Когда присяжный адвокат Солвита Олсена решила узнать, кто и почему смотрит ее данные в системе "е-Здоровье", она сначала попробовала это сделать в самой системе. Однако в большинстве случаев поля с нужной информацией были пусты, и тогда она решила пойти официальным путем и получить юридически полные ответы от ответственных чиновников, в первую очередь в Национальной службе здоровья (НСЗ). Результаты ее похода "за правдой" оказались… удивительными, пишет Delfi.lv.
На самом деле это продолжение ноябрьской истории, когда несколько читателей рассказали нам о проблемах с доступом к информации в "е-Здоровье" (см. "Кто-то смотрит ваши данные: система е-здоровья оказалась непрозрачной для пациента"). Тогда в НСЗ заверили, что данные пациентов в безопасности, а если кто-то хочет получить детальную информацию о том, почему к его данным обращались какие-то врачи, ему надо писать специальный запрос. Солвита Олсена решила именно так и поступить.
По ее словам, с 1 января до 2 ноября 2018 года доступ к ее личным медицинским данным в "е-Здоровье" кто-то получил 21 раз. И ни один из этих запросов в "е-Здоровье" не содержал детальную информацию о том, кто и почему этот доступ получал.
Тогда Олсена попросила НСЗ предоставить полную и детальную информацию об этих запросах — не только кто их осуществлял, но и с какой целью.
В установленный законом срок чиновники НСЗ дали ответ, вот только информация в нем оказалась далека от исчерпывающей. Из 21 подключения два оказались "работой" самой НСЗ — как пояснили чиновники в ответе — для обеспечения процесса синхронизации данных в системе с под-системами самого "е-Здоровья". Почему эти чисто технические подключения (которые, вероятно, необходимы для нормальной работы системы) не были также технически помечены в самой системе — неизвестно.
Из оставшихся 19 подключений пояснения оказались лишь у 11. Все они оказались "на совести" некого медицинского учреждения, пациенткой которого действительно является Олсена. Причем, по ее словам, в ряде случаев подключения эти осуществлялись в моменты, когда она не была в этом учреждении, то есть кто-то из персонала поликлиники или больницы обращался к ее данным тогда, когда она не проходила там лечение.
Кто конкретно и с какой — конкретно! — целью обращался к данным юриста в "е-Здоровье" в ответе НСЗ не сказано. Все эпизоды "описаны" одинаково: "Произведен доступ к данным, юридические основания для обработки данных не констатированы".
По словам Солвиты Олсене, налицо незаконная обработка данных, в чем НСЗ практически сама и признается. "НСЗ — оператор системы, они дали разрешение этому учреждению подключиться к их системе и они сами после моего же запроса не могут дать мне исчерпывающую информацию. Может быть произошла ошибка или было незаконное подключение? НСЗ даже не может сказать, какие основания были для подключения, они сами не поинтересовались [у этого учреждения] законно это было или нет. Если они, как оператор системы, не могут констатировать наличие юридического основания [для подключения], то есть все основания полагать, что его нет. А если его нет — то есть незаконная обработка данных", — рассуждает она.
По ее словам, оператор системы должен обеспечить законность доступа к данным пациентов. Вместо этого в НСЗ ее отправили "разбираться" в то учреждение, с помощью системы которого был осуществлен доступ к ее данным. К тому же ответ был написан на юридически "тяжелом" языке и, по словам присяжного адвоката, непрофессионалу было бы тяжело понять его смысл.
В НСЗ ранее объясняли, что фактически "логи" пишутся лишь для прямых визитов в "е-Здоровье", а если врач или другое лицо осуществляет доступ к системе через сторонние медицинские приложения, то в "е-Здоровье" остается отметка лишь о том, что это было за учреждение, а кто именно и с какой целью получал доступ к данным пациента — не указывается. Теперь есть все основания полагать, что эта детальная информация чисто технически вообще не собирается (или не хранится) в "е-Здоровье" и НСЗ на самом деле не знает, кто и почему получает доступ к медицинской информации жителей Латвии.
Это вдвойне иронично, потому что, когда портал Delfi попросил НСЗ прокомментировать факт отсутствия детальных данных в ответе на запрос Солвит Олсене, специалист по общественным отношениям НСЗ ответила, что "НСЗ не имеет права предоставлять третьим сторонам информацию о запросах физических лиц и случаях обработки их личных данных".
Она также посоветовала всем, кто не уверен в законности передачи данных, жаловаться в Государственную инспекцию данных (ГИД).
Солвита Олсене сделала именно это. В ГИД она обратилась еще в ноябре, когда впервые удивилась как обилию запросов в "е-Здоровье", так и тому, что в системе не указано, кто эти запросы осуществлял. Тогда чиновники рекомендовали потребовать разъяснений от НСЗ. Круг замкнулся.
О том, что проблема существует, признают и в Бюро омбудсмена. Правозащитник категоричен — в любой системе обработки информации о здоровье жителей обязательно должна содержаться информация о том, кто и когда получал доступ к данным. И эта информация должна содержать не только название медицинского учреждения, но и имя и фамилию врача, а также юридическую информацию об учреждении, точную дату и время обращения, вид обработки данных и другие данные, позволяющие точно понять цель запроса. Если всего этого нет, то система нарушает как правила Кабинета министров о работе таких систем, так и европейскую регулу о защите данных.
Интересно, что еще в 2015 году, когда Госконтроль предоставил данные аудита еще не запущенной системы "е-Здоровья", контролеры обратили особое внимание на "сырость" системы доступа к данным пациентов (см. "Пациент, скорее, мертв. Как Латвия потратила 14,8 млн. евро на "Е-здоровье" и получила "пшик""). По какой причине Национальная служба здоровья и разработчики нынешней версии "е-Здоровья" за три года не довели эту систему до соответствия не только юридическим нормам Латвии и ЕС, но и нормам здравого смысла — неизвестно.
Seko "Delfi" arī Instagram vai YouTube profilā – pievienojies, lai uzzinātu svarīgāko un interesantāko pirmais!
