Цифровая гигиена: персональные данные в медицине

Это завершающая статья нашего цикла, посвященная персональным данным. Тем, кто не читал предыдущие, рекомендую: Мы и наши персональные данные и Индивидуальный идентификационный номер.

В 2019 году в ходе цифровизации медицины начал свою работу проект «Электронный паспорт здоровья». Постепенно к весне 2020 года электронные паспорта здоровья, со слов министра здравоохранения РК Елжана Биртанова, были сформированы для всех казахстанцев. Доступ к ним граждане могут получить, например, из мобильного приложения eGov mobile (iOS, Android).

В конце декабря 2019 года было принято постановление правительства Республики Казахстан от 26 декабря 2019 года № 982 «Об утверждении Государственной программы развития здравоохранения Республики Казахстан на 2020–2025 годы». По сути, это основной документ, описывающий развитие здравоохранения в нашей стране на ближайшие пять лет. Одно из девяти основных направлений программы посвящено цифровизации — созданию единого пространства цифрового здравоохранения. Упомянут там и электронный паспорт здоровья (ЭПЗ).

Почему я об этом говорю? Только представьте ценность информации по каждому гражданину:

— полное имя;
— ИИН;
— дата рождения;
— адрес регистрации (чаще всего, он же и адрес проживания);
— поставщик первичных медицинских услуг (поликлиника), с указанием участка и полным именем участкового врача;
— информация о выписанных рецептах, с указанием лекарственных средств;
— данные о диспансерном учете, с указанием диагноза;
— данные о госпитализации, с указанием диагноза.

На ранних этапах реализации ЭПЗ говорилось, что и результаты анализов также будут заноситься туда. Но сейчас я этого не вижу. Возможно, эту информацию добавят позже. Утверждается, что все данные надежно защищены и информация из ЭПЗ будет доступна лечащему врачу исключительно с согласия пациента. А несанкционированный доступ к таким данным — уголовно наказуемое деяние.

Почему я весьма скептически отношусь к таким заявлениям? Приведу три примера, сразу всплывающих в памяти, как только я слышу подобные заявления:

— утечка персональных данных 11 миллионов избирателей Республики Казахстан;
— утечка медицинской информации пациентов из Damumed;
— утечка данных граждан, контактировавших с больной Covid-19.

В первом случае МВД РК прекратило производство по уголовному делу с формулировкой «в ходе расследования в сети интернет указанные сведения с данными гражданами РК не обнаружены».

Во втором наличие уязвимости признали, но сообщили, что «утечка ограничилась скачиванием двенадцати результатов, семь из которых были опубликованы в Facebook».

В третьем заявляется, что инцидент произошел случайно. Понес ли кто-нибудь наказание за эту «случайность», мне неизвестно.

Вы скажете, что сейчас, возможно, даже проще получить несанкционированный доступ к медицинским персональным данным, действуя, например, через первичного поставщика медицинских услуг (бумажная амбулаторная карта в поликлинике). Да, наверное, это так для одного отдельного случая. Но, как я упоминал в первой статье про персональные данные, с переводом баз данных в электронный вид стало гораздо удобнее получать несанкционированный доступ к большому числу данных добропорядочных граждан, в том числе — персональных. Скачать базу данных, содержащую миллионы записей, в электронном виде заметно проще, чем переписывать ее вручную или делать бумажные копии.

Если утечка из базы данных ЭПЗ будет всего одна, но утекут все данные, как в случае с избирателями, последствия могут быть устрашающие. Не для всех, конечно, но тем, кого затронет, мало не покажется. Тут возможен и шантаж (например, положительные результаты анализов на ИППП), и травля (например, ВИЧ), и сомнительные предложения к тем, кому уже нечего терять (например, онкология на завершающей стадии). И это только первое, что приходит в голову. Уверен, пытливые умы придумают массу способов незаконного обогащения либо иного использования этой информации в своих корыстных целях.

Считаю, что у граждан должно быть право на запрет сбора, хранения и обработки своих медицинских персональных данных в любых информационных системах, как государственных, так и частных.

Ну, а сейчас единственный законный способ не дать пополнять своими медицинскими персональными данными электронный паспорт здоровья — не болеть. Чего вам и желаю.