Атака на Helsi: кому вигідно зруйнувати цифрову медицину в Україні?
"Закиди проти Helsi не просто викривлюють реальність, це схоже на сплановану кампанію не лише проти Helsi, але й проти цифрової медицини в нашій країні. Кому вигідно знищити її? Треба думати разом". Думка
Подекуди невідомі експерти артикулюють тези, що застосунок Helsi — це невідомий українцям застосунок, який ніким не перевірений. Вони зазначають, що нібито свого часу представники стартапу домовилися з владою про співпрацю із бенефітами. Точніше, аби та публічно надсилала комунальним медзакладам офіційні листи щодо співпраці з Helsi. Траплялися й припущення, що компанія зберігає медичні дані, а якщо "їх вкрадуть, то за це ніхто не відповідатиме".
Такі закиди не просто викривлюють реальність, це схоже на сплановану кампанію не лише проти Helsi, але й проти цифрової медицини в нашій країні. Кому вигідно знищити її? Треба думати разом.
Я не можу уявити, щоб бізнес, суттю якого є обробка та збереження даних, нехтував безпекою цих даних. Наш контекст із перших днів існування — це забезпечення захисту даних користувачів. Так, нас атакували росіяни, регулярно проводили тести на проникнення партнери та хакери з ринку, але жодного разу не скомпрометували. Постійне вдосконалення та використання актуальних технологій захисту дозволяють нам спати спокійно, адже держава забезпечує захист даних зі свого боку. Саме для цього й побудована 2-рівнева модель, в якій за центральний рівень відповідає саме держава.
Та повернімося до маніпуляцій і фактів.
По-перше, підключитися до центральної бази даних нашої держави — це не надіслати комусь e-mail із проханням. Будь-які "домовленості" все одно не мали б результату — щоб зрозуміти всю складність підключення, треба знати хоча б декілька його етапів і перевірок. Через ці перевірки проходить кожна електронна медична інформаційна система (МІС) — сьогодні в Україні їх 35. Усі системи приватні, умови для всіх диктує державний регулятор. Та оскільки Helsi завжди реагувала на актуальні запити й фактично взяла на себе роль амбасадора діджиталізації медицини — на компанію звертають особливу увагу у зв’язку з її публічністю. І саме тому Helsi часто стає "громовідводом" діджитальної медицини.
Будь-яка МІС має відповідати технічним вимогам, які визначає адміністратор, — це ДП "Електронне здоровʼя". Вимоги затверджує Національна служба здоров'я України (НСЗУ). Обійти цей процес не може жодна МІС. Оскільки Helsi є такою системою, на неї поширюються такі ж вимоги, які і на інші системи.
По-друге, захист даних пацієнтів гарантує держава, і вона ж встановлює регламент захисту для медичних інформаційних систем.
Центральна база даних — це "місце", де розташовані дані УСІХ пацієнтів України без виключення. Зберігає їх держава.
Технічну документацію для бази розробляє та підтримує ДП "Електронне здоровʼя". А щоб встановити, чи відповідає конкретна МІС технічним вимогам, ДП "Електронне здоровʼя" тестує цю систему за власною тестовою програмою. Затверджує програму НСЗУ. Тобто жодна МІС не може підключитися до центральної бази даних без проходження тестування на відповідність вимогам держави. Тому припущення про "неперевірений застосунок" — це не гіпербола. Це спланована компрометація УСІХ медичних інформаційних систем, які підключені до центральної бази даних держави.
Щоб підключити МІС до центральної бази даних електронної системи охорони здоров’я (ЕСОЗ) — треба відповідати вимогам держави. Вони затверджені Наказом Національної служби здоров’я України 19.07.2022 № 314.
Також необхідно володіти актуальним атестатом відповідності Комплексній системі захисту інформації. Такий атестат Helsi зареєстрований в Адміністрації Державної служби спеціального звʼязку та захисту інформації України 07 жовтня 2022 року за №76B. Окремо Уповноважений Верховної Ради України з прав людини повідомлений про обробку з боку ТОВ "Хелсі Україна" персональних даних пацієнтів. Уповноваженому повідомили й про відповідальну особу, яка організовує в компанії роботу щодо захисту персональних даних під час їх обробки.
Отже, "неперевірений застосунок", "нікому невідомий додаток", "ніхто не несе відповідальності" — давайте думати разом, хто й навіщо запускає такі ІПСО.
По-третє, стверджувати про окремі домовленості компанії з владою, знаючи про всі пройдені тести й перевірки — означає працювати проти української влади насамперед. Helsi не є самоціллю для знищення. Метою є дискредитація системи охорони здоров’я.
Припущення про те, що центральна влада запрошувала б комунальні медзаклади користуватися системою Helsi є навіть смішним. Бо в державі є система публічних закупівель, тому всі закупівлі МІС відбуваються згідно з цим процесом і доступні на ресурсах відкритих даних.
Сьогодні в Україні 35 медичних інформаційних систем підключені до центральної бази даних ЕСОЗ. Раніше їх було 40+, але після повномасштабного вторгнення кількість зменшилася. У більшості наших міст діють інші МІС, окрім Helsi.
Тобто систем багато, усі приватні. І серед них усіх Helsi ніколи не позиціонувалася як державна. Від самого початку запуску системи користувач не міг зареєструватися без надання активної згоди на обробку персональних даних — приховувати якусь інформацію від пацієнта є незаконною дією. Тому пацієнт ставив відмітку в системі, що погоджується на обробку його даних. А в самому початку тексту згоди зазначено, кому належить система Helsi.
По-четверте, будь-яке нав’язування думок про відсутність відповідальності, якщо дані користувачів "дивним чином зникнуть", — це відверті маніпуляції. Норми Кримінального кодексу України та Кодексу України про адміністративні правопорушення поширюються на діяльність ТОВ "Хелсі Україна" аналогічно, як і поширюються й на інші МІС.
Викликають подив закиди про безвідповідальність Helsi, якщо лікарі вносять несанкціоновані прийоми. Платформа, що пов’язує лікаря та пацієнта, не може нести відповідальність за дії лікарів — це передбачено законом і це технічно неможливо.
Будь-яка МІС, і Helsi також, не може сама по собі щось створити в центральній базі даних. Вносити зміни також не може, бо не має на це ні прав, ні технічної спроможності. Створити медичний запис може лише медичний працівник. Підтверджено це в Порядку функціонування електронної системи охорони здоров’я, а затверджується він Кабінетом Міністрів України.
Є ще один документ — це Порядок ведення Реєстру медичних записів, записів про направлення та рецептів в електронній системі охорони здоров’я. Цей порядок передбачає таке: усі записи, окрім погашення рецептів, медпрацівники вносять до Реєстру та підписують своїм кваліфікованим електронним підписом. Тобто якщо ви працюєте в якійсь МІС, ви не можете щось створити, поредагувати чи видалити. Бо ви не є медичним працівником із ліцензією та відповідним електронним підписом. Система вас не пропустить. І це протизаконно.
Якщо ж лікар вніс некоректні відомості в систему, електронна МІС як майданчик не несе за це відповідальності, бо не контролює лікарів. Водночас Helsi несе відповідальність за надання пацієнтам прозорого доступу до їхніх медичних записів. Тобто користувач у будь-яку хвилину бачить, які дані про нього вніс лікар. Ось це відповідальність медичної платформи: не приховувати дані, а відображати їх. Та це моральна відповідальність, а не законодавча — є МІС, які не показують пацієнтам їхні записи, і це не є порушенням закону.
Законодавство України регулює процес створення, внесення та перегляду інформації в центральній базі даних. МІС не впливає на ці процеси. Та зі свого боку може допомогти пацієнтам оскаржити дані, які вніс лікар у систему. Для цього існує служба технічної підтримки Helsi, для цього введена функція "поскаржитися на прийом" у самому додатку. Helsi сконтактує з медичним закладом, аби лікар відкоригував медичні записи пацієнта. Знову ж таки, відкоригувати їх може лише лікар, який вносив дані.
Саме так працює процес отримання та надання медичних послуг. Саме так законодавство регулює роботу медичної сфери в Україні. А от навіщо окремі особи методично запускають ІПСО в публічний простір, давайте думати разом. А Helsi й надалі буде робити легшим доступ до медицини.