У омбудсмена назвали самую большую угрозу для безопасности персональных медицинских данных

Наибольшей угрозой для безопасности персональных данных в медицинской сфере является беспрецедентно большой массив информации о здоровье граждан, который хранится в одной базе данных, о чем свидетельствуют результаты проверки, проведенной Секретариатом уполномоченного по правам человека.

Об этом во время круглого стола на тему «Цифровая трансформация и кибербезопасность в системе здравоохранения Украины» заявила представитель уполномоченного в сфере защиты персональных данных Инна Берназюк, сообщает корреспондент Укринформа.

«Секретариатом уполномоченного в 2019 -2020 годах был проведен ряд проверок на соблюдение права на приватность, а именно: нами было проверено ГП «Электронное здоровье», которое является администратором Центральной базы данных, НСЗУ, обеспечивающей функционирование самой электронной системы здравоохранения, также были осуществлены 4 проверки Медицинских информационных систем (МИС) и проверены 3 учреждения здравоохранения.

По результатам проверок установлены недостатки, выявлены риски обработки персональных данных и функционирования электронной системы здравоохранения.

В частности, наибольшими угрозами безопасности персональных данных, по нашему мнению, является беспрецедентно большой массив данных о здоровье, хранящийся в одной базе данных», - рассказала Берназюк.

Она привела пример коллег из Эстонии, где медицинские данные пациентов хранятся в нескольких базах данных, которые территориально расположены в разных местах страны, на разных серверах, каждый из которых имеет свою отдельную систему защиты, которая позволяет защитить от утечки чувствительные данные, ведь речь идет о диагнозах, о данных медицинских исследований, сведениях о назначенных лекарствах, о листах нетрудоспособности и пр.

«Хранение и обработка такого количества сведений о здоровье в одной базе, которая расположена территориально в одном месте, помимо пользы, предполагает значительный риск злоупотреблений.

Если будет одна кибератака и она будет успешно осуществлена, то "полетит" вся база данных.

По нашему мнению, это один из самых больших рисков», - считает представитель уполномоченного по вопросам защиты персональных данных.

Среди последствий возможной кибератаки Берназюк назвала: утечку данных и их неправомерное разглашение, использование незаконно полученных сведений с целью шантажа.

Также могут использоваться сведения о пациенте и изменениях в состоянии здоровья для продажи медицинских препаратов или предлагаться услуги, которые не нужны пациенту, убеждена она.

«Наиболее вероятными факторами, которые могут привести к утечке или незаконному использованию данных, является несовершенство технической защиты Электронной системы здравоохранения - как самой центральной базы, так и подключенных к ней электронных Медицинских информационных систем (МИС)», - заявила Берназюк, добавив, что эта проблема требует отдельной дополнительной отработки и усиления ответственности на законодательном уровне.

Еще одной угрозой, по ее мнению, является отсутствие контроля со стороны государства за деятельностью частных компаний, в частности за операторами МИС.

Во время проверок было установлено, что часть МИСов обеспечивает обмен данными с центральной базой через серверы операторов МИС, так называемые «облачные» МИСы, при этом сведения о пациентах хранятся на серверах операторов МИС, которые являются субъектом частной собственности и на которые Минздрав фактически не имеет никакого влияния.

«По нашему мнению, существует необходимость отработки действенного механизма контроля за соблюдением операторами МИС, которые подключены к центральной базе, требований по защите персональных данных, в частности, в части информированного и добровольного согласия пациента на обработку его персональных данных операторами МИС, которые в том числе регулируются в договоре с ГП «Электронное здоровье», - считает Берназюк.

Она также сообщила, что по результатам проверок уполномоченным в сфере защиты персональных данных было направлено предписание Министру здравоохранения и некоторые из рекомендаций были учтены.

В то же время Берназюк предложила экспертной среде сосредоточиться на разработке законодательных и регуляторных актов, которые позволят решить озвученные проблемы.