Уважаемая ГГ! Министерство здравоохранения касательно поставленных Вами вопросов, сообщает.
Вопрос:
1. Для получения медицинской услуги необходимо использовать сервис «Цифровой документ». Нажмите "Открыть доступ". Если у Вас нет смартфона, Вы можете подтвердить личность через Face ID. Также, у Вас остается право пройти идентификацию по документу, удостоверяющих Вашу личность.
Между тем, Хартия основных прав ЕС включает право на: Достоинство, отсутствие дискриминации, неприкосновенность частной жизни и конфиденциальность.
Ответ отсутствует.
Вопрос:
2. Согласно стандарту ПМСП медицинская помощь включает идентификацию пациента, однако детализации и определения этого понятия нет. То есть, пациент может прийти с удостоверением личности и этого достаточно.
Ответ:
Согласно приказа и.о. МЗ РК от 30 марта 2023 года № 49 «Об утверждении Стандарта организации оказания ПМСП медицинский работник обязан проводить идентификацию пациента перед приемом, на приеме проводит идентификацию.
Однако в данных нормативных актах не регламентирован конкретный процесс идентификации, что позволяет использовать идентификацию, включая биометрическую. Применение цифровой идентификации не нарушает прав пациентов, так как альтернативные способы подтверждения личности сохраняются, и биометрическая идентификация осуществляется только с согласия субъекта данных, в соответствии с Законом РК «О персональных данных и их защите».
Таким образом, отсутствие регламентации верификации позволяет проводить биометрию, что вызывает скепсис в отношении правомерности подобных решений.
Вопрос:
3. Пациенту, согласно Кодексу о персональных данных предоставляется право выбора передачи персональных данных. В случае отказа от сбора, обработки и хранения персональных данных передача их в НЭПЗ не будет осуществляться. Таким образом, пациент имеет право отзыв согласия на обработку персональных данных в соответствии со статьёй 8 Закона РК "О персональных данных". А это действие – сбор, то есть пациент имеет право на отказ!?
Ответ:
Да, согласно указанным нормам, пациент действительно имеет право отказаться от сбора, обработки и хранения своих персональных данных. Право на отказ– пациент может не давать согласие на обработку персональных данных. Право на отзыв согласия – если пациент уже дал согласие, он может его отозвать в любое время (статья 8 Закона РК «О персональных данных»). Если пациент не соглашается на сбор и обработку данных, передача их в НЭПЗ (Национальный электронный паспорт здоровья) не будет осуществляться.
Вопрос.
4. В приказе МЗ за № 175 отсутствует утвержденная форма отказа/согласия пациента от биометрии.Ответ отсутствует.
Вопрос.
5. Статья 273. Тайна медицинского работника
Не допускается подключение электронных информационных ресурсов, содержащих персональные медицинские данные физических лиц, к сетям телекоммуникаций, связывающим их с другими базами данных, без их согласия при использовании медицинских данных, касающихся их частной жизни, кроме определенных случаев.
Ответ.
Согласно статье 273 Кодекса «О здоровье народа и системе здравоохранения», подключение электронных информационных ресурсов, содержащих персональные медицинские данные, к сетям телекоммуникаций возможно только с согласия физического лица, за исключением предусмотренных законом случаев.
Вопрос.
6. В НПА МЗ, как и в Кодексе о здоровье, консолидирующем Законе РК нет ссылок и упоминаний на биометрию, соответственно, отсутствует регламент его реализации, что говорит о нелегитимности этой процедуры.
В этой связи нарушен принцип верховенства норм права?
Ответ:
В настоящее время Министерство разрабатывает изменения в Кодекс, которые будут регламентировать процесс биометрической идентификации в медицинской сфере.
Вопрос:
7. Частным МИС предоставят доступ к базе данных ГБДФЛ?
Ответ:
Частные МИС не имеют прямого доступа к Государственной базе данных физических лиц (далее - ГБДФЛ). Министерством разработан сервис идентификации, подключенный к ГБДФЛ, который используется в МИС для получения необходимых данных. Интеграция осуществляется в соответствии с Законом РК «Об информатизации», который регулирует порядок взаимодействия государственных и частных систем.
Вопрос:
8. Согласно стандарту ПМСП: Продолжительность времени приема на 1 пациента 20 минут, время приема при проведении профосмотров – 15 минут. Какое время занимает процедура биометрии в рамках исполнения должностных обязанностей медиков? Где это закреплено, хронометраж проводился?
Ответ:
В рамках стандартов ПМСП и других нормативных документов Министерства не регламентировано время, необходимое для биометрической идентификации пациента. Согласно хронометражу в поликлиниках Астаны на проведение идентификации пациента приходится не более 8-10 секунд. В настоящее время Министерство разрабатывает изменения в НПА, которые будут регламентировать процесс биометрической идентификации в медицинской сфере.
Вопрос:
9. В маршруте оказания специализированной медицинской помощи в амбулаторных условиях в разрезе профилей, нет упоминаний о необходимости идентификации, не говоря о биометрии.
Ответ:
В маршруте оказания специализированной медицинской помощи в амбулаторных условиях отсутствуют требования по обязательной биометрической идентификации пациентов.
Вопрос:
10. Гражданский Кодекс РК. Статья 145. Никто не имеет право использовать изображение лица без его согласия. Следовательно, пациенты имеют право не проходить биометрию?!!!
Ответ:
Да, согласно указанным нормам, пациент действительно имеет право отказаться от сбора, обработки и хранения своих персональных данных. Право на отказ – пациент может не давать согласие на обработку персональных данных.
Пс: Речь шла о биометрии.
Вопрос:
11. В приказе МЗ за № 335 нет ни слова о наличии веб камер в кабинетах, впрочем и иных НПА?!
Ответ:
В приказе МЗ № 335 не предусмотрено обязательное наличие веб-камер в кабинетах врачей, а также иных технических средств для биометрической идентификации. В настоящее время Министерство разрабатывает изменения в НПА, которые будут данный вопрос.
Вопрос:
12. В приказе МЦИРАП РК по биометрической аутентификации при оказании государственных услуг закреплено: Перед сбором и обработкой биометрических данных работник корпорации получает письменное согласие физического лица на сбор, обработку и хранение биометрических данных. Услугополучателю разъясняются условия и основания использования его биометрических данных при оказании госуслуг.
Аналогичного документа в НПА МЗ нет.
Ответ:
В настоящее время Министерство разрабатывает изменения в НПА, которые будут данный вопрос.
Пс: Орфография, стилистика без купюр.
Вопрос:
13. Имеется ли формула по которой можно рассчитать количество отказовот биометрии допустимого процентного соотношения с условной разбивкой по аналогии триажа: на зеленую, желтую, красную с целью исключения необоснованных претензий в адрес поставщика медуслуг.
Ответ:
На данный момент отсутствует формула расчета допустимого процента отказов от биометрической идентификации пациентов.
Вопрос:
14. Ответ МЗ в СМИ: За безопасность сохранности персональных данных пациентов несут ответственность все заинтересованные лица, имеющие к ним доступ. Кто конкретно? В случае взлома хакерами, как это уже было в МЗРК по РПН и Дамумед, кто понесёт ответственность за утечку персональных данных?
Ответ:
Ответственность за сохранность персональных данных несут операторы и организации, имеющие к ним доступ. В случае утечек предусмотрены административные и иные меры ответственности согласно действующим НПА в сфере информационной безопасности. Вместе с тем, сообщаем, что сервис идентификации Министерства настроен таким образом, что после проведения идентификации с применением Face ID, фото моментально удаляется и не сохраняется в системе.
То есть МЗРК открестился от прямой ответственности за данную инициативу, перекинув на иные органы.
Вопрос:
15. Какие преимущества дадут эти инновации в отсутствие регламентирующих НПА? Например, какие действия, на основании каких норм права и на кого конкретно делегирован функционал (должностные обязанности) обрабатывать действия по биометрии? Что делать с этими материалами, в том числе по процентной выбраковке отказов, отправлять эти материалы в фонд для применения санкций по ЕКД? К слову сказать, в приказах МЗ (за № 321) по ОСМС отсутствует механизм и логистика в этой части, фонд не сможет принять меры в рамках действующего законодательства.
Ответ:
В настоящее время Министерство разрабатывает изменения в НПА, которые будут данный вопрос.
Вопрос:
16. «Заявлено, что Face ID станет щитом махинаций». Пациент пришёл на прием к стоматологу, камера зафиксирует его лицо на входе, и что это даёт, как эта инновация решит вопрос приписок и определит количество манипуляций (медуслуг)? Предположим, что врач запломбирует 10 зубов, удалит нерв, либо проведет иные действия и внесет их в ИС, при этом фактически окажет только одну услугу. И как, в этом случае так называемая биометрия ограничит возможность оказания фиктивного сервиса?
То есть, следует дополнительно камеру поставить непосредственно возле кресла, аналогично с другими профилями, например у гинекологов, урологов, хирургов, лор врачей и иных специалистов, которые якобы поставят тампонаду, проведут промывание, наложат повязку, гипс и пр., либо просто проведут визуальный осмотр?!
Идентификация в нынешнем исполнении минздрава никак не решает вопросы приписок, а только фиксирует количество посещений, что не равнозначно.
Ответ:
Сервис по идентификации пациентов не может самостоятельно исключить факты приписок в медицинских услугах, так как не фиксирует сам процесс оказания услуги. Однако сервис идентификации позволяет подтвердить, что пациент физически присутствует на приеме в момент оказания медицинской услуги, что снижает вероятность приписок и фиктивных записей.
Вопрос:
17. Были ли проведены необходимые действия для узаконивания вышеуказанных процедур посредством диалога на уровне обсуждений в Открытых НПА через НПП «Атамекен», общественный совет МЗРК (Петухова), МЮРК? В ИС «Адилет» эти действия закреплены?
Ответ:
Обсуждение темы биометрической идентификации в Открытых НПА, НПП «Атамекен» и общественном совете МЗРК официально не проводилось. В настоящий момент соответствующий приказ находится в стадии разработки.
Вопрос:
18. Применение цифровой идентификации не нарушает прав пациентов, так как альтернативные способы подтверждения личности сохраняются, и биометрическая идентификация осуществляется только с согласия субъекта данных, в соответствии с Законом РК «О персональных данных и их защите». Какие конкретно альтернативные?
Вопрос:
19. Кто конкретно был инициатором подобных решений по оцифровке, когда они были приняты?
Ответ:
В целях снижения приписок медицинских услуг за счет обращений в медицинские организации, Министерством внедряются механизмы цифровой идентификации пациентов. Данную инициативу в пилоте запустили с августа 2024 г. в г. Астана и до конца года проект внедрен по 168 медицинским организациям столицы.
Исчерпывающие разъяснения в части организатора/ катализатора подобной идеи не предоставлены.
Вопрос:
20. МЗРК берёт на себя полную ответственность за нарушение конфиденциальности и риски утечки персональных данных?
В каких НПА это закреплено?
Ответ:
Министерство не несет полной ответственности за утечку персональных данных. Ответственность возлагается на организации, осуществляющие обработку данных в рамках своих полномочий. Вопросы ответственности за нарушение конфиденциальности и риски утечки персональных данных регулируются следующими нормативными правовыми актами:
- Закон РК «О персональных данных и их защите» – определяет права субъектов данных, обязанности операторов по защите персональных данных и меры ответственности за их утечку.
- Кодекс РК об административных правонарушениях (статья 79) – устанавливает административную ответственность за нарушение требований законодательства о защите персональных данных.
- Уголовный кодекс РК (статья 211) – предусматривает уголовную ответственность за незаконный сбор, распространение или использование персональных данных.
- Закон РК «Об информатизации» – содержит нормы, регулирующие обработку и защиту информации в государственных и частных информационных системах.
Вопрос:
21. Как будет проводиться цифровая идентификация пациентов при отсутствии смартфона или интернета у пациента, а также при полном отказе от этой процедуры в связи с массовыми случаями кибермошенников, хакеров, в том числе по необходимости введения кодов?
Ответ:
Пациент имеет право пройти идентификацию путем предоставления документа, удостоверяющего личность.
Вопрос:
22. Из комментариев из открытых НПА по оцифровке справок, без купюр.
«Нет обязанности скачивать частные мобильные приложения при отсутствии государственной МИС. Принуждать пользоваться частными приложениями является нарушением законодательства РК. Услугополучатель не обязан иметь мобильный телефон на момент обращения в медицинское учреждение, не обязан загружать егов мобайл».
Прошу прокомментировать данные аргументы населения.
Ответ:
Пациенты могут получать медицинские услуги без установки сторонних программ.
Вопрос:
23. Выдержки пользовательского соглашения для пациентов Дамумед, на которые стоит обратить внимание.
Приложение Damumed предоставляется для использования пользователям на условиях соглашения в состоянии «как есть». DAMUMED не гарантирует доступность приложения в любой момент, что программное обеспечение полностью свободно от дефектов и ошибок, и должно функционировать бесперебойно и в обязательном порядке. DAMUMED не несет ответственности за вред, причиненный пользователю в результате использования приложения. В случае нарушения правил использования DAMUMED вправе расторгнуть соглашение в одностороннем порядке и прекратить доступ пользователя к приложению, в любой момент отказать пользователю в использовании приложения. Следовательно, ТОО «ЦИТ Дамумед» по умолчанию закрепило в соглашении отказ в своей ответственности по тем или иным дефектам. В этом случае, кто конкретно будет отвечать за них, минздрав?
Ответ:
Ответственность за работоспособность и доступность МИС DAMUMED регулируется условиями договора, заключенного с медицинскими организациями. В соответствии с Законом РК «Об информатизации» и Законом РК «О защите прав потребителей», поставщик программного обеспечения обязан обеспечивать надлежащее функционирование системы и оперативное устранение технических сбоев. В случае выявления неисправностей пользователи могут обратиться в техническую поддержку системы либо в уполномоченные органы для защиты своих прав (?!)
Пс: Кто есть эти уполномоченные органы?
И второе - ФСМС/КМФК/КСЭК также являются пользователями МИС DAMUMED, к кому они должны обращаться в случае отсутствия её доступности и наличия ошибок? Ведь именно на основании выгрузки сведений этого продукта формируются дефекты оказания медпомощи, выставляются санкции в отношении недобросовестных поставщиков?
Вопрос:
24. В Законе РК «О защите прав потребителей» закреплено: потребители имеют право на свободное заключение договоров и оказание услуг, принуждение потребителя на заключение договоров не допускается.
Кроме того согласно ст. 380 Гражданского Кодекса следует: Граждане и юридические лица свободны в заключении договора. Понуждение к заключению договора не допускается…
То есть на основании этих тезисов пациент имеет право отказаться от услуг биометрии, так и использования частных приложений, например Дамумед?
Ответ:
На основании Закона РК «О защите прав потребителей» и Гражданского кодекса РК пациенты имеют право отказаться от биометрической идентификации и использования частных мобильных приложений.
Директор департамента развития электронного здравоохранения
А. Аргинбаев.
Исп.: Ш.А. Сейтмагамбетова
Резюме:
Словом, минздрав опосредственно, через предоставленные ответы признал мои аргументы о неправомерности активно проводимой массовой биометрии в медорганизациях.
Оцифровка этих процедуры должна проводиться исключительно с согласия пациентов, это право закреплено во многих нормах действующего законодательства.
Практически все разъяснения этого госоргана базируются на уровне обещалок внесения отсутствующих позиций в будущем, без указания сроков.
Следовательно, подобные действия и решения нелегитимны.
Более того, МЗРК открестился от прямой ответственности за данную инициативу, перекинув её на иные органы. «Министерство не несет полной ответственности за утечку персональных данных».
Отсутствует возможность применения санкций со стороны ФСМС, поскольку маршрут действий не определен, что делать с этим материалом неизвестно, нет и формы отказа от биометрии.
Эта инициатива не выкладывалась на открытых НПА, так и через ОС МЗРК и Минюст, вовлечение населения в обсуждении на открытых НПА отсутствовало.
Минздрав подтвердил доводы, что идентификация в нынешнем исполнении не решает вопросы приписок, а только фиксирует количество посещений, что не равнозначно.
Касательно кабальных условий соглашения Приложение Damumed.
ТОО «ЦИТ Дамумед» по умолчанию закрепило в соглашении отказ в ответственности по тем или иным дефектам. В этом случае, кто конкретно будет отвечать за них, минздрав?
В случае выявления неисправностей пользователи могут обратиться в в уполномоченные органы для защиты своих прав (?!)
Пс: Кто есть эти уполномоченные органы? И второе - ФСМС/КМФК/КСЭК также являются пользователями МИС DAMUMED, к кому они должны обращаться в случае отсутствия её доступности и наличия ошибок? Ведь именно на основании выгрузки сведений этого продукта формируются дефекты оказания медпомощи, так и выставляются санкции в отношении недобросовестных поставщиков?
На вопрос, кто конкретно был инициатором подобных решений по оцифровке, ответ не предоставлен.
Из ответа МЗ следует, что при отсутствии смартфона или интернета у пациента, отказе от этой процедуры он имеет право пройти идентификацию через удостоверение. Также, пациенты могут получать медуслуги без использования мобильных приложений.
По сути, я определила и выстроила маршрут действий МЗ по данной проблеме, проведя анализ уязвимых позиций, сотрудники которого обязаны были сами провести его еще на этапе внедрения биометрии, учитывая наличие огромного количества административного аппарата и подведомственных организаций.
Совершенно непонятно, отчего не были сформулированы и не спрогнозированы ожидаемые вызовы, которые лежали на поверхности с учетом проведенного пилота в Астане, на тот момент их не было, их не выявили, или эта задача вовсе не ставилась? В этом случае, подвергается правомерность действий этого госоргана в масштабировании пилота на все регионы без правового сопровождения норм права, действующего законодательства.
Вопрос: Где деятельность юридического департамента минздрава?
С учетом вышеизложенного, есть следующие вызовы:
1. Пациент на законном основании отказывается от биометрии, медорганизации в этой связи получают по шапке, ибо им же спущен циркуляр, они не могут ослушаться. Тем более, допускаю и привязку наличия показателей в этой части на уровне: «Даёшь план». Таким образом, им определили статус заложников (аманатовцев), к ним же относятся и пациенты, которые не знают своих прав (группа риска). Дополнительно, его реализация приведет к росту конфликтов.
2. Смысл внедрения этого пилота, при возможности отказа его использования при предоставлении удостоверения личности?
3. И даже при условии внесения поправок в НПА, они не будут коррелировать/ корреспондировать с иными нормами права, в том числе Законами РК , которые уже определили основополагающие принципы в этой части, а это добровольность , согласие и отказ в получении биометрии.
4. Далее, пациенты не обязаны, не должны подписывать рукотворно созданные медорганизациями самопальные бланки отказов на биометрию, поскольку это внутренние документы, для придания им правового статуса следует издать соответствующий приказ, который должен опираться на те или иные нормы права, которых нет в природе. Соответственно, они не являются юридическими материалами, которые могут служить доказательством свершения каких либо действий.
5. И в итоге, что в этом случае даст эта инновация при наличии вышеуказанных позиций и перспектив?