С 1 января 2024 года все медицинские информационные сервисы должны соответствовать жестким стандартам безопасности с точки зрения возможной утечки данных.

8 февраля 2023 года мы опубликовали историю алматинской пациентки и общественного деятеля Галии Тобатаевой, которая случайно узнала, что в ее паспорте здоровья, к которому должны иметь доступ только ее лечащие врачи, роются третьи лица. Она даже знает пофамильный список незваных «гостей». Он есть и в распоряжении редакции. Это тоже медики, но они не оказывали Тобатаевой никаких услуг, потому и непонятна цель, с которой изучали столь конфиденциальный документ.

Как не работает закон

Факт того, что персональные медицинские данные просматривают какие-то посторонние люди, вопиющий. Ведь в таком случае ни у кого нет гарантий, что сведения об их проблемах со здоровьем не окажутся во всеобщем доступе. А если у человека обнаружена импотенция или женщина сделала аборт, о котором никто не знал? Или забеременела при помощи ЭКО? Это же настолько деликатные вещи, которые порой даже с лечащим врачом обсуждать стеснительно, не то чтобы с посторонними людьми. Ну и где здесь соблюдение прав пациентов на медицинскую тайну?

говорит Галия Тобатаева.

Эта история имела серьезный общественный резонанс. Потому что сбылись худшие прогнозы разработчиков IT-сервисов, которые еще в 2018 году обращались к президенту с письмом-жалобой на Минздрав, обвинив его в лоббировании интересов частной бизнес-структуры, фактически монополизировавшей хранение медицинских данных казахстанцев.

Концепция развития электронной медицины в Казахстане не подразумевала ничего подобного, а речь шла о единой госсистеме персональных медицинских данных, но в итоге доступ к этой конфиденциальной информации получило одно частное юридическое лицо. И мы его сейчас знаем как базу данных Damumed частного ТОО «Центр информационных технологий «Даму».

Вице-министр здравоохранения Бейбут Есенбаев ответил на претензии Галии Тобатаевой.

— Доступ к данным в медицинских информационных системах имеют только зарегистрированные в информационных системах МЗ РК сотрудники медицинских организаций. Сотрудники медорганизаций являются легальными пользователями системы, если им был выдан этот доступ в соответствии с требованиями информационной безопасности. То есть такой доступ нельзя считать несанкционированным. При запросе доступа к ЭПЗ (электронный паспорт здоровья — ред.) в медицинских информационных системах врач указывает, с какой целью (причина) нужен доступ: плановая медпомощь, экстренная медпомощь, неотложная медпомощь. При этом, врач подтверждает, что:

• получил согласие пациента на доступ к его данным
• информирован о том, что все данные, полученные врачом в ходе оказания медицинской помощи, составляют тайну медицинского работника
• не допускается разглашение сведений, составляющих тайну медицинского работника

Разглашение тайны медицинского работника наказывается лишением свободы на срок до 4 лет.

Чиновник также добавил, что у врачей есть возможность делегировать право доступа медсестрам.

— При делегировании врач подтверждает, что:

• предоставляет доступ к просмотру ЭПЗ сотруднику, не относящемуся к врачебному персоналу
• что в случае если сотрудник, которому предоставлен доступ к ЭПЗ, произведет неправомерные действия, которые приведут к разглашению персональных медицинских данных или причинению иного вреда пациенту, ответственность за указанные неправомерные действия будет нести он сам

Необходимо подчеркнуть, что факт доступа к персональным медицинским данным фиксируется (логируется), и можно проверить — кто и когда получал этот доступ,

говорит вице-министр.

Проблема есть, решение найдут

В Минздраве признают, что владельцами системы медданных пациентов являются медорганизации. И по закону об информатизации они несут ответственность за сохранность этих данных. Сотрудники медорганизации, являясь пользователями системы, несут полную ответственность за обеспечение защиты данных в соответствии с тем же законом.

Касательно полноценного доступа пациентов к записям в Damumed и других приложений — Министерство здравоохранения совместно с разработчиками медицинских информационных систем сейчас работают над регламентом, согласно которому будут расширены данные, доступные пациентам. А запрет гражданами доступа к своим медицинским данным может повлечь ограничение оказания качественной медпомощи — если врач при оказании помощи не будет иметь достаточно информации о пациенте. Предложение по оповещению пациентов при каждом доступе к их паспортам здоровья мы готовы проработать,

добавил Бейбут Есенбаев.

То есть Министерство здравоохранения не отрицает наличие проблем. Более того, намерено их устранять. Поэтому 13 февраля официально сообщило о внесении изменений и дополнений в действующие нормативные акты, касающиеся вопросов безопасности персональных данных.

В частности, внесены изменения и дополнение в приказ №80 от 6 августа 2021 года «Об утверждении минимальных требований к медицинским информационным системам в области здравоохранения». Утвержденные этим приказом единые подходы к защите персональных медицинских данных позволят предотвращать разного рода инциденты безопасности, включая утечки данных, обеспечить прозрачность оказываемых медицинских услуг, поддерживать возможность безопасного информационного взаимодействия между информационными системами в области здравоохранения. Программное обеспечение, функционирующее в медицинских организациях, должно находиться в реестре доверенного программного обеспечения и продукции электронной промышленности уполномоченного органа в сфере электронной промышленности.

Это значит, что медицинские информационные системы должны соответствовать требованиям по информационной безопасности, установленным уполномоченным органом в сфере защиты информационной безопасности. Соответственно, медицинские организации могут приобретать программное обеспечение в виде товара и информационно-коммуникационной услуги только из реестра доверенного программного обеспечения и продукции электронной промышленности. Данная норма вступает в силу с 1 января 2024 года,

говорится в сообщении Минздрава.