Електронна система охорони здоров’я (ЕСОЗ) зберігає медичні дані майже 35 мільйонів українців. Доступ до цієї інформації суворо регламентований, а випадків втрати даних у центральній базі не зафіксовано. Водночас держава готується надати пацієнтам ширші можливості для контролю за власною медичною історією. Про захист конфіденційності медичної інформації, Кабінет пацієнта і цифровізацію сфери охорони здоров’я для РБК-Україна розповіли фахівці НСЗУ, ДП "Електронне здоров’я" та МІС.
Як захищені медичні дані і чи були витоки
Електронна система охорони здоров’я (ЕСОЗ) є однією з найбільших державних ІТ-систем і містить дані про майже 35 млн громадян. Як зазначив директор департаменту розвитку ЕСОЗ НСЗУ Дмитро Черниш, питання безпеки даних є пріоритетом під час впровадження будь-яких нових функцій.
«З позиції держави є єдина центральна база даних. Саме в цій базі зберігаються всі дані пацієнтів. І саме з цієї центральної бази даних жодних втрат не фіксувалося», — наголосив він.
ЕСОЗ має двокомпонентну структуру: центральну базу даних, де зберігається вся медична інформація пацієнтів, та медичні інформаційні системи (МІС), через які працюють заклади охорони здоров’я. За словами Черниша, витоків даних не зафіксовано ані в центральній базі, ані в МІС, до яких держава висуває жорсткі вимоги з безпеки.
Хто відповідає за можливий витік інформації
У НСЗУ наголошують, що відповідальність за захист персональних даних розподілена між кількома учасниками — державою, медзакладами, медичними працівниками, адміністраторами системи та ІТ-підрядниками.
Заступниця директора департаменту НСЗУ Світлана Кривда пояснила, що загальна відповідальність покладається на володільців медичної інформації, а її обсяг залежить від ролі кожного суб’єкта.
Медичні заклади відповідають за технічний і організаційний захист даних, а їхні працівники — за дотримання лікарської таємниці та правил кібербезпеки.
«Насамперед вони повинні знати правила обробки та поведінки з конфіденційною інформацією. Також ці особи повинні забезпечувати ненадання доступу до своїх робочих місць, логінів і паролів третім особам», — підкреслила Кривда.
Медичні інформаційні системи відповідають за захист каналів зв’язку та передачі даних. У разі інциденту на рівні МІС відповідальність нестиме саме система. Адміністраторами центральної бази даних є ДП «Електронне здоров’я» та ДП «Медичні гарантії», які контролюють дотримання технічних вимог.
У разі хакерських атак або інших кіберінцидентів відповідальність може покладатися на НСЗУ, адже саме вона на державному рівні є власником ЕСОЗ і володільцем медичних даних. Водночас у медичних інформаційних системах наголошують, що захист інформації залишається безумовним пріоритетом.
Комерційний директор МІС Health24 Іван Булі зазначив, що система має чинний атестат відповідності вимогам комплексної системи захисту інформації від Держспецзв’язку та міжнародний сертифікат ISO-27001. За його словами, регулярно проводяться тести на виявлення вразливостей, багаторівневе резервне копіювання, а також діють стандарти надійних паролів і регламентована їх обов’язкова зміна.
Чи можуть пацієнти мати доступ до своїх медичних даних
НСЗУ працює над запуском єдиного державного електронного кабінету пацієнта. За словами Дмитра Черниша, наприкінці жовтня вже стартувало його бета-тестування.
Експерт зауважив, що саме пацієнт стане головним учасником моніторингового процесу, адже лише він точно знає, які процедури йому проводили.
«На жаль, серед медичної спільноти бувають випадки недобросовісного виконання своїх обовʼязків, а саме недостовірне кодування діагнозів та процедур в ЕСОЗ. Причини можуть бути різні. Хтось робить це для того, щоб отримати більше коштів від держави. Хтось — із необережності, наприклад, переплутали дані пацієнтів», — зазначив Черниш.
Очікується, що пацієнти зможуть бачити, хто, де і коли вніс дані до ЕСОЗ, а також сигналізувати про недостовірні записи. Наразі пацієнти можуть отримувати інформацію через сімейного лікаря або через приватні медичні кабінети МІС, які вже надають доступ до електронних рецептів, направлень, результатів аналізів і історій хвороб.
Чи можна видалити медичні дані пацієнта з системи
Світлана Кривда наголосила, що право на видалення медичних даних не є безумовним. Медична інформація в ЕСОЗ не підлягає видаленню або редагуванню — у разі помилки створюється новий запис, а попередній залишається в системі з відповідною позначкою.
За її словами, навіть помилкові записи не зникають — вони архівуються, але залишаються в системі
Це пов’язано з вимогами законодавства, адже медичні дані можуть знадобитися для судових розглядів, перевірок або аналізу історії лікування.
Цифровізація медицини: що далі
У ДП «Електронне здоров’я» повідомили, що щороку в галузі запускаються нові цифрові сервіси. Наразі в розробці перебувають десятки проєктів ЕСОЗ, частина з яких орієнтована безпосередньо на пацієнтів.
«Минулого року наша команда працювала з понад 40 цифровими проєктами у сфері охорони здоров’я. Зараз у нас у розробці 26 проєктів ЕСОЗ різної складності та спрямування. Деякі з них стосуються технічної сторони роботи системи, деякі орієнтовані безпосередньо на сервіси для пацієнтів», — зазначив Олександр Ємець.
Іван Булі зазначив, що цифрові сервіси в закладах охорони здоров’я постійно розвиваються та охоплюють дедалі більше процесів — від стаціонарного лікування і лабораторних досліджень до діагностики.
«Кожен крок пацієнта в лікарні вноситься в медичну систему — діагностика, аналізи, амбулаторний прийом, стаціонарні історії хвороби», — наголосив експерт.
За його словами, це дає змогу медзакладам підвищувати якість сервісу, бачити повну медичну історію пацієнта, зменшувати ризик помилок і оптимізувати внутрішні процеси завдяки стандартизації. Водночас пацієнти та їхні довірені особи отримують можливість контролювати лікування через мобільний додаток, де відображаються всі медичні дані.
Редакторка стрічки новин
