсистеми і уважно проаналізувати умови (детальніше в інфографіці).

  • уважно ознайомитися з публічною офертою (які права матиме користувач і сервіс, які дані обробляються і кому передаються);
  • впевнитися, що захист входу в систему є надійним (сильний пароль, двофакторна аутентифікація за можливості, СМС-підтвердження кожного входу в систему);
  • знайти і зафіксувати контакти сервісу: телефон для зв’язку, електронну пошту (хоча краще телефон), чати в месенджерах тощо. Якщо сервіс не надає чітких контактних даних, пацієнт може опинитися у складному становищі у разі помилок. Наприклад, тривалий час не зможе записатися до лікаря чи змінити свої дані в системі.