Helsi — головна медична система країни, але ви навіть не знаєте, які дані вона про вас збирає. Розповідаємо, як це працює і в чому недоліки

Polina Vernyhor
Helsi: як це працює та хто відповідає за безпеку даних пацієнтів

У липні Заборона опублікувала матеріал про жертву сталкінгу. Героїню переслідував її колишній хлопець, лікар-інтерн Харківської обласної травматологічної лікарні. Як нам стало відомо, він отримав її особисті дані через систему Helsi. За чотири місяці Міністерство охорони здоров’я так і не пояснило нам, як таке можливо — хоча питання доволі важливе з огляду на те, що вакцинуватися в Україні можна лише після реєстрації в Helsi. Журналістка Заборони Поліна Вернигор поговорила з директором Helsi та спитала в нього, як працює система, як там справи з безпекою та хто, врешті-решт, має доступ до даних пацієнтів.


Сталкінг через Helsi

Героїня нашого матеріалу розповідала, що її переслідував колишній хлопець. Він писав їй погрози з фейкових акаунтів у соцмережах, обвішував її під’їзд м’ясом та буквально тероризував усю родину дівчини. Після виходу матеріалу погрози на якийсь час припинилися, але потім поновилися. Поліція на заяви дівчини практично ніяк не реагує, а сам хлопець звинувачення відкидає.

Та був один факт, який особливо зацікавив нас. Одного дня сталкер почав розповсюджувати інформацію про те, що героїня записалася на прийом до психіатра через важкий емоційний стан, спровокований переслідуваннями. Єдине місце, де хлопець міг знайти цю інформацію, переконує дівчина, — це медична система Helsi, через яку вона записалася до спеціаліста. Ще один факт на користь цієї теорії: переслідувач працює у тій самій лікарні, де обслуговується героїня.

Ми спитали в Міністерстві охорони здоров’я, як таке могло статися та хто взагалі має доступ до особистих даних пацієнтів у медичних системах. Притомної та повної інформації щодо переліку осіб, які мають цей доступ, ніде немає.

Зазвичай на оброблення подібних запитів, в яких просять провести перевірку, держорганам дається місяць. Але навіть за чотири місяці жодної відповіді не надійшло. Тільки після адвокатського запиту від наших юристів справа нарешті почала просуватися. У міністерстві відписали, що це питання не в їхній компетенції, і запит перенаправляють у Харківський Департамент охорони здоров’я. 

Через кілька днів на пошту редакції прийшов лист від Харківської обласної травматологічної лікарні. У листі прогнозовано йшлося про те, що «інформацію, викладену у зверненні, не можуть спростувати або підтвердити». Чому прогнозовано? Бо лікарня технічно не може перевірити, чи мав їхній співробітник доступ до даних іншої людини в системі Helsi.

Що цікаво, відповіді на наш запит від самого МОЗу ми так і не дочекалися — а вона мала б бути.

Як працює Helsi?

Helsi — це електронна медична система, яка надає користувачам доступ до Центральної бази даних пацієнтів. Це не державний продукт, а приватна компанія, яка уклала із державою договір про надання послуг. Таких компаній, як Helsi, доволі багато — тут можна переглянути їхній перелік. Ці програми мають різний інтерфейс та функції, але усі  вони під’єднані до Центральної бази даних пацієнтів. 

Центральна база даних пацієнтів — це вже державний продукт. За неї несе відповідальність Міністерство охорони здоров’я. Крім зберігання даних пацієнтів, ця платформа здійснює й інші функції: веде облік підписаних декларацій, розраховує фінансування медзакладів тощо. 

Системи на кшталт Helsi, хоч і належать бізнесу, регулюються законодавством України — наприклад, Законом України «Про персональні дані». За дотриманням цього закону стежить Офіс уповноваженого з прав людини. Helsi і подібні до неї системи мають звітувати Офісу уповноваженого — надавати вичерпний перелік даних, які вони збирають, вказувати цілі збору, методи тощо. Офіс, своєю чергою, може проводити перевірки цих сервісів.

Ще один закон, яким регулюється робота сервісів на кшталт Helsi, — «Про збереження інформації». За дотриманням цього закону стежить Державна служба спецзв’язку та захисту інформації. Загалом, щоби розпочати роботу, медичні сервіси мають отримати атестат відповідності нормам щодо захисту інформації.

«Це доволі важкий процес, тому що там треба спочатку скласти технічне завдання, узгодити його, потім пройти атестацію, а в разі суттєвих змін ще й проходити переатестацію», — пояснює Забороні директор Helsi.me Євген Донець.

Водночас, щоби сервіс мав доступ до Центральної бази, він має підписати договір на підключення з МОЗ. У цьому договорі, пояснює Євген Донець, є низка вимог, які сервіс має реалізовувати. Перед тим, як запустити ту чи іншу функцію, сервіс проходить тестування від міністерства. І тільки після вдалого тестування він отримує дозвіл на запуск цієї функції.

Наш запит Євген Донець згадав — отже, перед тим, як перенаправити його до Харківського департаменту охорони здоров’я, його направляли на розслідування у Helsi. Система дійсно і сама розслідує подібні випадки. Наш запит, за словами Донця, вони «обробили», але не були впевнені, чи ми маємо право на цю інформацію.

«У нас є певна процедура, де прописано, як ми розслідуємо такі інциденти, яку інформацію і кому можемо передавати. У нас навіть під час деяких судових розглядів запитували певну інформацію», — говорить він.

Безпека даних

За словами директора Helsi, дані пацієнтів обробляють і на рівні сервісів, і на рівні Центральної бази. Атестація системи безпеки сервісів враховує, зокрема, і взаємодію між сервісом і базою даних.

«Ми використовуємо світовий досвід у галузі безпеки даних. Тобто по суті це використання технологій захисту інформації, які сьогодні розповсюджені і перевірені в професійному середовищі. Єдине, на що треба завжди зважати, — що між безпекою інформації і зручністю користування цією інформацією завжди є певний баланс. Тобто можна зробити суперзахищену систему з прекрасними показниками з захисту інформації, але нею буде незручно користуватися. Тому очевидно, що розробники інформаційних систем і інтерфейсів завжди балансують між легкістю користування і доступом до цієї інформації», — говорить Донець.

Дані системи Helsi зберігаються в українському дата-центрі Denovo. У цьому ж дата-центрі зберігаються й дані Центральної бази даних.

«Колись давно була практика, що хтось і за кордоном зберігав. Сьогодні це недопустимо, адже медичні дані — чутлива інформація, тому вони мають зберігатися на території України. Плюс зберігатися за всіма вимогами з безпеки на тих серверних майданчиках, у тих дата-центрах, які відповідають найвищим стандартам. У нас таких небагато», — пояснює директор Helsi.

Для доступу користувачів сервіс використовує двофакторну аутентифікацію та шифрування в браузері. Через це зламати кабінет пацієнта доволі непросто.

«Окремо треба сказати про те, що ми не маємо права просто у пацієнта або клієнта брати будь-які дані і безпідставно їх обробляти. Тому насамперед ми спираємося на згоду користувача, на те, що він передає ці дані із певною метою. Це теж дуже базовий принцип — просто брати дані неможливо, їх все одно треба отримати законним шляхом», — пояснює Євген Донець.

Згода користувача, оприлюднена на сайті Helsi, не містить вичерпного переліку даних, які збирає про нього система. Тому фактично, коли ви користуєтеся сервісом, ви не знаєте, що система у цей час збирає, а що ні. Іншими словами, реєструючись на сайті, ви автоматично надаєте сервісу дозвіл на збір тих даних, про які ви й самі можете не знати. За словами Євгена Донця, ця прогалина пов’язана із тим, що перелік даних постійно змінюється.

«Іноді дати настільки вичерпну відповідь, щоби там було структуровано і зрозуміло кожен параметр, який ми збираємо, неможливо. Але водночас ми не маємо права збирати дані — принаймні, певні типи даних — без згоди користувачів і без повідомлення уповноваженого про те, що ми обробляємо ці дані. Але дуже добре, коли користувачі питають про це, тому що проблема в тому, що, підписуючи якусь програму лояльності в умовному магазині, людина майже ніколи не усвідомлює, що вона реально передає на обробку свою особисту інформацію», — вважає директор Helsi.

В результаті Донець таки пообіцяв, що згоду скоро оновлять і викладуть більш вичерпний перелік та цілі обробки даних, які збирає сервіс.

Хто має доступ до даних?

Коли лікар авторизується в системі, він отримує унікальний ідентифікатор, який дає йому доступ до обмеженої інформації. Також лікарі, реєструючись у системі, підписують зобов’язання про нерозголошення даних. Коли лікар вносить дані про свого пацієнта в систему, він фактично підписується під ними. Тому є можливість відстежити, хто, як і коли вносив ті чи інші дані. 

Це зручно, наприклад, у випадках підробки факту вакцинації, коли лікар вносить у систему номер і партію вакцини для пацієнта, а насправді цю вакцину виливає в раковину. Відстежити, як відбувається процес вакцинації, доволі складно, і за це точно не може відповідати медична система у тому вигляді, в якому вона зараз є. Сьогодні поліція може виявляти це тільки через повідомлення про продаж довідок про вакцинацію в соцмережах. А записи підозрюваного медпрацівника у Helsi можуть слугувати доказом того, що й інші сертифікати, підписані цим лікарем, фейкові. Або ні — це вирішує поліція.

Що стосується масштабних витоків даних, то їх, за словами Донця, в Helsi не було. 

«Не так давно була інформація, що в інтернеті хтось продавав нібито дані людей з вакцинацією. Це був абсолютний фейк, і це доволі швидко було доведено. І, в принципі, якщо говорити про якісь умовно масові витоки інформації, то я таких випадків в Україні поки що не знаю. Але це не означає, що до цього не треба готуватися і з цим працювати», — говорить він.

Дані в системі діляться на два види: дані з обмеженим доступом і більш загальнодоступні для лікарів. До першого виду належать дані, наприклад, про психіатричні захворювання. Така інформація надається лікарю, тільки якщо пацієнт надасть на це згоду через смс-підтвердження.

До другого виду належить загальна інформація про пацієнта. Вона може передаватися від лікаря до лікаря. Наприклад, якщо пацієнт лікується у сімейного лікаря, а потім лягає на стаціонарне лікування до клініки, історія його хвороб має якось передаватися від сімейного до лікаря в стаціонарі. Або, скажімо, якщо один лікар підміняє іншого, то отримує доступ до даних пацієнтів того, кого підміняє.

«Я закликаю розглядати лікаря насамперед як фахового працівника, який, по суті, несе абсолютну відповідальність за розголошення цих даних. Але ситуація зі сталкером, про яку ви згадали, вочевидь, ненормальна. Тут лікар зловживає своїм посадовим становищем, і цей інцидент, по суті, дискредитує лікаря, дискредитує систему. Тому це, звичайно, повинно мати достатньо серйозні наслідки», — говорить Донець.

За ідеєю, якщо медпрацівник не є сімейним лікарем конкретного пацієнта і якщо він не здійснював прийоми для цього пацієнта, то доступу до цих даних у нього не може бути. Є алгоритми, за якими лікар отримує доступ до інформації конкретного пацієнта, і без певних ідентифікаторів розкрити повну інформацію він не зможе. Але цілком ймовірно, що цю інформацію нашому сталкеру міг повідомити хтось із колег, у кого дівчина обслуговувалась. 

В усьому винен лікар?

У мережі неодноразово писали про випадки, коли людина під своїм номером телефону заходила у Helsi, а система впускала її на профіль іншого пацієнта. Тут, наприклад, описано, як пацієнт зареєструвався у медичній системі, щоби записатися на вакцинацію, а коли зайшов у свій профіль, побачив усю медичну інформацію іншого користувача. Причому цієї людини пацієнт не знав, а номер, за яким він авторизувався, використовував із 2004 року.

За словами Євгена Донця, коли Helsi тільки створювали, система аналізувала дані користувача за різними реєстрами даних. Якщо ім’я і телефон користувача не збігалися із реєстрами, дані позначали як неверифіковні. Підтвердити їх міг сімейний лікар, до якого пацієнт приходив із документом, що підтверджує особу. 

Пізніше дедалі більше людей почали укладати декларації з сімейними лікарями, і реєстр пацієнтів став поповнюватися. Усім, хто підписував декларацію з сімейним, надавався ідентифікатор у Центральній базі даних. Цей ідентифікатор сьогодні використовує Helsi, щоб підтвердити особу.

Проблема ж полягає в тому, що далеко не всі перевіряли свої номери телефонів у системі — наприклад, часто пацієнта реєструють за номером телефону когось із родичів.

«Для нас завжди лікар — це валідатор, і він підтверджує, що дані правильні. Але буває, що лікарі можуть елементарно десь помилитися. І, на жаль, сьогодні досі немає ідеальної системи, де ми можемо ідентифікувати кожного Євгена Євгеновича Донця як Євгена Євгеновича Донця. Тому що у нас, по суті, не працюють якісно ID-картки, а інтеграція, наприклад, з «Дією», про що ми зараз серйозно думаємо, — там, ЕЦП, Банк ID — це все одно не дає повного покриття і гарантії того, що всі люди будуть заносити дані в систему без помилок», — пояснює директор Helsi.

Сьогодні, щоб увійти до системи, треба ввести номер телефону та код, який надійде в смс. Зараз в Helsi працюють над тим, щоби впровадити складніші способи доступу до систем. 

«Це не проблема локального характеру чи ще щось — це проблема користувацької культури, і, зокрема, культури надавачів послуг. Раніше ми не переймалися через те, що написано в нашій медичній картці. Коли її не могли знайти в оцих стопках жовтого незрозумілого паперу в реєстратурі, це було погано, але ніхто так сильно не замислювався про доступ до медичної інформації. Зараз нова ера, і нам потрібно випрацьовувати нову культуру, де пацієнт усвідомлює, що він вносить свій номер телефону, вносить свої дані паспортні, там накопичуються його медичні дані, і він має їх перевіряти», — говорить Євген Донець.

Сподобався матеріал?

Підтримай Заборону на Patreon, щоб ми могли випускати ще більше цікавих історій