Міфи медреформи. Держава захистить персональні дані пацієнтів у системі e-Health

Читать на русском
Валерій Дубіль

Продовжуємо спростовувати міфи медреформи. Я вже розповів, чому меддопомога в Україні не може бути платною, навіть якщо не укладений договір із сімейним лікарем. Сьогодні я розвінчую міф про те, що держава захистить конфіденційну інформацію та персональні дані пацієнтів в системі e-Health.

Підписання декларацій при виборі медичного закладу – інформаційна афера століття. Пацієнт підписує декларацію і надає згоду на обробку своїх даних електронною системою охорони здоров'я (власником даної системи і адміністратором центральної бази даних). А медичний заклад без його згоди передає дані в абсолютно іншу інформаційну систему – «електронну систему обміну медичною інформацією».

Персональні дані пацієнтів потрапляють до системи e-Health за допомогою 8 посередників. Чи гарантує така процедура захист конфіденційності інформації – в матеріалі народного депутата Валерія Дубіля.

Те, що це абсолютно різні інформаційні системи стає зрозумілим з тексту постанови КМУ «Про затвердження порядку Функціонування Електронної системи охорони здоров'я», яку прийняли 25.04, яка наказує провести включення і верифікацію даних з «електронної системи обміну медичною інформацією» в «електронну систему охорони здоров'я».

Як визначити момент, коли «електронна система обміну медичною інформацією» раптом стане «електронною системою охорони здоров'я»? До якої системи відноситься офіційний сайт електронної системи охорони здоров'я e-Health, що знаходиться за адресою https://portal.ehealth-ukraine.org/ і які дані там публікуються? На ці запитання відповідей немає.

Інформація до «електронної системи обміну медичною інформацією» надходить через посередника, який здійснив підключення медичного закладу – власника і оператора медичної інформаційної системи. Зараз таких посередників 8, які МОЗ відібрав за незрозумілими критеріями.

Правила роботи і відповідальність за забезпечення зберігання конфіденційних даних пацієнтів цими посередниками не визначені ніякими нормативними актами, немає типового/однакового для всіх операторів МІС договору між ними і медичними установами, в якому чітко визначається їхня відповідальність за збереження інформації та її доступність.

Немає затвердженого регламенту роботи електронної системи охорони здоров'я, а той який є, затверджений громадською (!) організацією. У деяких випадках конфіденційна інформація українських пацієнтів у операторів МІС знаходиться за межами України.

Декларація на вибір медзакладу вступає в силу не в момент підписання між пацієнтом і медичним закладом, а тоді, коли медичний заклад підпише договір з НСЗУ на медичне обслуговування населення за програмою державних гарантій.

Так, персональні дані пацієнта вже зберігаються і обробляються і в самому медичному закладі, і в електронній інформаційній системі ще до того, як починає діяти згода.

Окрім того, кожен медзаклад зберігає екземпляр підписаної пацієнтом декларації та копії наданих ним документів (ідентифікаційного коду та паспорта) у паперовому вигляді. Зараз цю норму відмінили і немає необхідності подавати та зберігати паперові копії документів пацієнтів, але вона діє для персональних даних майже 11 млн. пацієнтів.

Власник даних (медзаклад) має організувати базу персональних даних у вигляді картотеки, офіційно її зареєструвати в державному реєстрі баз персональних даних, забезпечити упорядкування, збереження і режим доступу до картотеки.

На селі на це немає ресурсів. З порушенням режиму зберігання персональних даних, навіть якщо таке порушення не привело до наслідків для пацієнтів (не відбулася їхня крадіжка і несанкціоноване використання), медзаклад несе адміністративну відповідальність за ст. 188-39, 188-40 кодексу адміністративних правопорушень.

Конфіденційна інформація і персональні дані українців повністю не захищені – держава не відповідає за їхнє збереження. Адміністрація і лікарі медичних установ, які взяли участь у кампанії з вибору сімейного лікаря не тільки несуть повну відповідальність перед пацієнтами за збереження їхніх персональних даних (яку вони фізично не можуть забезпечити), але й вже вчинили і продовжують вчиняти дії, які підпадають під ст.182 Кримінального кодексу і ст. 188-39 і 188-40 Кодексу адміністративних правопорушень.


Підписуйтесь на наші аккаунти в Telegram та Facebook, щоб першими отримувати важливі новини та аналітику.


Загрузка...