Підроблення сертифікатів і безпека даних. Як працює медична платформа Helsi

3 жовтня 2021, 11:48

Перша в Україні електронна медична платформа — Helsi — з’явилась ще 2016 року, але справді масово про неї заговорили з приходом пандемії COVID-19, коли вона стала невід'ємною частиною кампанії з вакцинації.

НВ розпитав СЕО компанії Євгена Донця про те, як зберігають і захищають дані користувачів у базі, чому COVID-сертифікати формуються в Дії та що наразі дозволяє робити функціонал порталу.

Відео дня

HELSI — це пацієнтський портал і медична інформаційна система, яка співпрацює з медичними закладами. Схожі системи з’явилися в Європі ще у 1990-х роках, а в США взагалі наприкінці 1970-х (найбільша МІС [медична інформаційна система] Америки Epic працює з 1979 року). Масово задумуватися про такий сервіс пацієнти почали з появою смартфонів та розвитком мобільного інтернету.

Євген Донець

CEO Helsi

На українському ринку вже давно працюють сайти-агрегатори, які надають інформацію про лікарів та їхні послуги. Проте вони стосувалися або приватних клінік та лабораторій, або аптек та ліків. А от у державній медицині такого не було, хоча за статистикою 85% громадян користуються державною медициною.

Ми підтримали початок Медичної реформи 2016 року й вирішили створити великий проєкт, об'єднавши пацієнтів та лікарів, щоб записатися на прийом стало так само просто, як «забукати» готель. Він мав охоплювати не лише декларації та запис на прийом, а загалом усі можливі медичні послуги, які можуть бути потрібні лікарю та пацієнту, єдину екосистему. Звісно, приватні клініки більш діджиталізовані та відкриті до змін, але ми хотіли робити масштабний проєкт. Відправною точкою став Подільський район Києва з його державними лікарнями, а зараз із HELSI — півтори тисячі медзакладів і мільйони клієнтів у всіх областях України.

Як HELSI збирає та зберігає дані?

Згоду на обробку будь-яких персональних даних дають самі пацієнти. Чим більше лікарі знають про людину, тим ефективнішою буде робота. Саме тому громадяни мають усвідомлювати, що передають особисті дані. Ми про це попереджаємо. Спочатку медичні заклади боялися з нами співпрацювати, адже вони звикли, що уся інформація зберігається не у якійсь незрозумілій хмарі, а у конкретних зошитах на поличках. Однак, з цими даними дуже важко працювати, а безпека їхнього зберігання дуже сумнівна.

За збереження даних ми відповідаємо за законодавством України: у нас є атестат відповідності від Держспецзв’язку, ми працюємо з Офісом уповноваженого з прав людини, Департаментом з роботи з персональними даними, Міністерством охорони здоров’я та Міністерством цифрової трансформації. Крім того, HELSI керується світовими безпековими трендами.

Наразі держава відповідає за центральну базу медичних даних, яка називається ЕСОЗ (Електронна система охорони здоров’я). Вона збирає врегульовану державою інформацію та акумулює її. Власником ЕСОЗ є Національна служба здоров’я, адміністратором — ДП Електронне здоров’я, а регуляторам — МОЗ і Мінцифри. Ми є периферійним компонентом, що збирає інформацію та доповнює її за згоди користувачів. Тому ми проходимо усі тестування, щоб відповідати державним нормам. Щоб додати нову функціональність, ми проходимо тестування, отримуємо позитивний висновок, а потім — доступ до її використання. І так зобов’язані робити усі МІСи.

У нашій системі не було інцидентів з витоком даних через нашу провину. Однак, цього року таке сталося через недбалість лабораторії у Дніпрі. Також нещодавно в інтернеті з’явилася інформація про певну базу вакцинованих людей. Це, звісно, фейк. Жодного разу наша база даних не була порушена, були разові звернення від пацієнтів про певні неточності, однак це пов’язано з внутрішніми організаційними процесами, які просто потрібно краще налаштувати. На жаль, і самі пацієнти, і лікарі, можуть зробити помилки під час реєстрації, що жодним чином не стосуються безпеки даних.

Чому дані про вакцинацію можуть не відображатися у HELSI?

На жаль, певний відсоток вакцин не вносять в електронну систему за різними причинами: не було інтернету, поспішали, записали на папері тощо. Має існувати культура з боку медичних закладів та пацієнтів: перші зобов’язані вносити дані про вакцинацію, а другі — перевіряти їхню наявність у базі. З таким формулюванням користувачі дуже незгідні — пацієнти фактично не можуть перевіряти те, що робить лікар у системі, у нього немає такої змоги. Хіба що він буде безпосередньо дивитися як це робить лікар. Звісно, некоректно внесені дані не будуть відображатися у системі, але через HELSI можна зв’язатися з лікарем, який проводив вакцинацію та вирішити це питання.

Це може зробити тільки сімейний лікар, або лікар, який проводив вакцинацію, ми не маємо права втручатися в інформацію про пацієнтів, тому марно нас про це просити у службі підтримки.

Коли пацієнт отримує щеплення від коронавірусу — ці дані вносяться до ЕСОЗ через Helsi або будь-яку іншу інформаційну систему з такою функціональністю. Внесені до ЕСОЗ дані ми відображаємо для своїх користувачів у додатку та кабінеті користувача на сайті. Якщо ваш медзаклад або лікар працює з Helsi, то ви побачите ці дані. Проте якщо медзаклад не працює з Helsi, а користувач не бачить їх у додатку — це не страшно. Головне, щоб дані були в ЕСОЗ.

Дія бере дані з ЕСОЗ і на їх основі генерує сертифікат з QR-кодом. Проте у Дії більш жорсткі вимоги до якості даних. Наприклад, номер вакцини має співпадати з реєстром вакцин, а оскільки реєстрів на старті вакцинації не було, лікарі могли робити механічні помилки — Дія може не розпізнавати ці дані. Виправити помилку може або сімейний лікар, або лікар, який проводив вакцинацію. За законом тільки у них є доступ до медичних даних пацієнта.

Чому сертифікати про вакцинацію розміщені у Дія, а вся медична інформація — у HELSI?

Дія — дуже крутий державний сервіс, який надає цілу купу адміністративних послуг. HELSI — суто медична інформаційна система. Коли почалася пандемія, ми планували, що уся необхідна інформація (вакцинація, статистика, адміністративне керування тощо) відображатиметься у нас. На жаль, ми не встигли все зробити так швидко, як було потрібно, тому інформація про вакцинацію формується в HELSI, а сертифікат — в Дії. Сподіваюся, що скоро ми також зможемо інтегрувати сертифікати на нашій платформі, це точно станеться.

Чому виникає можливість підробки сертифікатів про вакцинацію?

Сертифікат про вакцинацію, який формується на базі даних HELSI перебуває у відповідальності лікаря, який має електронний цифровий підпис та фактично робить юридично значиму дію. Без дії лікаря, яка залишає слід у системі, зробити сертифікат неможливо. HELSI — інструмент, а не орган контролю. Стороння людина, не лікар, не зможе сформувати інформацію про вакцинацію, але й перевірити, чи дійсно була введена вакцина ми не можем. Тому це залишається на совісті конкретного медичного закладу, працівника та пацієнта. Звісно, можуть існувати підроблені «намальовані» сертифікати, але вони не чинні без низки юридичних дій.

Насправді я певен, що підробити документи та сертифікати за умови існування цифрової системи значно важче, ніж за її відсутності. Будь-яка дія у системі залишає слід, на відміну від роботи з паперовими даними. Ризик незаконних дій став нижчим, а їхнє розслідування — легшим.

Ми апріорі довіряємо лікарям, адже вони — наші руки. Усе інше залишається на їхній совісті.

Підробка документів передбачає кримінальне покарання не лише для тих, хто займається такою діяльністю. За свідоме використання фальсифікованих документів (тобто, якщо людина свідомо замовляє підроблений документ) передбачена відповідальність від штрафу 850 грн до двох років у в’язниці. Про всі випадки, які стосуються фейкових сертифікатів, ті про які ми дізнаємося, ми одразу повідомляємо МОЗ, СБУ та МВС.

Що зараз можна робити у HELSI

  1. На жаль, зараз неможливо онлайн підписати декларацію з сімейним лікарем, однак на сайті можна перезаповнити декларацію, щоб не витрачати час на прийомі у лікаря. Для цього потрібно зареєструватися, внести усі потрібні дані, які потім лікар побачить у системі.
  2. Обрати сімейного лікаря для підписання декларації — для цього є спеціальна позначка Лікар приймає декларації, яка показує, що лікар ще не набрав ліміт пацієнтів.
  3. Обрати будь-якого лікаря за фільтрами спеціалізації, його прізвищу, району, клініці (державна чи приватна), навіть за роками стажу чи статтю.
  4. Записатись на відеоконсультацію з лікарем. У лікаря, що проводить відеоконсультації є відповідна позначка з відеокамерою. Це дуже зручно у часи пандемії, щоб не приходити на прийом у медзаклад.
  5. Переглянути прийоми, їхні деталі, призначення лікаря, записатись на повторний прийом.
  6. Переглянути направлення, рецепти та зберігати всі відповідно у власному кабінеті в розділі Мої рецепти.
  7. Зберігати медичні документи та мати до них доступ через особистий кабінет в розділі Медичні документи.
  8. Шукати ліки зі знижками та бронювати у зручній аптеці у розділі Ліки online.
  9. Обирати приватних чи державних лікарів у пошуку за лікарями.
  10. Бачити всі щеплення, які були отримані пацієнтом в особистому кабінеті в розділі Мої вакцини.

Приєднуйтесь до нас у соцмережах Facebook, Telegram та Instagram.

Показати ще новини
Радіо НВ
X