Я все продолжаю разбираться с темой Единого Регистра заболеваний

Я всё продолжаю разбираться с темой Единого Регистра заболеваний и хочу поделиться с читателями своими изысканиями.

Напомню суть – 31 мая сего года Правительство выпустило Постановление №822, согласно которому данные о пациентах, страдающих одним из 12 перечисленных в постановлении заболеванием, будут автоматически передаваться во вновь созданный единый Регистр заболеваний.

Кто-то из читателей выражал мысль, что если данные, поступающие в Регистр, обезличены, то это может не нести рисков для пациентов. Однако в Постановлении хоть и сделаны реверансы в сторону Закона о защите персональных данных и Закона о врачебной тайне, но на деле, передавать планируется именно данные с ФИО. В частности, чтобы МВД могло у себя заблокировать выдачу разрешений на вождение и оружие для лиц, страдающих психическими и другими расстройствами.

Кроме того, если немного подумать, историю болезни нельзя эффективно обезличить, она слишком уникальна.

За это время я поговорила с парой руководителей ИТ из органов правопорядка, перечисленных в Постановлении. Их мнение таково: да, передаваться будут, конечно, персональные данные. И большим вопросом является способность Минздрава эти данные защитить.

Оба моих собеседника отметили соображение, которое первым приходит в голову любому специалисту по ИТ – единую базу выгоднее атаковать, так как в ней много данных, и точно будет, чем поживиться. А как мы знаем из практики, нападение всегда дешевле защиты. Ведь тому, кто защищает, надо предусмотреть все возможные вектора атаки, а нападающему достаточно проковырять маленькую дырочку. Лучше в «человеческой части» ИТ-системы. Например, дать денежку сотруднику, имеющему доступ к данным.

Оба моих собеседника (а я разговаривала с ними независимо и в разное время) совершенно уверены, что сотрудники, имеющие к базе доступ, будут приторговывать данными пациентов.

Развивая эту мысль – далее эти данные можно будет обогащать данными от других ведомств по нужному человеку. И таким образом, можно получить полный цифровой профиль человека, со всеми его связями, событиями, диагнозами, секретами.

Такие профили интересны очень многим честным и (или) криминальным игрокам. Например, страховым компаниям, которые перед заключением договора страхования с удовольствием изучат список болезней гражданина. И тогда человек с раком или заболеваниями сердечно-сосудистой системы не сможет заключить приличный страховой договор. Или, например, банкам перед выдачей человеку кредита. Зачем больному или обречённому давать кредит? Или, например, любой коммерческой компании при найме человека на работу. Больному, беременной – можно сказать – «Вы нам не подходите» без объяснения причин (а это будет, между прочим, нарушением статьи Уголовного Кодекса).

А ведь данные централизованных баз данных Правительства планируется передавать наружу, а также и продавать! В том числе коммерческим игрокам.

И ещё: единый Регистр – это огромное поле для коррупции – от «не включайте меня, заплачу» до шантажа и вымогательств любого вида.  Ведь в конечном итоге доступ к данным граждан получают не собственно ведомства (здания и бумажные институции), а люди, которые в этих зданиях работают. Если бы мы были на 100% уверены, что все получившие доступ исключительно честны, бескорыстны и праведны (и подписали все обязательства о неразглашении), мы бы, может, не так переживали о некорректном использовании данных.  Но кто даст гарантии праведности ИТ-клерка, его ИТ-директора, начальника ИТ-директора? Особенно это сомнительно в отношении рядовых исполнителей, ИТ-клерков, у которых маленькая зарплата, а тут – такой источник лёгких денег. Как в том анекдоте про ППС-ника – «Вы что, ещё зарплату платите?! А я думал – пистолет дали, и крутись, как хочешь!».

Вся борьба с утечками персональных данных последних лет – ужесточение штрафов и наказаний за утечки данных – пока не влияла на рост числа и объёма утекающих персональных данных. Медицина была относительным исключением, потому что данные хранились по поликлиникам и были раздроблены. Да, утечки случались, но частные и ограниченные.