Несколько дней назад опубликовал пост про Указ Президент по кибербезопасности.
И примерно в это же время в интернете появилась информация о том, что выставлена на продажу базу данных клиентов, предположительно, медицинской лаборатории «Гемотест». В базе данных 31 млн строк, содержащих ФИО, дату рождения, адрес, телефон, адрес электронной почты, серию/номер паспорта клиентов, а таже результаты лабораторных исследований.
При обращении в медицинскую организацию пациент дает согласие на обработку своих персональных данных. Это фиксируется в самом договоре на оказание платных медицинских услуг либо идет отдельным документом, либо на сайте необходимо поставить соответствующий символ, иначе далее форма не будет открываться.
Обработка персональных данных включает и их хранение, функция которого отсутствие предоставления доступ к ним третьих лиц. Обеспечить надлежащее хранение – обязанность оператора персональных данных.
«Гемотест» - мощная частная компания, представленная во многих регионах России, которая может позволить потратить значительные средства на защиту персональных данных современными средствами. Ее возможности и возможности поликлиники (центральной районной больницы) несопоставимы.
Тем не менее, в защите «Гемотеста» произошел прорыв. Я не специалист – эксперт в сфере кибербезопасности, но могу предположить, что сработал человеческий фактор. Утечка произошла на уровне работника медицинской лаборатории (кто-то умыкнул конфиденциальную информацию) либо профессионал из-вне смог пробить (вскрыть) киберзащиту. Как говорится: на всякий хитроумный сейф найдется еще более квалифицированный взломщик.
Но не об этом сейчас речь. Удобство он-лайн сервисов (телемедицина и ей подобные), электронные истории болезни и прочая цифровизация здравоохранения неизбежно будут сопровождаться утечками персональных данных.
Кибербезопасность требует средств. В государственном здравоохранении данная статья расходов не в приоритете в силу других очевидных кричащих проблем (оплата труда врачей и среднего медицинского персонала и пр.).
Поэтому не нужно быть провидцем - футурологом для прогноза об очередных рисках для учреждений здравоохранения, как в плане вменения государством мер юридической ответственности за несоблюдение требований законодательства о защите персональных данных, так и исках потребителей медицинских услуг, если сведения о них появятся в свободном доступе.
Что этому могут противопоставить бюджетные учреждения здравоохранения?
Стандартный ответ: соблюдать требования законодательства о защите персональных данных. Проще простого!
Но …. реализация мер защиты невозможна без наличия квалифицированных кадров, программного обеспечения, высокотехнологичного компьютерного «железа». Все вышеназванное требует финансов, а их нет….
Спасает государственную медицину, на мой взгляд, лишь то, что база данных поликлиники или окраиной ЦРБ пока не интересна потенциальным кибервзломщикам.
Для них потенциальный интерес представляют частные клиники - лидеры рынка платных медицинских услуг.
А что вы думаете по этому поводу?
Подписывайтесь на канал медицинского юриста, рекомендуйте коллегам!
Буду признателен за оценку статьи «пальцем вверх».
Пишите комментарии, задавайте вопросы. Отвечу, непременно.
Обеспечение кибербезопасности вменяется и медицинским организациям?