Подделка сертификатов и безопасность данных. Как работает медицинская платформа Helsi

НВ расспросил СЕО компании Евгения Донца о том, как хранят и защищают данные пользователей в базе, почему COVID-сертификаты формируются в Дії и что сейчас позволяет делать функционал портала.

HELSI — это пациентский портал и медицинская информационная система, которая сотрудничает с медицинскими учреждениями. Похожие системы появились в Европе еще в 1990-х годах, а в США вообще в конце 1970-х (крупнейшая МИС [медицинская информационная система] Америки Epic работает с 1979 года). Массово задумываться о таком сервисе пациенты начали с появлением смартфонов и развитием мобильного интернета.

На украинском рынке уже давно работают сайты-агрегаторы, которые предоставляют информацию о врачах и их услугах. Однако они касались или частных клиник и лабораторий, или аптек и лекарств. А вот в государственной медицине такого не было, хотя по статистике 85% граждан пользуются государственной медициной.

Мы поддержали начало Медицинской реформы 2016 года и решили создать большой проект, объединив пациентов и врачей, чтобы записаться на прием стало так же просто, как «забукать» отель. Он должен был охватывать не только декларации и запись на прием, а в целом все возможные медицинские услуги, которые могут потребоваться врачу и пациенту, единую экосистему. Конечно, частные клиники более диджитализированы и открыты для изменений, но мы хотели делать масштабный проект. Отправной точкой стал Подольский район Киева с его государственными больницами, а сейчас с HELSI — полторы тысячи медучреждений и миллионы клиентов во всех областях Украины.

Как HELSI собирает и хранит данные?

Согласие на обработку любых персональных данных дают сами пациенты. Чем больше врачи знают о человеке, тем эффективнее будет работа. Именно поэтому граждане должны понимать, что передают личные данные. Мы об этом предупреждаем. Сначала медицинские учреждения боялись с нами сотрудничать, ведь они привыкли, что вся информация хранится не в каком-то непонятной облаке, а в конкретных тетрадях на полках. Однако, с этими данными очень трудно работать, а безопасность их хранения очень сомнительна.

За сохранность данных мы отвечаем по законодательству Украины: у нас есть аттестат соответствия от Госспецсвязи, мы работаем с Офисом уполномоченного по правам человека, Департаментом по работе с персональными данными, Министерством здравоохранения и Министерством цифровой трансформации. Кроме того, HELSI руководствуется мировыми безопасностными трендами.

Читайте также:

Лечение кликами. Как украинская е-медицина привлекла десятки инвесторов и рассчитывает на шестикратный рост продаж

Сейчас государство отвечает за центральную базу медицинских данных, которая называется ЭСЗ (Электронная система здравоохранения). Она собирает урегулированную государством информацию и аккумулирует ее. Владельцем ЭСЗ является Национальная служба здоровья, администратором — ГП Электронное здоровье, а регуляторами — МЗ и Минцифры. Мы являемся периферийным компонентом, собирающим информацию и дополняющим ее с согласия пользователей. Поэтому мы проходим все тестирования, чтобы соответствовать государственным нормам. Чтобы добавить новую функциональность, мы проходим тестирование, получаем положительное заключение, а затем — доступ к ее использованию. И так обязаны делать все МИСы.

Дайджест главных новостей

Бесплатная email-рассылка только лучших материалов от редакторов NV

Подпишись

Рассылка отправляется с понедельника по пятницу

В нашей системе не было инцидентов с утечкой данных по нашей вине. Однако, в этом году такое произошло из-за халатности лаборатории в Днепре. Также недавно в интернете появилась информация об определенной базе вакцинированных людей. Это, конечно, фейк. Ни разу наша база данных не была нарушена, были разовые обращения от пациентов об определенных неточностях, однако это связано с внутренними организационными процессами, которые просто нужно лучше настроить. К сожалению, и сами пациенты, и врачи, могут сделать ошибки при регистрации, что не имеет никакого отношения к безопасности данных.

Почему данные о вакцинации могут не отображаться в HELSI?

К сожалению, определенный процент вакцин не вносят в электронную систему по разным причинам: не было интернета, спешили, записали на бумаге и тому подобное. Должна существовать культура со стороны медицинских учреждений и пациентов: первые обязаны вносить данные о вакцинации, а вторые — проверять их наличие в базе. С такой формулировкой пользователи очень не согласны — пациенты фактически не могут проверять то, что делает врач в системе, у него нет такой возможности. Разве что он будет непосредственно смотреть как это делает врач. Конечно, некорректно внесенные данные не будут отображаться в системе, но через HELSI можно связаться с врачом, который проводил вакцинацию и решить этот вопрос.

Когда пациент получает прививку от коронавируса — эти данные вносятся в ЭСЗ через Helsi или любую другую информационную систему с такой функциональностью. Внесенные в ЭСЗ данные мы отражаем для своих пользователей в приложении и кабинете пользователя на сайте. Если ваше медучреждение или врач работает с Helsi, то вы увидите эти данные. Однако если медучреждение не работает с Helsi, а пользователь не видит их в приложении — это не страшно. Главное, чтобы данные были в ЭСЗ.

Дия берет данные из ЭСЗ и на их основе создает сертификат с QR-кодом. Однако у Дии более жесткие требования к качеству данных. Например, номер вакцины должен совпадать с реестром вакцин, а так как реестров на старте вакцинации не было, врачи могли делать механические ошибки — Дия может не распознавать эти данные. Исправить ошибку может или семейный врач, или врач, который проводил вакцинацию. По закону только у них есть доступ к медицинским данным пациента.

Почему сертификаты о вакцинации размещены в Дие, а вся медицинская информация — в HELSI?

Дия — очень крутой государственный сервис, который предоставляет кучу административных услуг. HELSI — сугубо медицинская информационная система. Когда началась пандемия, мы планировали, что вся необходимая информация (вакцинация, статистика, административное управление и т. п.) будет отображаться у нас. К сожалению, мы не успели все сделать так быстро, как было нужно, поэтому информация о вакцинации формируется в HELSI, а сертификат — в Дие. Надеюсь, что скоро мы также сможем интегрировать сертификаты на нашей платформе, это точно произойдет.

Почему возникает возможность подделки сертификатов о вакцинации?

Сертификат о вакцинации, который формируется на основе данных HELSI, находится в ответственности врача, имеющего электронную цифровую подписи и фактически осуществляет юридически значимое действие. Без действия врача, которое оставляет след в системе, сделать сертификат невозможно. HELSI — инструмент, а не орган контроля. Посторонний человек, не врач, не сможет сформировать информацию о вакцинации, но и проверить, действительно ли была введена вакцина, мы не можем. Поэтому это остается на совести конкретного медицинского учреждения, работника и пациента. Конечно, могут существовать поддельные «нарисованные» сертификаты, но они не действуют без ряда юридических действий.

На самом деле я уверен, что подделать документы и сертификаты при условии существования цифровой системы значительно труднее, чем в ее отсутствие. Любое действие в системе оставляет след, в отличие от работы с бумажными данными. Риск незаконных действий стал ниже, а их расследование — легче.

Подделка документов предусматривает уголовное наказание не только для тех, кто занимается такой деятельностью. За сознательное использование фальсифицированных документов (то есть, если человек сознательно заказывает поддельный документ) предусмотрена ответственность от штрафа 850 грн до двух лет в тюрьме. Обо всех случаях, касающихся фейковых сертификатов, тех о которых мы узнаем, мы сразу сообщаем в Минздрав, СБУ и МВД.

Что сейчас можно делать в HELSI

1. К сожалению, сейчас невозможно онлайн подписать декларацию с семейным врачом, однако на сайте можно перезаполнить декларацию, чтобы не тратить время на приеме у врача. Для этого нужно зарегистрироваться, внести все необходимые данные, которые затем врач увидит в системе.
2. Выбрать семейного врача для подписания декларации — для этого есть специальная отметка Врач принимает декларации, которая показывает, что врач еще не набрал лимит пациентов.
3. Выбрать любого врача по фильтрам специализации, его фамилии, району, клинике (государственная или частная), даже по годам стажа или полу.
4. Записаться на видеоконсультацию с врачом. У врача, который проводит видеоконсультации, есть соответствующая отметка с видеокамерой. Это очень удобно во времена пандемии, чтобы не приходить на прием в медучреждение.
5. Посмотреть приемы, их детали, назначения врача, записаться на повторный прием.
6. Посмотреть направления, рецепты и сохранять все соответственно в собственном кабинете в разделе Мои рецепты.
7. Хранить медицинские документы и иметь к ним доступ через личный кабинет в разделе Медицинские документы.
8. Искать лекарства со скидками и бронировать в удобной аптеке в разделе Лекарство online.
9. Выбирать частных или государственных врачей в поиске по врачам.
10. Видеть все прививки, которые были получены пациентом, в личном кабинете в разделе Мои вакцины.