В омбудсмена назвали найбільшу загрозу для безпеки персональних медичних даних
Про це під час круглого столу на тему «Цифрова трансформація і кібербезпека в системі охорони здоров'я України» заявила представник уповноваженого у сфері захисту персональних даних Інна Берназюк, повідомляє кореспондент Укрінформу.
«Секретаріатом уповноваженого в 2019 -2020 роках було проведено низку перевірок на дотримання права на приватність, а саме: нами було перевірено ДП «Електронне здоров’я», яке є адміністратором Центральної бази даних, НСЗУ, яка забезпечує функціонування самої електронної системи охорони здоров’я, також були здійснені 4 перевірки Медичних інформаційних систем (МІС) та перевірено 3 заклади охорони здоров’я. За результатами перевірок встановлені недоліки, виявлені ризики обробки персональних даних та функціонування електронної системи охорони здоров’я. Зокрема, найбільшими загрозами безпеки персональних даних, на нашу думку, є безпрецедентно великий масив даних про здоров’я, що зберігається в одній базі даних», - розповіла Берназюк.
Вона навела приклад колег з Естонії, де медичні дані пацієнтів зберігаються у декількох базах даних, що територіально розташовані в різних місцях країни, на різних серверах, кожен з яких має свою окрему систему захисту, що дозволяє захистити від витоку чутливі дані, адже мова йде про діагнози, про дані медичних досліджень, відомості про призначені ліки, про листи непрацездатності тощо.
«Зберігання та обробка такої кількості відомостей про здоров’я в одній базі, яка розміщена територіально в одному місці, окрім користі, передбачає значний ризик зловживань. Якщо буде одна кібератака і вона буде успішно здійснена, то "полетить" вся база даних. На нашу думку, це один з самих великих ризиків», - вважає представник уповноваженого з питань захисту персональних даних.
Серед наслідків можливої кібератаки Берназюк назвала: виток даних та їх неправомірне розголошення, використання незаконно отриманих відомостей з метою шантажу. Також можуть використовуватись відомості про пацієнта та зміни у стані здоров’я для продажу медичних препаратів чи пропонуватись послуги, які не потрібні пацієнту, переконана вона.
«Найімовірнішими факторами, що можуть привести до витоку чи незаконного використання даних, є недосконалість технічного захисту Електронної системи охорони здоров’я - як самої центральної бази, так і підключених до неї електронних Медичних інформаційних систем (МІС)», - заявила Берназюк, додавши, що ця проблема потребує окремого додаткового відпрацювання та посилення відповідальності на законодавчому рівні.
Ще однією загрозою, на її думку, є відсутність контролю з боку держави за діяльністю приватних компаній, зокрема, за операторами МІС.
Під час перевірок було з’ясовано, що частина МІСів забезпечує обмін даними з центральною базою через сервери операторів МІС, так звані «хмарні» МІСи, при цьому відомості про пацієнтів зберігаються на серверах операторів МІС, які є суб’єктом приватної власності та на які МОЗ фактично не має жодного впливу.
Крім того, перевірками встановлено, що оператори МІС часто збирають різний склад персональних даних, тож варто розробити для них єдиний перелік.
«На нашу думку, існує необхідність відпрацювання дієвого механізму контролю за дотриманням операторами МІС, які підключені до центральної бази, вимог щодо захисту персональних даних, зокрема, в частині інформованої та добровільної згоди пацієнта на обробку його персональних даних операторами МІС, які в тому числі врегульовуються в договорі з ДП «Електронне здоров’я»», - вважає Берназюк.
Вона також повідомила, що за результатами перевірок уповноваженою у сфері захисту персональних даних було направлено припис до Міністра охорони здоров’я і деякі з рекомендацій були враховані.
Водночас Берназюк запропонувала експертному середовищу зосередитись на розробці законодавчих та регуляторних актів, які дозволять вирішити озвучені проблеми.