У омбудсмена назвали самую большую угрозу для безопасности персональных медицинских данных
15.07.2020 17:10
Укринформ
Наибольшей угрозой для безопасности персональных данных в медицинской сфере является беспрецедентно большой массив информации о здоровье граждан, который хранится в одной базе данных, о чем свидетельствуют результаты проверки, проведенной Секретариатом уполномоченного по правам человека.
Об этом во время круглого стола на тему «Цифровая трансформация и кибербезопасность в системе здравоохранения Украины» заявила представитель уполномоченного в сфере защиты персональных данных Инна Берназюк, сообщает корреспондент Укринформа.
«Секретариатом уполномоченного в 2019 -2020 годах был проведен ряд проверок на соблюдение права на приватность, а именно: нами было проверено ГП «Электронное здоровье», которое является администратором Центральной базы данных, НСЗУ, обеспечивающей функционирование самой электронной системы здравоохранения, также были осуществлены 4 проверки Медицинских информационных систем (МИС) и проверены 3 учреждения здравоохранения. По результатам проверок установлены недостатки, выявлены риски обработки персональных данных и функционирования электронной системы здравоохранения. В частности, наибольшими угрозами безопасности персональных данных, по нашему мнению, является беспрецедентно большой массив данных о здоровье, хранящийся в одной базе данных», — рассказала Берназюк.
Она привела пример коллег из Эстонии, где медицинские данные пациентов хранятся в нескольких базах данных, которые территориально расположены в разных местах страны, на разных серверах, каждый из которых имеет свою отдельную систему защиты, которая позволяет защитить от утечки чувствительные данные, ведь речь идет о диагнозах, о данных медицинских исследований, сведениях о назначенных лекарствах, о листах нетрудоспособности и пр.
«Хранение и обработка такого количества сведений о здоровье в одной базе, которая расположена территориально в одном месте, помимо пользы, предполагает значительный риск злоупотреблений. Если будет одна кибератака и она будет успешно осуществлена, то "полетит" вся база данных. По нашему мнению, это один из самых больших рисков», — считает представитель уполномоченного по вопросам защиты персональных данных.
Среди последствий возможной кибератаки Берназюк назвала: утечку данных и их неправомерное разглашение, использование незаконно полученных сведений с целью шантажа. Также могут использоваться сведения о пациенте и изменениях в состоянии здоровья для продажи медицинских препаратов или предлагаться услуги, которые не нужны пациенту, убеждена она.
«Наиболее вероятными факторами, которые могут привести к утечке или незаконному использованию данных, является несовершенство технической защиты Электронной системы здравоохранения — как самой центральной базы, так и подключенных к ней электронных Медицинских информационных систем (МИС)», — заявила Берназюк, добавив, что эта проблема требует отдельной дополнительной отработки и усиления ответственности на законодательном уровне.
Еще одной угрозой, по ее мнению, является отсутствие контроля со стороны государства за деятельностью частных компаний, в частности за операторами МИС.
Во время проверок было установлено, что часть МИСов обеспечивает обмен данными с центральной базой через серверы операторов МИС, так называемые «облачные» МИСы, при этом сведения о пациентах хранятся на серверах операторов МИС, которые являются субъектом частной собственности и на которые Минздрав фактически не имеет никакого влияния.
Кроме того, проверками установлено, что операторы МИС часто собирают различный состав персональных данных, поэтому следует разработать для них единый перечень.
Читайте также: Денисова считает задержания в оккупированном Крыму нарушением Конвенции прав человека
«По нашему мнению, существует необходимость отработки действенного механизма контроля за соблюдением операторами МИС, которые подключены к центральной базе, требований по защите персональных данных, в частности, в части информированного и добровольного согласия пациента на обработку его персональных данных операторами МИС, которые в том числе регулируются в договоре с ГП «Электронное здоровье», — считает Берназюк.
Она также сообщила, что по результатам проверок уполномоченным в сфере защиты персональных данных было направлено предписание Министру здравоохранения и некоторые из рекомендаций были учтены.
В то же время Берназюк предложила экспертной среде сосредоточиться на разработке законодательных и регуляторных актов, которые позволят решить озвученные проблемы.
По материалам: ukrinform.ru