'

Helsi — главная медицинская система страны, но вы даже не знаете, какие данные о вас она собирает. Рассказываем, как это работает и в чем недостатки

Polina Vernyhor
Helsi: как это работает и кто отвечает за безопасность данных пациентов

В июле Заборона опубликовала материал о жертве сталкинга. Героиню преследовал ее бывший парень, врач-интерн Харьковской областной травматологической больницы. Как нам стало известно, он получил ее личные данные через систему Helsi. Через четыре месяца Министерство здравоохранения так и не объяснило нам, как это возможно — хотя вопрос довольно важный, учитывая, что вакцинироваться в Украине можно только после регистрации на Helsi. Журналистка Забороны Полина Вернигор поговорила с директором Helsi и расспросила его, как работает система, как обстоят дела с безопасностью и кто, в конце концов, имеет доступ к данным пациентов.


Сталкинг через Helsi

Героиня нашего материала рассказывала, что ее преследовал бывший парень. Он писал ей угрозы с фейковых аккаунтов в соцсетях, развешивал мясо в ее подъезде и буквально терроризировал всю семью девушки. После выхода материала угрозы на время прекратились, но затем начались с новой силой. Полиция на заявления девушки практически никак не реагирует, а сам парень обвинения отвергает.

Но был один факт, который нас особенно заинтересовал. Однажды сталкер начал распространять информацию о том, что героиня записалась на прием к психиатру из-за тяжелого эмоционального состояния, спровоцированного преследованиями. Единственное место, где парень мог найти эту информацию, утверждает девушка, — это медицинская система Helsi, через которую она записалась к специалисту. Еще один факт в пользу этой теории: преследователь работает в той же больнице, где обслуживается героиня.

Мы спросили у Министерства здравоохранения, как такое могло произойти и кто вообще имеет доступ к личным данным пациентов в медицинских системах. Внятной и полной информации о перечне лиц, у которых есть этот доступ, нигде нет.

Обычно на обработку подобных запросов, в которых просят провести проверку, госорганам дается месяц. Но даже через четыре месяца никакого ответа не последовало, и только после адвокатского запроса от наших юристов дело наконец начало продвигаться. В министерстве отписали, что этот вопрос не в их компетенции, и запрос перенаправляют в Харьковский Департамент здравоохранения.

Через несколько дней на почту редакции пришло письмо от Харьковской областной травматологической больницы. В письме предсказуемо было сказано, что они «не могут опровергнуть или подтвердить информацию, изложенную в обращении». Почему предсказуемо? Потому что больница не может проверить, имел ли их сотрудник доступ к данным другого человека в системе Helsi.

Что интересно, ответа на наш запрос от самого Минздрава мы так и не дождались — а он должен быть.

Как работает Helsi?

Helsi — это электронная медицинская система, предоставляющая пользователям доступ к центральной базе данных пациентов. Это не государственный продукт, а частная компания, заключившая с государством договор о предоставлении услуг. Таких компаний, как Helsi, достаточно много — здесь можно просмотреть их перечень. У этих программ разный интерфейс и функции, но все они подключены к Центральной базе данных пациентов.

Центральная база данных пациентов — это уже государственный продукт. За нее несет ответственность Министерство здравоохранения. Кроме хранения данных пациентов, эта платформа осуществляет и другие функции: ведет учет подписанных деклараций, рассчитывает финансирование медучреждений и т.д.

Системы типа Helsi, хоть и принадлежат бизнесу, регулируются законодательством Украины — например, Законом Украины «О персональных данных». За соблюдением этого закона следит Офис уполномоченного по правам человека. Helsi и подобные ей системы должны отчитываться в Офис уполномоченного — предоставлять исчерпывающий перечень собираемых ими данных, указывать цели сбора, методы и т.д. Офис, в свою очередь, может проводить проверки этих сервисов.

Еще один закон, регулирующий работу сервисов типа Helsi, — «О сохранении информации». За соблюдением этого закона следит Государственная служба спецсвязи и защиты информации. В целом, чтобы начать работу, медицинские сервисы должны получить аттестат соответствия нормам защиты информации.

«Это довольно трудный процесс, потому что там нужно сначала составить техническое задание, согласовать его, потом пройти аттестацию, а в случае существенных изменений еще и проходить переаттестацию», — объясняет Забороне директор Helsi.me Евгений Донец.

В то же время, чтобы сервис имел доступ к Центральной базе, он должен подписать договор на подключение с Минздравом. В этом договоре, объясняет Евгений Донец, есть ряд требований, которые сервис должен реализовать. Перед тем как запустить ту или иную функцию, сервис проходит тестирование от министерства. И только после удачного тестирования он получает разрешение на запуск этой функции.

Наш запрос Евгений Донец помнит — следовательно, перед тем как перенаправить его в Харьковский департамент здравоохранения, его направляли на расследование в Helsi. Система действительно и сама расследует подобные случаи. Наш запрос, по словам Донца, они «обработали», но не были уверены, имеем ли мы право на эту информацию.

«У нас есть определенная процедура, где прописано, как мы расследуем такие инциденты, какую информацию и кому можем передавать. У нас даже в ходе некоторых судебных разбирательств запрашивали определенную информацию», — говорит он.

Безопасность данных

По словам директора Helsi, данные пациентов обрабатывают и на уровне сервисов, и на уровне Центральной базы. Аттестация системы безопасности сервисов учитывает, в частности, и взаимодействие между сервисом и базой данных.

«Мы используем мировой опыт в области безопасности данных. То есть, по сути, это использование технологий защиты информации, которые сегодня распространены и проверены в профессиональной среде. Единственное, что нужно всегда учитывать, — что между безопасностью информации и удобством пользования этой информацией всегда есть определенный баланс. То есть можно сделать хорошо защищенную систему с прекрасными показателями защиты информации, но ею будет неудобно пользоваться. Поэтому очевидно, что разработчики информационных систем и интерфейсов всегда балансируют между легкостью пользования и доступом к этой информации», — говорит Донец.

Данные системы Helsi хранятся в украинском центре Denovo. В этом же дата-центре хранятся и данные Центральной базы данных.

«Когда-то давно была практика, что кто-то и за рубежом хранил. Сегодня это недопустимо, ведь медицинские данные — чувствительная информация, поэтому они должны храниться на территории Украины. Плюс храниться по всем требованиям к безопасности на серверных площадках, в дата-центрах, которые отвечают самым высоким стандартам. У нас таких немного», — объясняет директор Helsi.

Для доступа пользователей сервис использует двухфакторную аутентификацию и шифрование в браузере. Поэтому сломать кабинет пациента довольно непросто.

«Отдельно нужно сказать о том, что мы не имеем права просто брать у пациента или клиента какие-либо данные и безосновательно их обрабатывать. Поэтому прежде всего мы опираемся на согласие пользователя, на то, что он передает эти данные с определенной целью. Это тоже очень базовый принцип — просто брать данные невозможно, их все равно нужно получить законным путем», — объясняет Евгений Донец.

Пользовательское соглашение, опубликованное на сайте Helsi, не содержит исчерпывающего перечня данных, которые собирает о нем система. Поэтому фактически, когда вы используете сервис, вы не знаете, что система в это время собирает, а что нет. Другими словами, регистрируясь на сайте, вы автоматически даете сервису разрешение на сбор данных, о которых сами можете не знать. По словам Евгения Донца, этот пробел связан с тем, что перечень данных постоянно меняется.

«Иногда невозможно дать исчерпывающий ответ, где каждый параметр, который мы собираем, был бы структурирован и понятен. Но в то же время мы не имеем право собирать данные — по крайней мере, определенные типы данных — без согласия пользователей и без уведомления уполномоченного о том, что мы обрабатываем эти данные. Но очень хорошо, когда пользователи спрашивают об этом, потому что проблема в том, что, подписывая какую-то программу лояльности в условном магазине, человек почти никогда не осознает, что реально передает на обработку свою личную информацию», — считает директор Helsi.

В результате Донец пообещал, что соглашение скоро обновят, опубликовав более исчерпывающий перечень и цели обработки данных, которые собирает сервис.

Кто имеет доступ к данным?

Когда врач авторизуется в системе, он получает уникальный идентификатор, дающий ему доступ к ограниченной информации. Также при регистрации в системе врачи подписывают обязательства о неразглашении данных. Когда врач вносит данные о своем пациенте в систему, он фактически подписывается под ними. Поэтому есть возможность отследить, кто, как и когда вносил те или иные данные.

Это удобно, например, в случаях подделки факта вакцинации, когда врач вносит в систему номер и партию вакцины для пациента, а на самом деле выливает эту вакцину в раковину. Отследить, как происходит процесс вакцинации, сложно, и за это точно не может отвечать медицинская система в том виде, в котором она существует сейчас. Сегодня полиция может обнаружить это только через сообщения о продаже справок о вакцинации в соцсетях. А записи подозреваемого медработника в Helsi могут служить доказательством того, что и другие сертификаты, подписанные этим врачом, фейковые. Или нет — решает полиция.

Что касается масштабных утечек данных, то их, по словам Донца, в Helsi не было.

«Недавно была информация, что в интернете кто-то продавал якобы данные людей с вакцинацией. Это был абсолютный фейк, что довольно быстро доказали. И, в принципе, если говорить о каких-то условно массовых утечках информации, то я таких случаев в Украине пока не знаю. Но это не значит, что к этому не нужно готовиться и с этим работать», — говорит он.

Данные в системе делятся на два вида: данные с ограниченным доступом и более общедоступные для врачей. К первому виду относятся данные, например, о психиатрических заболеваниях. Такая информация предоставляется врачу, только если пациент даст на это согласие по смс-подтверждению.

Ко второму виду относится общая информация о пациенте. Она может передаваться от врача к врачу. Например, если пациент лечится у семейного врача, а затем ложится на стационарное лечение в клинику, история его болезней должна как-то передаваться от семейного врача к врачу в стационаре. Или, скажем, если один врач подменяет другого, он получает доступ к данным его пациентов.

«Я призываю рассматривать врача прежде всего как профессионала, который, по сути, несет абсолютную ответственность за разглашение этих данных. Ситуация со сталкером, о которой вы упомянули, очевидно, ненормальна. Здесь врач злоупотребляет своим должностным положением, и этот инцидент по сути дискредитирует врача, дискредитирует систему. Конечно, это должно влечь за собой довольно серьезные последствия», — говорит Донец.

По идее, если медработник не является семейным врачом конкретного пациента и не осуществлял приемы для этого пациента, то доступа к его данным у такого медработника быть не может. Есть алгоритмы, по которым врач получает доступ к информации конкретного пациента, и без определенных идентификаторов раскрыть полную информацию он не сможет. Но вполне вероятно, что эту информацию нашему сталкеру мог сообщить кто-то из коллег, у кого девушка обслуживалась.

Во всем виноват врач?

В сети неоднократно писали о случаях, когда человек под своим номером телефона заходил в Helsi, а система пускала его на профиль другого пациента. Здесь, например, описано, как пациент зарегистрировался в медицинской системе, чтобы записаться на вакцинацию, а когда зашел в свой профиль, увидел всю медицинскую информацию другого пользователя. Причем этого человека пациент не знал, а номер, по которому он авторизовался, использовал с 2004 года.

По словам Евгения Донца, когда Helsi только создавали, система анализировала данные пользователя по разным реестрам данных. Если имя и телефон пользователя не совпадали с реестрами, данные обозначались как неверифицированные. Подтвердить их мог семейный врач, к которому пациент приходил с документом, подтверждающим личность.

Позже все больше людей начали подписывать декларации с семейными врачами, и реестр пациентов стал пополняться. Всем, кто подписывал декларацию с семейным, предоставлялся идентификатор в Центральной базе данных. Этот идентификатор Helsi использует сегодня для подтверждения личности.

Проблема же состоит в том, что далеко не все проверяли свои номера телефонов в системе — например, часто пациента регистрируют по телефону кого-то из родственников.

«Для нас всегда врач — это валидатор, и он подтверждает, что данные верны. Но бывает, что врачи могут элементарно ошибиться. И, к сожалению, сегодня до сих пор нет идеальной системы, где мы можем идентифицировать каждого Евгения Евгеньевича Донца как Евгения Евгеньевича Донца. Потому что у нас, по сути, не работают качественно ID-карты, а интеграция, например, с «Дией», о чем мы сейчас серьезно думаем, — там, ЭЦП, Банк ID — это все равно не дает полного покрытия и гарантии того, что все люди будут вносить в систему данные без ошибок», — объясняет директор Helsi.

Сегодня, чтобы войти в систему, нужно ввести номер телефона и код из смс. Сейчас в Helsi работают над тем, чтобы внедрить более сложные способы доступа.

«Это не проблема локального характера или что-то еще — это проблема пользовательской культуры, и, в частности, культуры поставщиков услуг. Раньше мы не волновались из-за того, что написано в нашей медицинской карточке. Когда ее не могли найти в стопках непонятной желтой бумаги в регистратуре, это было плохо, но никто так сильно не задумывался о доступе к медицинской информации. Сейчас новая эра, и нам нужно вырабатывать новую культуру, где пациент осознает, что он вносит свой номер телефона, вносит свои паспортные данные, там накапливаются его медицинские данные, и он должен их проверять», — говорит Евгений Донец.

Сподобався матеріал?

Підтримай Заборону на Patreon, щоб ми могли випускати ще більше цікавих історій