Электронная система здравоохранения (ЭСЗ) хранит медицинские данные почти 35 миллионов украинцев. Доступ к этой информации строго регламентирован, а случаев утраты данных в центральной базе не зафиксировано. В то же время государство готовится предоставить пациентам больше возможностей для контроля собственной медицинской истории. О защите конфиденциальности медицинской информации, Кабинете пациента и цифровизации сферы здравоохранения для РБК-Украина рассказали специалисты НСЗУ, ГП «Электронное здоровье» и медицинских информационных систем (МИС).
Как защищены медицинские данные и были ли утечки
Электронная система здравоохранения (ЭСЗ) является одной из крупнейших государственных ИТ-систем и содержит данные почти о 35 млн граждан. Как отметил директор департамента развития ЭСЗ НСЗУ Дмитрий Черныш, вопросы безопасности данных являются приоритетными при внедрении любого нового функционала.
«С позиции государства существует единая центральная база данных. Именно в этой базе хранятся все данные пациентов. И именно из этой центральной базы данных никаких утрат зафиксировано не было», — подчеркнул он.
ЭСЗ имеет двухкомпонентную структуру: центральную базу данных, где хранится вся медицинская информация пациентов, и медицинские информационные системы (МИС), через которые работают учреждения здравоохранения. По словам Черныша, утечек данных не зафиксировано ни в центральной базе, ни в МИС, к которым государство выдвигает жесткие требования по безопасности.
Кто отвечает за возможную утечку информации
В НСЗУ подчеркивают, что ответственность за защиту персональных данных распределена между несколькими участниками — государством, медучреждениями, медицинскими работниками, администраторами системы и ИТ-подрядчиками.
Заместитель директора департамента НСЗУ Светлана Кривда пояснила, что общая ответственность возлагается на владельцев медицинской информации, а ее объем зависит от роли каждого субъекта.
Медицинские учреждения отвечают за техническую и организационную защиту данных, а их работники — за соблюдение врачебной тайны и правил кибербезопасности.
«Прежде всего они должны знать правила обработки и поведения с конфиденциальной информацией. Также эти лица должны обеспечивать недопущение доступа к своим рабочим местам, логинам и паролям третьих лиц», — подчеркнула Кривда.
Медицинские информационные системы отвечают за защиту каналов связи и передачи данных. В случае инцидента на уровне МИС ответственность будет нести именно система. Администраторами центральной базы данных являются ГП «Электронное здоровье» и ГП «Медицинские гарантии», которые контролируют соблюдение технических требований.
В случае хакерских атак или других киберинцидентов ответственность может возлагаться на НСЗУ, поскольку именно она на государственном уровне является владельцем ЭСЗ и распорядителем медицинских данных. В то же время представители медицинских информационных систем подчеркивают, что защита информации остается безусловным приоритетом.
Коммерческий директор МИС Health24 Иван Були отметил, что система имеет действующий аттестат соответствия требованиям комплексной системы защиты информации от Госспецсвязи, а также международный сертификат ISO-27001. По его словам, регулярно проводятся тестирования на выявление уязвимостей, многоуровневое резервное копирование, а также действуют стандарты надежных паролей и регламентированная их обязательная смена.
Могут ли пациенты иметь доступ к своим медицинским данным
НСЗУ работает над запуском единого государственного электронного Кабинета пациента. По словам Дмитрия Черныша, в конце октября уже стартовало его бета-тестирование.
Эксперт отметил, что именно пациент станет ключевым участником мониторингового процесса, поскольку только он точно знает, какие процедуры ему проводились.
«К сожалению, в медицинском сообществе бывают случаи недобросовестного выполнения обязанностей — недостоверного кодирования диагнозов и процедур в ЭСЗ. Причины могут быть разными: от попытки получить больше средств от государства до обычной ошибки», — отметил Черныш.
Ожидается, что пациенты смогут видеть, кто, где и когда вносил данные в ЭСЗ, а также сигнализировать о недостоверных записях. Пока что пациенты могут получать информацию через семейного врача или через частные кабинеты МИС, которые уже предоставляют доступ к электронным рецептам, направлениям, результатам анализов и историям болезней.
Можно ли удалить медицинские данные пациента из системы
Светлана Кривда подчеркнула, что право на удаление медицинских данных не является безусловным. Медицинская информация в ЭСЗ не подлежит удалению или редактированию — в случае ошибки создается новая запись, а предыдущая остается в системе с соответствующей отметкой.
По ее словам, даже ошибочные записи не исчезают — они архивируются, но продолжают храниться в системе.
Это обусловлено требованиями законодательства, поскольку медицинские данные могут понадобиться для судебных разбирательств, проверок или анализа истории лечения.
Цифровизация медицины: что дальше
В ГП «Электронное здоровье» сообщили, что ежегодно в отрасли запускаются новые цифровые сервисы. Сейчас в разработке находятся десятки проектов ЭСЗ, часть из которых ориентирована непосредственно на пациентов.
«В прошлом году наша команда работала более чем над 40 цифровыми проектами в сфере здравоохранения. Сейчас в разработке — 26 проектов ЭСЗ разной сложности и направленности. Часть из них касается технической стороны работы системы, часть — сервисов для пациентов», — отметил Александр Емец.
Иван Були добавил, что цифровые сервисы в учреждениях здравоохранения постоянно развиваются и охватывают все больше процессов — от стационарного лечения и лабораторных исследований до диагностики.
«Каждый шаг пациента в больнице фиксируется в медицинской системе — диагностика, анализы, амбулаторный прием, стационарные истории болезни», — подчеркнул эксперт.
По его словам, это позволяет медучреждениям повышать качество сервиса, видеть полную медицинскую историю пациента, снижать риск ошибок и оптимизировать внутренние процессы за счет стандартизации. В то же время пациенты и их доверенные лица получают возможность контролировать процесс лечения через мобильное приложение, где отображаются все медицинские данные.
