Атака на Helsi: кому выгодно разрушить цифровую медицину в Украине?

Кое-где неизвестными экспертами артикулируются тезисы, что приложение Helsi – это неизвестное украинцам приложение, которое никем не проверено. Они отмечают, что якобы в свое время представители стартапа договорились с властями о сотрудничестве с бенефитами. Точнее, якобы та публично посылала коммунальным медучреждениям официальные письма о сотрудничестве с Helsi. Случались и предположения, что компания хранит медицинские данные, а если "их украдут — отвечать за это никто не будет".

Такие упреки не просто искажают реальность, это похоже на спланированную кампанию не только против Helsi, но и цифровой медицины в нашей стране. Кому выгодно уничтожить его? Надо думать вместе.

Я не могу представить, чтобы бизнес, сутью которого является обработка и хранение данных, пренебрегал безопасностью этих данных. Наш контекст с первых дней существования – это обеспечение защиты пользователей. Да, нас атаковали россияне, регулярно проводили тесты на проникновение партнеры и хакеры с рынка, но ни разу не скомпрометировали. Постоянное усовершенствование и использование актуальных технологий защиты позволяют спать спокойно, ведь государство обеспечивает защиту данных со своей стороны. Именно для этого и построена 2-уровневая модель, в которой за центральный уровень отвечает именно государство.

Но вернемся к манипуляциям и фактам.

Во-первых, подключиться к центральной базе данных нашего государства – это не послать кому-то e-mail с просьбой. Любые "договоренности" все равно не имели результата — чтобы понять всю сложность подключения, нужно знать хотя бы несколько его этапов и проверок. Из-за этих проверок проходит каждая электронная медицинская информационная система (МИС) – сегодня в Украине их 35. Все системы частные, условия для всех диктует государственный регулятор. Но поскольку Helsi всегда реагировала на актуальные запросы и фактически взяла на себя роль посла диджитализации медицины – на компанию обращают особое внимание в связи с ее публичностью. И именно поэтому Helsi часто становится "громоотводом" диджитальной медицины.

Любое МИС должно отвечать техническим требованиям, которые определяет администратор – это ГП "Электронное здоровье". Требования утверждаются Национальной службой здоровья (НСЗУ). Обойти этот процесс не может ни одна МИС. Поскольку Helsi является такой системой, на нее распространяются такие же требования, как и на другие системы.

Во-вторых, защиту данных пациентов гарантирует государство и оно же устанавливает регламент защиты для медицинских информационных систем.

Центральная база данных – это "место", где находятся данные ВСЕХ пациентов Украины без исключения. Сохраняет их государство.

Техническую документацию для базы разрабатывает и поддерживает ГП "Электронное здоровье". А чтобы установить, отвечает ли конкретная МИС техническим требованиям, ГП "Электронное здоровье" тестирует эту систему по собственной тестовой программе. Утверждает программу НСЗУ. То есть ни одна МИС не может подключиться к центральной базе данных без прохождения тестирования на соответствие требованиям государства. Поэтому предположение о "непроверенном приложении" – это не гипербола. Это спланированная компрометация ВСЕХ медицинских информационных систем, подключенных к центральной базе данных государства.

Чтобы подключить МИС к центральной базе данных электронной системы здравоохранения (ЕСОЗ), нужно отвечать требованиям государства. Они утверждены Приказом Национальной службы здоровья Украины 19.07.2022 №314.

Также необходимо владеть актуальным аттестатом соответствия Комплексной системе защиты информации. Такой аттестат Helsi зарегистрирован в Администрации Государственной службы специальной связи и защиты информации Украины 07 октября 2022 под №76B. Отдельно Уполномоченный Верховной Рады Украины по правам человека уведомлен об обработке со стороны ООО "Хелси Украина" персональных данных пациентов. Уполномоченному сообщили и об ответственном лице, организующем в компании работу по защите персональных данных во время их обработки.

Итак, "непроверенное приложение", "никому неизвестное приложение", "никто не несет ответственности" – давайте думать вместе, кто и зачем запускает такие ИПСО.

В-третьих, утверждать об отдельных договоренностях компании с властью, зная о всех пройденных тестах и проверках – значит работать против украинской власти, прежде всего. Helsi не самоцель для уничтожения. Целью является дискредитация системы здравоохранения.

Предположение о том, что центральные власти приглашали бы коммунальные медучреждения пользоваться системой Helsi даже смешно. Потому что в государстве есть система публичных закупок, поэтому все закупки МИС происходят по этому процессу и доступны на ресурсах открытых данных.

Сегодня в Украине 35 медицинских информационных систем подключены к центральной базе данных ЕСОЗ. Раньше их было 40+, но после полномасштабного вторжения количество уменьшилось. В большинстве наших городов действуют другие МИС, кроме Helsi.

То есть систем много, все частные. И среди них всех Helsi никогда не позиционировалась как государственная. С самого начала запуска системы пользователь не мог зарегистрироваться без оказания активного согласия на обработку персональных данных – скрывать какую-либо информацию от пациента является незаконным действием. Поэтому пациент ставил отметку в системе, соглашающейся на обработку данных. А в самом начале текста согласия отмечено, кому принадлежит система Helsi.

В-четвертых, любое навязывание мнений об отсутствии ответственности, если данные пользователей "странным образом исчезнут" – это откровенные манипуляции. Нормы Уголовного кодекса Украины и Кодекса об административных правонарушениях распространяются на деятельность ООО "Хелси Украина" аналогично, как и распространяются и на другие МИС.

Вызывают удивление упреки о безответственности Helsi, если врачи вносят несанкционированные приемы. Платформа, связывающая врача и пациента, не может нести ответственность за действия врачей – это предусмотрено законом, и это технически невозможно.

Любая МИС – и Helsi тоже – не может сама по себе что-либо создать в центральной базе данных. Вносить изменения также не может – потому что нет на это ни прав, ни технической способности. Создать медицинскую запись может только медицинский работник. Подтверждено это в Порядке функционирования электронной системы здравоохранения – утверждается он Кабинетом Министров Украины.

Есть еще один документ – это порядок ведения Реестра медицинских записей, записей о направлении и рецептов в электронной системе здравоохранения. Этот порядок предусматривает следующее: все записи, кроме погашения рецептов, медработники вносят в Реестр и подписывают своей квалифицированной электронной подписью. То есть, если вы работаете в какой-то МИС – вы не можете что-то создать, изменить или удалить. Потому что вы не являетесь медицинским работником с лицензией и соответствующей электронной подписью. Система вас не пропустит. И это противозаконно.

Если врач внес некорректные сведения в систему – электронная МИС как площадка не несет за это ответственности, потому что не контролирует врачей. В то же время Helsi несет ответственность за предоставление пациентам прозрачного доступа к их медицинским записям. То есть пользователь в любую минуту видит, какие данные о нем внес врач. Вот это ответственность медицинской платформы: не скрывать данные, а отражать их. Но это моральная ответственность, а не законодательная – есть МИС, которые не показывают пациентам их записи – и это не нарушение закона.

Законодательство Украины регулирует процесс создания, внесения и пересмотра информации в центральной базе данных. МИС не влияет на эти процессы. Но, со своей стороны, может помочь пациентам обжаловать данные, которые внес врач в систему. Для этого существует служба технической поддержки Helsi, для этого введена функция пожаловаться на прием в самом приложении. Helsi сконтактирует с медицинским учреждением, чтобы врач откорректировал медицинские записи пациента. Опять же откорректировать их может только врач, который вносил данные.

Именно так работает процесс получения и предоставления медицинских услуг. Именно так законодательство регулирует работу медицинской сферы в Украине. А вот для чего отдельные лица методично запускают ИПСО в публичное пространство – давайте думать вместе. А Helsi и дальше будет делать более легким доступ к медицине.

Важно

"Лекарства — не конфеты": глава Минздрава объяснил, как будут продавать препараты в аптеках