Защищены ли персональные данные пользователей медицинской информационной системы Damumed и насколько политика в отношении сбора и обработки персональных данных соответствует казахстанскому законодательству?

Эксперты-аналитики некоммерческой организации ЧУ «INTEGRITY ASTANA» представили отчет в рамках проекта «Общественный мониторинг прозрачности и подотчетности планирования и оказания медицинских услуг населению» на примере информационной системы Damumed.

Комплексную медицинскую информационную систему «Damumed» разработал Центр информационных технологий «ДАМУ» по поручению Министерства здравоохранения РК, запущена система была в октябре 2017 года.

«Damumed» интегрирован в следующие информационные системы МЗ РК:

1.​«Бюро госпитализации»,

2.​«Регистр прикрепленного населения»,

3.​«Электронный регистр стационарных больных»,

4.​«Амбулаторно-поликлиническая помощь»,

5.​«Единая платежная система»,

6.​«Система управления ресурсами»,

7.​«Электронный регистр диспансерных больных»,

8.​«Дополнительный компонент к тарифу первичной медико-санитарной помощи»,

Эта популярная в Казахстане информационная система, в связи с большим охватом пользователей (на октябрь 2021 года в данной медицинской информационной системе работали уже более 1700 частных и государственных клиник, более 118 тысяч врачей, порядка четырёх миллионов пользователей-пациентов по всей стране) растёт и ответственность в предоставлении качественных услуг без нарушений прав пользователей.

Необходимость исследования и выявления возможных проблем и недочетов в работе систем возникла в связи с тем, что в последние годы случаются утечки персональных данных как из систем госорганов, так и частных организаций. Персональные медицинские данные составляют тайну медицинского работника, который при исполнении профессиональных, служебных или иных обязанностей имеет к ним доступ.

Существует ряд международных документов, определяющих работу в области информационной безопасности и защиты персональных данных. В Казахстане национальным органом по стандартизации является Министерство торговли и интеграции, которое устанавливает стратегию и стандарты внедрения систем информационной безопасности на уровне руководства компании, проекта, стартапа и т.д. И отечественные компании должны в первую очередь соблюдать национальные обязательные стандарты в области защиты данных.

Незаконное распространение персональных данных, оплаченные, но фактически не оказанные услуги, а также приписки были зафиксированы и в системе «Damumed». Итоги мониторинга на примере данной информационной системы должны предупредить на будущее риски по защите персональных данных, поэтому эксперты на основе юридического анализа выработали определенные рекомендации.

При этом, есть множество примеров нарушения законодательства о персональных данных и их защите. Так, некоторые пользователи узнали, благодаря Damumed, что они состоят в браке и имеют детей, хотя фактически это не так. Другие пользователи оказывались записанными на медуслуги, которые никогда не получали, причём услуги или консультации были оплачены из средств ОСМС. Все эти данные не раз отражены в официальных средствах массовой информации – https://exk.kz/news/47278/blaghodaria-prilozhieniiu-damumed-zhitiel-stolitsy-uznal-chto-posieshchal-ghiniekologha , https://pavlodarnews.kz/novosti/fsms-vyyavil-bolee-11-5-tysyachi-fiktivnykh-priemov-vrachey-v-damumed/ и др.

В целом опубликованной информации пользователями о приписках в социальных сетях довольно много, и это учитывая тот факт, что это только та информация, которой поделились пользователи информационной системы. Реальное число приписок и сумма, которую Фонд социального медицинского страхования выплатил за фиктивные услуги, неизвестны.

По сообщениям представителя МЗ РК, Damumed не имеет отношения к припискам, так как этим занимаются сами сотрудники медицинских организаций в целях личного обогащения.

Касаясь непосредственного анализа документации и объектов информатизации Дамумед, можно сообщить следующее:

1.​Пользовательского соглашения, которое регламентирует отношения между пользователями и Damumed, на главной странице входа не имеется. Отсутствие этого документа может привести к тому, что при возникновении вопросов использования системы пользователям дать исчерпывающую информацию не представляется возможным.

2.​На странице входа поддоменов dmed.kz, которое предназначено для пользователей медицинских работников, указано следующее: «По настоящему Соглашению пользователь несёт ответственность за несанкционированный доступ к данным относящимся к защищаемой законом врачебной тайне». Между тем, Соглашение «Damumed» представляет собой выписки из Уголовного кодекса, Гражданского кодекса, Закона «О персональных данных и их защите», Закона «Об информатизации». Однако пользователь, не имеющий достаточных юридических знаний, может попросту не понять суть этих выписок.

3.​На главной странице Damumed отсутствует Политика конфиденциальности, что её предоставили, аналитикам пришлось связаться со службой техподдержки, которые сообщили, что данный документ размещен в маркетплейсах App Store и Google PlayMarket. В Политике конфиденциальности не указаны чёткие меры в части защиты персональных данных, есть только краткая информация о защите объектов информатизации компании. Защита персональных данных невозможна не только без безопасности объектов информатизации, но и других комплексных решений.

4.​Также неизвестно, использует ли Damumed действия пользователя, в частности систему оценок и отзывов, заметки, информацию с раздела «Показатели здоровья» для улучшения сервиса. Если эти данные используются, то это следует чётко обозначить в разделе «Информация, собираемая или получаемая нами». Помимо этого, не имеется информации об изменении, дополнении данных пользователем, нет информации об использовании cookie-файлов, трекеров.

Следует отметить, что Damumed является одним из важных информационных систем в системе здравоохранения страны. ИС даёт возможность гражданам реализовать право на охрану здоровья, право на доступ к информации, а также облегчает взаимодействие людей с медицинскими организациями и вводит электронный документооборот, то есть введение безбумажной работы. В то же время следует учитывать важное значение защищенности персональных данных граждан, объектов информатизации. В связи с тем, что Damumed является критически важным объектом информационно-коммуникационной инфраструктуры (КВОИКИ), увеличивается ответственность на ЦИТ “ДАМУ”.

В проведенном анализе мы выявили некоторые пробелы, которые не предусмотрены Политикой конфиденциальности, следует компании конкретизировать действия с персональными данными, отметили, что компании следует разработать Пользовательское соглашение для обычных пользователей, а также Соглашение, направленное пользователям модуля “Кабинет врача”, издать в редакции, исключающее профессиональную юридическую терминологию, так как Соглашение читают не юристы, а в основном врачи.

По итогам анализа эксперты сформулировали для Damumed рекомендации:

– обновить Пользовательское соглашение для пользователей системы, отобразить его более ясно и содержательно;

– дополнить базовые пункты Политики конфиденциальности расшифровкой используемых основных понятий;

– перечислить сервисы компании: помимо приложения Damumed существуют также «Damumed.Стационар» и «Damumed.Поликлиника»;

– обозначить, что происходит сбор и обработка обезличенных данных о посетителях;

– чётко обозначить и обосновать какой перечень данных пользователя Damumed собирает и обрабатывает для предоставления услуг, а также цель сбора и обработки персональных данных;

– указать особенности правового положения субъекта персональных данных (обычного пользователя) при использовании Damumed и возможность уничтожения данных пользователя в случае неиспользования пользователем сервиса компании в пределах временного отрезка;

– разместить Политику конфиденциальности на главной странице и в приложении Damumed;

– привести некоторые интернет-ресурсы, как например dmed.kz, в соответствие с Правилами регистрации, пользования и распределения доменных имен в пространстве казахстанского сегмента Интернета (использование сертификата безопасности);

– предоставлять информацию, касающуюся непосредственно самого мобильного приложение Damumed, о возможности ограничения времени сессии аккаунта (автоматический выход из аккаунта в фоновом режиме) в целях недопущения несанкционированного доступа к персональным данным пользователя третьими лицами и возможности использования пользователем входа посредством пароля.

Автор: Директор некоммерческой организации ЧУ «INTEGRITY ASTANA», экономист Жанат Нургалиев