Ваші діагнози в їхніх руках: що електронні медсервіси роблять з персональними даними і чим це загрожує
17 лютого 2022
17.02.2022

Автор: Богдан Миколайчук — молодший юрист з медійного права Центру демократії та верховенства права

В Україні електронна система охорони здоров’я на початку розвитку. Деякі заклади досі користуються паперовими картками, а лікарі видають паперові рецепти. Але понад 27 мільйонів громадян зареєстровані у медичних сервісах. Їхні дані масово обробляє держава, медзаклади і приватні сервіси.

Коли йдеться про медичні дані – ставки зростають, адже вони вважаються чутливими. Їхнє розголошення може сильно впливати на життя людини. Навряд чи комусь хочеться, щоб інші довідалися про його венеричну або психічну хворобу.

Тож чи відповідає українське законодавство викликам у сфері медичних даних, чи наші дані достатньо захищені, чи можемо ми контролювати їх і чи не передаються вони бездумно будь-кому?

Коротко про eHealth

За Законом «Про державні фінансові гарантії медичного обслуговування населення» електронна система охорони здоров’я (eHealth) забезпечує автоматизацію обліку медичних послуг та управління медичною інформацією в електронному вигляді. До її складу входять центральна база даних та електронні медичні інформаційні системи, між якими забезпечений автоматичний обмін інформацією .

МІС – програми, через які громадяни записуються до лікарів, отримують скерування, переглядають медичну картку, а лікарі проглядають і адмініструють записи пацієнтів, дивляться історію хвороби, видають скерування. Їх зазвичай створюють юридичні особи чи ФОПи, які відповідають технічним вимогам, пройшли перевірку на сумісність з Центральною базою даних, а також підписали договір з держпідприємством «Електронне здоров’я», яке є адміністратором бази даних. Серед відомих МІС: Helsi, Medcard24, Moniheal, Health24 та інші.

Коли до бази даних підключаються МІС, вони отримують доступ до реєстрів, але обробляти інформацію з них про конкретну особу вони можуть лише за згодою.

Як в Україні працюють з персональними даними

Пацієнт може надавати лікарям чи третім особам право на доступ до персональних даних та іншої інформації, яка є в електронній системі охорони здоров’я: стан здоров’я, діагноз, відомості про обстеження тощо. Стаття 7 Закону України «Про захист персональних даних», дозволяє обробку медичних даних людини для роботи електронної системи охорони здоров’я. Обробку можуть здійснювати:

  • медичні працівники;
  • співробітники медичного закладу;
  • фізичні особи-підприємці, які мають ліцензію на медичну практику;
  • працівники, відповідальні за захист персональних даних у лікаря-підприємця;
  • співробітники Національної служби здоров’я України (НСЗУ), відповідальні за захист персональних даних.

Чому МІС не входить до переліку осіб, які можуть обробляти медичні дані для функціонування eHealth? Пункт 1 ч. 2 цієї ж статті дозволяє обробляти чутливі дані, якщо на це є однозначна згода (пацієнта).

Згідно зі ст. 11 Закону, доступ до даних пацієнта, збережених у системі eHealth, можна отримати лише на підставі його згоди (або у крайніх випадках на кшталт загрози життю, рішення суду тощо).

Коли ми реєструємося в одній з електронних медичних систем, то надаємо юридичній особі доступ до:

  • паспортних даних, ідентифікаційного коду;
  • місця реєстрації та проживання;
  • даних про декларацію з сімейним лікарем;
  • записів до лікарів, рецептів;
  • історії хвороби тощо.

Що не так з угодами українських медичних сервісів про обробку?

Для реєстрації в електронній медичній системі користувач повинен прийняти угоду між користувачем і системою та дати згоду на обробку персональних даних. Ці угоди – дозвіл, який ми даємо медсервісам для роботи з нашими даними.

Ми проаналізували їх, щоб розібратися в плюсах і мінусах.

Реєстрація в медичному сервісі

Зазвичай пацієнт реєструється в електронній медичній системі за допомогою номеру мобільного телефону, який часто слугує і для автентифікації, а також вносить персональні дані. Реєструватися можна самостійно або через лікаря. У Технічних вимогах до МІС, вказано, що лікар може проводити автентифікацію через СМС пацієнту або через документи пацієнта.

Деякі сервіси, наприклад, Health24, дозволяють реєструватися і входити до особистого кабінету за допомогою електронної пошти.

Сервіс Medcard24 у своїй угоді вказує, що «обрані Користувачем Логін (зареєстрований номер телефону) і Пароль є достатньою інформацією для доступу Користувача на Сайт». Підтвердження входу через СМС може бути необов’язковим. При вході до Helsi достатньо ввести вигаданий раніше пароль.

В угодах зазначено, що користувач сервісу відповідає за свою частину безпеки даних: не передає нікому пароль і логін, користується антивірусом тощо. Але чи не ліпше удосконалити порядок реєстрації й автентифікації на медсервісах? Адже навіть у разі помилок з боку користувача, можна уникнути неприємностей.

Наприклад, юридична компанія Legal Support у вересні 2021 року описала досвід одного зі своїх юристів, в акаунті HELSI якого була інформація про зовсім іншу людину. Юристу розкрилися її персональні дані. Такі проблеми можуть виникати тому, що лікарі внесли у систему помилкові дані, реєструючи пацієнта у медсервісі. Вдосконалена автентифікація могла б цьому запобігти. Гарним прикладом є Естонія, де доступ до електронної системи відбувається виключно за ідентифікатором особи (персональним ID-паспортом). Це зводить до мінімуму можливість помилок, про які ми писали вище.

Які дані обробляє медичний сервіс?

Стаття 12 Закону «Про захист персональних даних» передбачає, що суб’єкту даних повідомляють про склад і зміст даних під час збирання. Тож в усіх без винятку угодах повинен бути перелік даних, що збираються.

Загалом усі сервіси збирають приблизно однакові дані, проте в угодах про це написано по-різному. І не завжди чітко і вичерпно.

Сервіс Helsi зазначає, що збирає як загальні дані про особу (ім’я, адреса проживання, паспортні дані тощо), так і чутливі дані про стан здоров’я. Medcard24 збирає загальні дані, проте не конкретизує, які саме, а відсилає до Закону «Про захист персональних даних». Водночас, чітко прописано, що сервіс збирає дані, що містять лікарську таємницю: факт звернення до лікаря, медичні послуги, препарати, які необхідні чи можуть такими бути для пацієнта тощо.

А ось з сервісом Health24 складніше. В угоді чітко вказано на загальні дані, які збираються. Проте жодного слова про медичні дані. Хоча сервіс призначений як для лікарів, так і для пацієнтів, на ньому є можливість записатися на прийом до лікаря, тож факт запису і звернення сервіс обробляє. А це лікарська таємниця.

Сервіс Askep також має проблеми. У розділі про дані, які збирає сервіс, написано: «Аскеп збирає дані, щоб ефективно керувати своїми продуктами та надавати вам найкращі можливості для роботи з ними. Деякі дані ви надаєте напряму, наприклад, коли створюєте обліковий запис в системі Аскеп, адмініструєте обліковий запис, надсилаєте на eHealth інформацію про заклад, лікаря, пацієнта, декларації». Це аж ніяк не можна вважати інформуванням користувачів про зміст і склад даних, які збираються.

Медсервіси повинні доопрацювати свої угоди, аби пацієнт, який реєструється в сервісі, чітко розумів що саме про нього буде знати сервіс.

Кому медсервіси передають дані?

Медичні сервіси є посередниками між пацієнтом і системою охорони здоров’я. Вони обмінюються даними між лікарями, клініками, органами охорони здоров'я з одного боку і пацієнтами з іншого. Закон «Про захист персональних даних» передбачає обов’язок у момент збору повідомляти суб’єкту даних, кому передаються його дані. Що стосується передачі даних без згоди, то це можливо лише у визначених законом випадках і тільки в інтересах нацбезпеки, економічного добробуту та прав людини (наприклад, в рамках кримінального провадження чи для порятунку людини, яка перебуває в небезпеці).

Кожен медсервіс повинен в угодах з користувачем зазначити цю інформацію. На практиці, такі зазначення дійсно є, проте вони не завжди є чіткими та вичерпними. Розглянемо приклади українських МІС.

Helsi дає вичерпний список суб'єктів, яким може передавати дані користувача: володільцям, які ведуть медичні реєстри або інші реєстри, куди має бути передана відповідна інформація, медзакладам та лікарям, тим, кому сам користувач дозволив доступ до даних. Також вказано, що медзаклади-користувачі Helsi, можуть передавати дані контролюючим органам, згідно з законодавством. Такий самий перелік надає і сервіс Health24.

Сервіс Medcard24 не містить переліку. В умовах обробки персональних даних зазначено, що сервіс має право передавати персональні дані, а користувач має право отримувати інформацію про третіх осіб, яким вони передаються. Сервіс навіть не окреслює можливі категорії осіб, кому може передати дані. У Типовому порядку обробки персональних даних Уповноваженого з прав людини зазначено, що володілець даних, яким Medcard24 і є, визначає саме перелік третіх осіб, яким може передати їх. Тож такий перелік має бути в угоді.

Угода з Moniheal передбачає, що система може «розкривати деякі ваші персональні дані» не лише органам, які мають право законно вимагати дані (органи слідства, прокуратури, суди), а й на вимогу «посадових осіб будь-якого державного органу, або якщо ми вважаємо, що розкриття необхідне або доцільне для запобігання заподіянню шкоди здоров'ю або фінансових збитків».

Це суперечить практиці Європейського суду з прав людини. Згідно з рішенням у справі Gardel v. France, доступ до персональних даних у реєстрах можуть отримувати тільки ті публічні службовці, які несуть офіційний обов’язок зберігати конфіденційність інформації. Ніяк не «будь-які». До того ж такий доступ повинен здійснюватися лише з конкретною законною метою (слідство, захист населення, державна безпека тощо).

Також Moniheal залишає за собою право передати «будь-які наявні у нас ваші персональні дані у разі повного або часткового продажу або передачі Товариства чи його активів». Відтак, обіцяють «докласти розумних зусиль», щоб правонаступник використовував дані за тими ж правилами.

Якщо дані пацієнтів оброблятиме правонаступник без згоди суб’єкта даних і не у визначений спосіб, це вважатиметься порушенням.

Де зберігаються дані?

Медичні сервіси часто зберігають дані пацієнтів на хмарних сервісах, укладаючи з ними угоду.

Закон України «Про захист інформації в інформаційно-телекомунікаційних системах» у ст. 8 зобов’язує здійснювати обробку даних з обмеженим доступом (це і медичні дані) виключно «в системі із застосуванням комплексної системи захисту інформації з підтвердженою відповідністю». Ця відповідність, своєю чергою, повинна підтверджуватися позитивним висновком державної експертизи.

Цим вимогам повинні відповідати організації, в яких технічно розміщені наші дані.

Відповідальність перед пацієнтами несуть саме медичні сервіси, адже з ними пацієнт укладає угоду. Вони повинні бути впевнені у спроможності хмарних сховищ. Наприклад, сервіс Health24 зберігає дані пацієнтів в організації ТОВ «ДЕ НОВО» і опублікував атестат відповідності організації на своєму сайті. Також в «ДЕ НОВО» зберігає дані медичний сервіс Medcard24.

Helsi зберігає дані в Базі персональних даних «Хелсі». Тобто медсервіс сам повинен відповідати переліченим вище вимогам і мати документи відповідності. На сайті компанії не вдалося знайти атестат, проте в реальності він є. На тендері Prozzoro сервіс опублікував файл атестату 2020 року. Так само свою базу даних має сервіс Infomed, на сайті якого розміщений й атестат відповідності.

Закон «Про захист персональних даних» встановлює право людини знати про місцезнаходження персональних даних. Сервіс Askep, приміром, цієї вимоги не дотримується. У правилах конфіденційності зазначено, що дані зберігаються в хмарному сервісі, а організація, яка забезпечує хостинг, гарантує безпеку. Проте найменування компанії і юридичної адреси немає.

Сповіщення, спам і cookie

Медсистеми мають розбіжності щодо правил маркетингу. Так, і Helsi, і Medcard24 передбачають надсилання СМС і листів на електронну пошту безвідносно до бажання користувача. Погодився користуватися сервісом – погодився на розсилку. В умовах користування сервісу Askep чітко вказано: «Завжди можна вибрати, чи ви бажаєте отримувати рекламні повідомлення електронної пошти, SMS, телефонні дзвінки та звичайні листи від Аскеп».

Під час користування додатком Moniheal з функцією надсилання повідомлень, додаток може надсилати ті сповіщення, на які надано згоду. Користувач може відмовитися від рекламних листів.

Це дає можливість відмовитися від використання персональних даних у маркетингових цілях. Така політика відповідає європейським стандартам, її також пропонують ввести і в українське законодавство у новому законопроєкті про персональні дані.

Слід зазначати чітку політику сповіщень, аби користувач знав як вберегтися від спаму. В Україні діє новий Закон «Про електронні комунікації», який визначив поняття спаму і встановив заборону на нього.

У світі розповсюджена протидія спаму. У 2007 році ЄСПЛ у справі Muscio v. Italy визнав спам втручанням в особисте життя і допустив, що особа може звертатися з позовом про відшкодування через шкоду від спаму. Окремо спам регулюється в США (CAN-SPAM Act), на рівні ЄС (GDPR і ePrivacy Directive), в конкретних країнах (наприклад, PECR у Великій Британії).

Медсервіси використовують cookie. Це файли, які завантажуються у браузер користувача і запам’ятовують його дії на різних сайтах і дані, які користувач вводить на сторінці. Так організації дізнаються про вподобання, тенденції, створюють статистику, використовуючи це для покращення сервісу, зручності користувача. Українське законодавство не регулює такі файли, проте повідомляти про них, як і про будь-яку іншу обробку даних, організації зобов’язані. Детальніше про cookie – в аналітиці ЦЕДЕМ щодо cookies та приватності.

Сервіс Askep попереджає, що використовує файли cookie, зокрема для реклами на основі інтересів, проте одразу вказує: за допомогою інструментів браузера ці файли можна видаляти або блокувати. Helsi використовує їх для збирання статистики, але їх також можна вимкнути за бажання.

Сервіс Health24 також використовує cookie і має окрему угоду про їх використання. Вказано, що ці файли можна вимкнути, проте в такому разі може зникнути доступ до певних функцій.

Доступність угод для користувача

Згода на обробку персональних даних передбачає поінформованість суб’єкта даних. Пацієнт, перед тим як дати згоду медичним сервісам на обробку даних, повинен розуміти мету обробки, склад і зміст даних, дії з ними тощо.

Helsi та Moniheal розмістили угоди у доступних місцях, написані вони нескладною юридичною мовою з урахуванням усіх необхідних термінів і понять.

Чого не скажеш про Askep, в угоді якого немає чіткого переліку дій з даними, третіх осіб, яким можуть бути передані дані. Хоч текст і простий, проте він дуже поверхневий і не дає достатнього розуміння прав і обов’язків користувача.

Сервіси Medcard24 і Health24 формалізовано підійшли до угоди з користувачем. Мова юридична, багато цитувань законодавства – непідготованим людям може бути важко це сприйняти. Але такий формат все одно прийнятний, і його широко застосовують.

На сайті «МедІнфоСервіс» не вдалося знайти правил конфіденційності і публічної оферти. Є лише експертний висновок щодо належного захисту інформації. Для користування сервісом його треба завантажувати на комп’ютер. Можливо, у додатку є інформація про умови користування, проте перевірити це можна тільки після отримання спеціального ключа для входу. Користувач не може дізнатися про правила конфіденційності, свої права та обов’язки заздалегідь.

Не всі медичні сервіси забезпечують доступність своїх публічних угод з користувачем. Важливо, щоб користувач до реєстрації розумів, на що підписується.

Доступ людини до своїх даних на сервісі

За правилами як міжнародних актів, так і українського закону про персональні дані, кожна людина повинна мати доступ до своїх даних, які вона надала державі, сервісу, роботодавцеві. І відстрочення такого доступу – недопустиме. Окрім доступу, особа може надсилати запит на зміну (наприклад, виправлення чи доповнення) чи знищення своїх даних, відкликати згоду на обробку даних, а також вимагати інформацію про третіх осіб, яким могли надати доступ до них.

На практиці ж користувачі МІС часто позбавлені невідкладного доступу до своїх даних або їхньої зміни. Про неможливість достукатися до сервісів під час проблемної ситуації розповідали, зокрема, медіакритик і журналіст Отар Довженко, а також психіатр і громадський діяч Сергій Глузман.

Якщо технічні або інші можливості не дають медичному сервісу виконувати обов’язки надання доступу до даних (наприклад, коли номер телефону можна змінити тільки через лікаря), то це не проблема чи клопіт користувача сервісу. Це клопіт саме медичного сервісу.

Помилки чи некоректна інформація в реєстрах можуть негативно впливати на комфортне життя людини. Про це йдеться у рішенні ЄСПЛ у справі Khelili v. Switzerland, в якій поліція без жодних доказів охрестила жінку повією у своїх комп’ютерних обліках «для профілактики», не бажаючи видаляти ці дані.

Якщо відбудеться витік

Медичні дані є цінними. У світі витоки медичних даних не є рідкістю. Масштабні випадки відбувалися у Франції і США. В Україні cеред відомих випадків був витік даних пацієнтів однієї з найбільших клінік Дніпра, причиною якого були помилки в системах самого закладу.

Хто відповідає за витік медичних даних?

За законом «Про захист персональних даних», як володілець, так і розпорядник відповідають за захист і безпеку даних в межах своїх обов’язків (це стосується медсервісів, хмарних сервісів, органів влади).

Стаття 188-39 Кодексу України про адміністративні правопорушення передбачає відповідальність за порушення правил роботи з персональними даними, неповідомлення Уповноваженого про обробку ризикованих даних, невиконання вимог Уповноваженого. За порушення закону про захист персональних даних винним загрожує максимум 34 тисячі гривень штрафу. Медичні сервіси також можуть відключити від системи охорони здоров’я. Також кожен, хто постраждав від витоку, може звернутися до суду з цивільним позовом про відшкодування шкоди, зокрема моральної.

Але в Україні немає сталої практики і суворої відповідальності за порушення у сфері персональних даних, як, наприклад, в ЄС. GDPR встановлює для всього Європейського Союзу можливість штрафувати порушників на суми до 20 млн євро або ж до 4% річного обігу компанії. У Франції за порушення використання cookie-файлів оштрафували Google на майже €100 млн, а в Німеччині за порушення GDPR (стеження за співробітниками) на понад €35 млн оштрафували компанію H&M.

Але якщо медична система, наприклад, не проаналізувала ризики і не встановила актуальні заходи захисту? Чи вважатиметься проникнення кіберзлочинців до її баз даних виною самого медичного сервісу? У розумінні українського законодавства – ні. Проте у світі аналіз ризиків є обов’язковим.

Людський фактор?

Лікарі можуть допускати помилки, які розкривають персональні дані. Про це говорить як співробітниця Helsi, так і той факт, що вони керують записами і картками пацієнтів. Лікарі, як професіонали, несуть відповідальність за захист персональних даних пацієнтів, про йдеться у Рекомендації CM/Rec(2019)2 Ради Європи щодо захисту медичних даних.

Але саме з медичним сервісом пацієнт укладає публічну угоду. Тож за все, що відбувається в рамках цієї системи, цивільну відповідальність перед користувачем несе сама МІС (наприклад, відшкодування).

Лікарі не мають права розголошувати лікарську таємницю (хвороба, факт обстеження, огляду, результати аналізів тощо). Вони також зобов'язані особисто забезпечувати захист персональних даних, якими володіють. Тож порушення з боку лікаря можуть тягнути за собою адміністративну відповідальність за статтею 188-39 КУпАП (до 34 тисяч грн штрафу).

Кримінальна відповідальність щодо розкриття лікарської таємниці настає лише у разі умисних дій медпрацівника і за наявності тяжких наслідків. Або якщо розкрито інформацію про обстеження людини на ВІЛ або СНІД.

Всесвітня організація охорони здоров’я у своєму посібнику щодо захисту персональних даних у медичній сфері наголошує на необхідності навчати та медичний персонал особливостям захисту даних. Міністерство охорони здоров’я має програми безперервного професійного розвитку медичних працівників.

Висновки

З огляду на розглянуте, можна виокремити низку порад і рекомендацій.

  1. Законодавство про персональні дані варто привести у відповідність з сучасними викликами і європейськими стандартами. У Верховній Раді ще влітку 2021 зареєстрований відповідний законопроєкт. Він пропонує збільшення штрафів до мільйонів гривень; вводить поняття технології відстеження поведінки (cookie), профілювання (створення такого собі портрета людини в мережі), оцінки ризиків для суб’єкта даних та ін.

  2. Освіта й підвищення кваліфікації медичних працівників повинні бути на найвищому рівні. Відповідальні органи влади мають створювати програми, актуальні на певний відрізок часу і оновлювати їх постійно. Захист персональних даних повинен бути одним із обов’язкових освітніх модулів, а його проходження має передбачати бездоганне вирішення практичних завдань і симуляцій.

Також необхідно створювати додаткові роз’яснення і посібники щодо захисту медичних даних.

Медичні системи повинні бути зацікавленими в тому, щоб медичні заклади, які з ними працюють, мінімізували помилки у користуванні сервісом зі свого боку. А тому доцільно було б періодично проводити тренінги та лекції для персоналу закладів, підключених до тієї чи іншої інформаційної системи. Сервіс Helsi, наприклад, має навчальний портал.

  1. Медичні сервіси повинні привести у відповідність до чинного законодавства публічні оферти і умови конфіденційності. Там обов’язково повинні бути вказані відомості, передбачені договором з НСЗУ:

1) ким та з якою метою будуть оброблятися персональні дані; 2) кому та за яких умов будуть передаватися; 3) які саме дані будуть передаватися та/або оброблятися; 4) права, визначені ч. 2 ст. 12 ЗУ «Про захист персональних даних».

Ці відомості мають бути надані користувачу у доступному вигляді, не повинні бути приховані в низці розділів і підрозділів сайту.

  1. Безпеку даних потрібно покращувати. В Україні вже давно можна користуватися як мобільним ID, так і цифровими ключами та іншими засобами.

  2. Користувачі мають відповідально ставитися до вибору медсистеми і уважно проаналізувати умови (детальніше в інфографіці).

Повну версію аналітичного матеріалу з усіма деталями, міжнародним регулюванням і більшою кількістю прикладів можна прочитати на сайті ЦЕДЕМ.