Проблемы Единого регистра заболеваний: риски для пациентов и эффективность защиты

Напомню суть – 31 мая сего года Правительство выпустило Постановление №822, согласно которому данные о пациентах, страдающих одним из 12 перечисленных в постановлении заболеванием, будут автоматически передаваться во вновь созданный единый Регистр заболеваний.

Кто-то из читателей выражал мысль, что если данные, поступающие в Регистр, обезличены, то это может не нести рисков для пациентов. Однако в Постановлении хоть и сделаны реверансы в сторону Закона о защите персональных данных и Закона о врачебной тайне, но на деле, передавать планируется именно данные с ФИО. В частности, чтобы МВД могло у себя заблокировать выдачу разрешений на вождение и оружие для лиц, страдающих психическими и другими расстройствами.

Кроме того, если немного подумать, историю болезни нельзя эффективно обезличить, она слишком уникальна.

За это время я поговорила с парой руководителей ИТ из органов правопорядка, перечисленных в Постановлении. Их мнение таково: да, передаваться будут, конечно, персональные данные. И большим вопросом является способность Минздрава эти данные защитить.

Оба моих собеседника отметили соображение, которое первым приходит в голову любому специалисту по ИТ – единую базу выгоднее атаковать, так как в ней много данных, и точно будет, чем поживиться. А как мы знаем из практики, нападение всегда дешевле защиты. Ведь тому, кто защищает, надо предусмотреть все возможные вектора атаки, а нападающему достаточно проковырять маленькую дырочку. Лучше в «человеческой части» ИТ-системы. Например, дать денежку сотруднику, имеющему доступ к данным.

Оба моих собеседника (а я разговаривала с ними независимо и в разное время) совершенно уверены, что сотрудники, имеющие к базе доступ, будут приторговывать данными пациентов.

Развивая эту мысль – далее эти данные можно будет обогащать данными от других ведомств по нужному человеку. И таким образом, можно получить полный цифровой профиль человека, со всеми его связями, событиями, диагнозами, секретами.

Такие профили интересны очень многим честным и (или) криминальным игрокам. Например, страховым компаниям, которые перед заключением договора страхования с удовольствием изучат список болезней гражданина. И тогда человек с раком или заболеваниями сердечно-сосудистой системы не сможет заключить приличный страховой договор. Или, например, банкам перед выдачей человеку кредита. Зачем больному или обречённому давать кредит? Или, например, любой коммерческой компании при найме человека на работу. Больному, беременной – можно сказать – «Вы нам не подходите» без объяснения причин (а это будет, между прочим, нарушением статьи Уголовного Кодекса).

А ведь данные централизованных баз данных Правительства планируется передавать наружу, а также и продавать! В том числе коммерческим игрокам.

И ещё: единый Регистр – это огромное поле для коррупции – от «не включайте меня, заплачу» до шантажа и вымогательств любого вида. Ведь в конечном итоге доступ к данным граждан получают не собственно ведомства (здания и бумажные институции), а люди, которые в этих зданиях работают. Если бы мы были на 100% уверены, что все получившие доступ исключительно честны, бескорыстны и праведны (и подписали все обязательства о неразглашении), мы бы, может, не так переживали о некорректном использовании данных. Но кто даст гарантии праведности ИТ-клерка, его ИТ-директора, начальника ИТ-директора? Особенно это сомнительно в отношении рядовых исполнителей, ИТ-клерков, у которых маленькая зарплата, а тут – такой источник лёгких денег. Как в том анекдоте про ППС-ника – «Вы что, ещё зарплату платите?! А я думал – пистолет дали, и крутись, как хочешь!».

Вся борьба с утечками персональных данных последних лет – ужесточение штрафов и наказаний за утечки данных – пока не влияла на рост числа и объёма утекающих персональных данных. Медицина была относительным исключением, потому что данные хранились по поликлиникам и были раздроблены. Да, утечки случались, но частные и ограниченные.

Создание единого Регистра заболеваний откроет дверь для массовых утечек чрезвычайно чувствительных данных.

Удивляет, что такое радикальное увеличение риска никем не обсуждается. Я искала отклики на Постановление в разных источниках – так, где-то есть небольшие заметки.

Только в некоторых сообщениях о Постановлении есть обсуждения. Например, на Дзене от 13 июля – 350 комментариев. И подавляющее большинство — против введения Регистра. Я нашла только 3 более-менее нейтральных высказывания и ни одного положительного.

Я также нашла несколько статей с опасениями, касающимися психических больных и предположениями о том, как можно попытаться избежать ловушки Регистра. То есть Постановление ещё не вступило в силу, а люди уже ищут способы обхода.

Удивительно, что об этом незаконном Регистре молчат Госдума, Совет по правам человека, правозащитные организации, Роскомнадзор – где они все? Неужели они допускают такое масштабное нарушение конституционных прав граждан?

Согласно ст. 13 № 323-ФЗ «Об основах охраны здоровья…» даже собственно факт обращения за помощью, диагноз и другие сведения о здоровье не могут раскрываться без согласия человека. Гражданин России должен иметь право решать, открывать сведения о себе в любой «Регистр» или нет.

Если мы не поборемся с этим сейчас, то следующий шаг – электронный ошейник и число Зверя на челе.

==================

«И он (зверь из земли, т.е. лжепророк антихриста) сделает то, что всем, малым и великим, богатым и нищим, свободным и рабам, положено будет начертание на правую руку их, или на чело их, и что никому нельзя будет ни покупать, ни продавать, кроме того, кто имеет это начертание, или имя зверя, или число имени его.» (Откр. 13: 16–18).

Источник: vk.com

Источник: ai-news.ru