Пандемия заставила огромное количество людей по всему миру в одночасье перейти на цифровые коммуникации, и это касается не только ставших уже привычными онлайн планерки и совещания, но и фундаментальные вопросы – здоровья и взаимодействия с государством. За два года виртуальное пространство пополнилось сотнями миллионов новых персональных данных, и неудивительно, что данная сфера стала предметом пристального внимания со стороны кибермошенников.
Количество кибератак на различные системы, связанные со здравоохранением, в мире за два последних года выросло на 42%, а ущерб от подобных действий за тот же период увеличился в 1,4 раза до $700 млрд, рассказала управляющий партнер юридической фирмы Legal to Business Светлана Гузь. По ее оценкам, в России наблюдается сходная ситуация.
Сохранить пациента: как защитить данные в цифровой медицине
Пандемия коронавируса стала серьезным толчком для ускоренного перевода отечественной медицины на цифровые рельсы. Однако из-за слабого государственного регулирования персональные данные пациентов, обратившихся за медицинскими услугами посредством электронных систем, зачастую оказываются в руках мошенников. По статистике, количество кибератак в этой сфере в мире выросло почти вдвое за последние два года. Как обезопасить личные данные, кто виноват в утечках, и что нужно делать всем участникам новых «цифровых» отношений для того, чтобы сохранить право пациента на конфиденциальность - обсуждали участники круглого стола РБК Петербург «Права человека в эпоху искусственного интеллекта и цифрового здоровья».
В странах, уже давно перешедших на электронный документоборот между государством и гражданином, эта проблема решена. Например, в США, где кибератаки и кражи цифровой личности американцев – частое дело, сохранность личных данных граждан относится к зоне ответственности непосредственно государства, объясняет Светлана Гузь.
В России же с этим дело обстоит не так однозначно, особенно в сегменте здравоохранения, согласны участники дискуссии. «Например, у нас до сих пор не установлена ответственность государства за сохранность персональных данных пациента, которые он по требованию государства же размещает на портале госуслуг. Соответственно, когда происходит утечка и на пострадавшего без его ведома мошенники оформляют, например, кредиты, гражданин остается с этой проблемой один на один», - говорит Светлана Гузь.
«В обществе пока что не выработалось единое понимание того, что такое персональные данные, личная тайна, право и ответственность за их сохранность. Мы имеем дело с понятийной и юридической проблемой, где находятся все личные сведения, подлежащие защите, и кто их защищает – сам человек, медицинская организация, с которой он взаимодействует, или государство, которое обязано обеспечить интересы личности», - поясняет генеральный директор компании «Ассоциация специалистов по безопасности» Александр Солодяников.
«У нас до сих пор не установлена ответственность государства за сохранность персональных данных пациента, которые он по требованию государства же размещает на портале госуслуг. Соответственно, когда происходит утечка и на пострадавшего без его ведома мошенники оформляют, например, кредиты, гражданин остается с этой проблемой один на один»
управляющий партнер юридической фирмы Legal to Business
Юристы и врачи советуют пациентам внимательно читать договоры и согласия, которые они подписывают при обращении за медицинской помощью. «Важно четко понимать, что и как вы делаете, подписывая документы, какая защита стоит на вашем личном кабинете, на каком портале вы оставляете свои данные. У нас же об этом в большинстве случаев не думают, практически никто не читает текстов соглашений, просто ставят галочку и идут дальше, а потом удивляются, где же это оказались его персональные данные», - сетует Светлана Гузь.
При этом зачастую пациенты, даже прочитавшие все документы от «а до я» не всегда могут понять, что они подписывают, возражает генеральный директор «КелеанзМедикал» Елена Кириленко. Это связано с колоссальным разнообразием медицинских информационных систем, зачастую настолько сложных, что «и сами врачи не всегда осознают технические нюансы их работы», объясняет эксперт. «В такой ситуации важно понимать, где именно находятся персональные данные, кто имеет к ним доступ и каким образом само медучреждение его получает», - считает Елена Кириленко.
Пациент должен понимать, что соглашаясь на обработку персональных данных и данных составляющих врачебную тайну в медицинской организации, он дает согласие на возможность передачи этих данных сторонним организациям, уточняет Владимир Морев.
Самое слабое звено в цепочке передачи персональных данных в сфере здравоохранения – это человек, единодушны участники круглого стола. «Это тот, кто приходит на рабочее место, включает компьютер и получает доступ к конфиденциальной информации. Именно от решений этого конкретного человека, от его настроения, возможной коррумпированности зависит разглашение или неразглашение информации», - уверен адвокат Международной Коллегии Адвокатов «Санкт-Петербург» Алексей Станкевич.
Ситуация, по его словам, усложняется еще и тем, что «правоохранительные органы не умеют расследовать эти преступления. Не умеет этим заниматься и судебная система, и другие правоприменители. Все, что связано с защитой персональных данных, защитой основных свобод, у нас в России регулируется не эффективно и слабо», - добавляет Алексей Станкевич.
Нет ни одной нормы федерального законодательства, которая бы принуждала физическое лицо давать согласие на обработку персональных данных, в том числе в электронном виде.
Пациент не обязан давать согласие на обработку персональных данных, а организация не вправе требовать от него такого согласия. Пациент может написать заявление о запрете на передачу персональных данных и данных, составляющих медицинскую тайну в электронном виде, в сторонние организации.
В ситуациях отказа обработка и передача персональных данных осуществляться не может, за исключением случаев предусмотренных
п.2. ст.11 ФЗ-152 «О персональных данных». Он предусматривает обработку биометрических персональных данных без согласия в случаях, предусмотренных законодательством РФ, и при реализации международных договоров.
В утечке или утере персональных данных зачастую повинны не только злоумышленники, это может быть и несоблюдение элементарных мер предосторожности, возражает технический директор АО «КОМИТА» Андрей Субботин. В качестве примера он приводит реальную ситуацию из жизни: «например, уборщица случайно задела шваброй кабель гарантированного электропитания, сервера аварийно отключились, критическая информационная система стала недоступна».
Медики готовы работать с персональными данными пациентов, в том числе с данными составляющими врачебную тайну, в виде электронных документов (электронная медицинская карта, журналы учета, и пр.) в пределах клиники. Вопросы появляются, когда возникает необходимость передачи этих данных в единую государственная информационную систему в сфере здравоохранения (ЕГИЗ) или при обмене данными между медицинскими и немедицинскими организациями (провайдеры, облачные хранилища, разработчики ПО для медицинских информационных систем), говорит главный врач клиники репродукции и генетики Next Generаtion Clinic Владимир Морев. «Кто будет нести ответственность в случае утечки данных пациентов на этом этапе?», - задает он ключевой вопрос.
управляющий партнер юридической фирмы Legal to Business Светлана Гузь
Набирающая обороты телемедицина также доставляет всем участникам этого процесса много хлопот с точки зрения защиты персональных данных пациентов. «Сама по себе телемедицина - отличная штука, которая может помочь в огромном количестве клинических ситуаций. Врачи, разумеется, за регулирование телемедицины», - уточняет основатель и директор Фонда медицинских решений «Не напрасно» Илья Фоминцев.
«Когда речь идет о жизни человека, часто дело идет на минуты или секунды, и если есть инструменты, которые позволят оперативно оказать медицинскую помощь, то в первую очередь надо думать о пациенте», - соглашается Елена Кириленко. Но даже в этом случае необходимо максимально позаботиться о безопасности и канала передачи данных, уверена она.
Научно-технический прогресс не затормозить, и телемедицина будет развиваться в любом случае: если у врача есть возможность быстро поставить диагноз и назначить лечение, а у пациента есть возможности такую консультацию быстро получить, значит, такой способ коммуникации так или иначе будет жить, уверен Александр Солодянников. «Другое дело, что его нужно контролировать и регламентировать, и если за достоверность диагноза отвечает доктор, то за техническую составляющую и конфиденциальность должны отвечать технические же специалисты, а правовую поддержку должны осуществлять юристы», - считает эксперт.
генеральный директор компании «Ассоциация специалистов по безопасности» Александр Солодяников
главный врач клиники репродукции и генетики Next Generаtion Clinic
Эту область нужно регулировать, согласен Андрей Субботин, однако «наше законодательство не успевает это делать, потому что все слишком активно двигается в сторону цифровизации. «Это и хорошо, и плохо. Хорошо, потому что это прогресс, плохо, потому что мы не успеваем понимать, что происходит. Нужна золотая середина», - заключает Андрей Субботин.
«Однако вся логика закона такова, что мы будем жертвовать по сути возможностью телемедицины ради гипотетической возможности утечки персональных данных, - добавляет он. - Персональные данные мы будем охранять как зеницу ока, а вот здоровье пациентов и новые возможности, которые предоставляет телемедицина - это уже второй вопрос. Только после первого. Это странная логика. И в итоге мы имеем приложения и провайдеров, которые совершенно не отвечают требуемому качеству. Решения крайне неудобные как для врачей, так и для пациентов».
главный врач клиники репродукции и генетики Next Generаtion Clinic Владимир Морев
генеральный директор «КелеанзМедикал» Елена Кириленко
адвокат Международной Коллегии Адвокатов «Санкт-Петербург» Алексей Станкевич
технический директор АО «КОМИТА» Андрей Субботин
основатель и директор Фонда медицинских решений «Не напрасно» Илья Фоминцев
Если пациент не даст согласие на обработку персональных данных
«Когда речь идет о жизни человека, часто дело идет на минуты или секунды, и если есть инструменты, которые позволят оперативно оказать медицинскую помощь, то в первую очередь надо думать о пациенте»
генеральный директор «КелеанзМедикал»