Приписывать чужих родственников больше не получится - руководство Damumed

Врачам поликлиник ограничат некоторые функции.

Почему врачи поликлиник приписывали чужих родственников? Носили ли приписки массовый характер или это был сбой системы? Кто несет ответственность за хранение личных данных пациентов и как эти данные защищаются? На вопросы корреспондента BaigeNews.kz ответила генеральный директор Центра информационных технологий "Даму" Наталья Киль.

Перед тем, как начать интервью в Damumed пояснили, что не связаны с Министерством здравоохранения и не финансируются им. Это одна из нескольких частных компаний – операторов информационных систем, которыми пользуются поликлиники. Но именно Damumed получил широкую огласку, став участником скандала с приписками о фиктивных приемах врачей. Позже компанию обвинили в утечке личной информации пациентов.

Человеческий фактор

– Кто отвечает за ведение персональных данных пациентов?

– В обязанность участковой службы поликлиники входит так называемая перепись населения. То есть, каждый врач должен знать население своего участка. Совершается подворовый обход для того, чтобы каждый участковый врач и медсестра знали, кто живет на участке, кто чем болеет, знали людей с хроническими заболеваниями и так далее.

– Для чего медработники приписывали чужих жен, мужей, детей и как от них можно отписаться?

– Если речь идет о людях трудоспособного возраста, то информация раньше содержалась в амбулаторной карте или в каких-либо журналах, в бумажном виде в поликлиниках. Когда в 2018 году был взят ориентир на переход от бумажного ведения медицинской документации в электронный формат, то, естественно, по тем людям, которые регулярно обращаются в поликлиники, была возможность актуализировать информацию. Нигде сейчас в распоряжении сотрудников медицинских организаций нет информации о родственных связях. В базе данных физических лиц эта информация есть, но только для детей, рожденных с 2008 года, потому что ранее не производилась такая регистрация.

Поэтому единственный способ прикрепить детей - это когда именно сотрудник поликлиники в нашей базе данных устанавливал бы эти "связки". Это делается только с одной единственной целью – чтобы можно было за своих детей получать электронные медицинские услуги, записывать на прием, вызывать врача, смотреть результаты анализов, справки, рецепты.

Если это происходило очным путем, то медработник должен был спрашивать свидетельство о рождении и на основании этого вносить информацию в базу данных. Но в 2018 году начался массовый перенос информации из бумажных носителей в электронный. Делалось это на основании амбулаторных карт. Здесь просто включился человеческий фактор. Где-то в одной цифре ИИН неправильно указали и прикрепился не тот человек. Где-то ИИН вообще не было, и человек просто по имени и фамилии искал. Начинаются однофамильцы и так далее. Я уверена на 100 процентов, никакого злого умысла в этом не было, это был просто человеческий фактор. Мы о таких фактах знали, и мы распространяли информацию, что делать в таком случае – обратиться в поликлинику, принести свидетельство о рождении или наоборот сказать: "У меня нет детей, уберите эту информацию".

Стоит вопрос исправления того, что есть. Сейчас мы предлагаем всем воспользоваться нормальным штатным механизмом. Если вы считаете, что эта информация неправильная, придите в поликлинику и уберите ее. Сам пользователь пока не может вносить правки.

Наталья Киль

Нет в базе мобильных граждан - нет доступа

– Как сейчас намерены решать эту проблему?

– В конце сентября выйдет новая версия мобильного приложения. Благодаря общественному резонансу мы совместно с Министерством цифрового развития и аэрокосмической промышленности отработали и получили доступ к Базе данных мобильных граждан (БМГ). Если раньше вопросы верификации личности пациента лежали на сотрудниках поликлиники, то сейчас мы это будем делать только через легитимный государственный ресурс - БМГ. То есть связка ИИН плюс пациент будет проверяться там. Это даст полную безопасность данных. Человеческий фактор будет исключен, и вот эти действия по прикреплению к себе детей будут также "завязаны" на государственные ресурсы верификации.

Мы сейчас работаем также над получением возможности использования мобильной цифровой подписи. То есть, все действия, связанные с просмотром персональных медицинских данных, с установлением родственных связей, с подачей каких-либо заявок будут идти только через верификацию БМГ и ЭЦП. Больше мы не будем доверять той информации, которую вносят люди.

После подключения мобильной ЭЦП мы сможем дать просмотр электронной медицинской карты, о чем в основном просят все пациенты. Это вся ваша история болезни.

– Способствовала ли приписка чужих людей к массовой утечке личной информации?

– Ни о каком специальном злом умысле в том, что распространяется личная информация и нарушается конфиденциальность, речи не идет. Это человеческий фактор, переходной период, который характерен для любой сферы деятельности. Если вы вспомните как внедрялись информационные системы в банковской сфере, в том же ЦОНе, в том же ЗАГСе, регистре недвижимости. Всегда есть переходной период, когда были ошибки, и эти ошибки вычищали.

Медицинскую информацию вводили, вводят и будут вводить медработники. Здесь никакого механизма нет. О том, что в соцсетях пишут, как увидели чужую историю болезни, поясню, что это невозможно. К примеру, у ребенка открывается информация в виде талона на прием, и он одинаковый у всех. Что можно узнать из талона, который отображается в приложении?

Здесь есть ИИН ребенка, ФИО ребенка и адрес проживания. Ребенка можно записать к врачу и вызвать врача на дом. Никакой информации об истории болезни ребенка здесь нет. Просмотреть ее получится, но только тогда, когда будет мобильная ЭЦП, тогда мы дадим эту возможность. Это делается для того, чтобы не дать случиться утечке. Мы осознаем, что сейчас тот способ верификации и идентификации личности через человеческий фактор, сотрудников поликлиники недостаточен.

В приложении сейчас отображается самый минимум информации, рассчитанный на то, что работник поликлиники ответственен и правильно все делает. Но, тем не менее, понимая, что возможен человеческий фактор, здесь отображается минимум информации. Когда у нас будет гарантирована безопасность, возможность идентификации личности человека, вот тогда мы будем показывать расширенную информацию, которая находится в базе данных, к которой имеет доступ только авторизованный пользователь через свой логин и пароль, который выдается в соответствии с правилами информационной безопасности под роспись. Отдельно заполняется расписка о том, что он имеет право использовать это в рамках своих должностных инструкций.

Вся информация, которую пациенты видят через приложение, защищена сотрудниками поликлиник, через их ответственность, которая также прописана в Административном Кодексе, в Кодексе "О здоровье народа и системе здравоохранения". Если есть факты пренебрежения своими должностными обязанностями, этими фактами должны разбираться уполномоченные органы.

"Половина писавших о приписках "пропала"

– А как быть с приписками посещений и приемов в поликлиниках? Это был сбой в системе Damumed?

– Сбоя никакого не было, система работала в штатном режиме. Что касается приписок, некоторые пациенты, увидев какие-либо медицинские услуги, которые были оказаны через мобильное приложение, считают, что эти услуги оказаны не были. Но сказать, что все это приписки – нельзя. Даже по факту того, что писали пользователи в соцсетях, проводился анализ и выяснялось, предположим, что пациенту выписывали лекарства. По правилам ведения медицинской документации, врач не может просто так выписать рецепт, он должен оформить медицинскую запись. Или, к примеру, пациенту оформили больничный лист, пациент находился дома в период эпидемии. Врачи не ходили по домам, пациенты не ходили в поликлиники, но люди болели, им нужны были подтверждающие документы в виде больничного листа. Чтобы открыть больничный лист медработник должен сделать медицинскую запись, а это как раз то самое посещение, которое отображается в мобильном приложении.

Что касается старых приписок за прошлые периоды, то подтверждены несколько случаев, которые мне известны. К примеру, ребенок проходил медосмотр в школе, а родители не знали.

Приложение Damumed позволяет обеспечивать прозрачность информации. Некоторые писали к нам через приложение, оставляя отзывы о приписках. Поступали они в небольшом количество регулярно, каждый месяц. Нашими сигнальными листами уже пользовались управления здравоохранения, в Минздраве были уведомлены. Но вместо того, чтобы написать отзыв в мобильном приложении, многие решили просто писать в соцсетях.

Когда началась шумиха, мы свой cаll-центр службы поддержки подключили к работе с пациентами. Мы поняли, что ситуация критическая и нужно снимать социальное напряжение, и мы решили помочь нашему здравоохранению.

– В Сети массово жаловались на приписки, сколько фактов было выявлено в ходе разбирательства?

– Полмиллиона человек скачали приложение за два месяца. Сколько было публикаций в соцсетях? Приписки у себя обнаружили человек 100. Мы направили порядка 15 писем в Министерство здравоохранения. Всего 15 кейсов в Damumed. Это действительно то, что мы не смогли отследить, потому что половина жалующихся "отвалилась" на этапе, когда мы попросили предоставить нам более подробную информацию.

Допустим, в Facebook человек по имени А пишет о приписках и прикладывает скрин с замазанными данными. Мы просим его написать свой ИИН и номер телефона для обратной связи. Половина писавших о приписках на этом этапе "пропала". А те, кто действительно нам дал свои данные, это были 15-16 человек за два месяца. Они реально захотели, чтобы с их случаем разобрались. Мы направили данные в поликлиники и Минздрав. Там у них рабочая группа, которая занимается подобными случаями, и мы ожидаем, что с пациентами свяжутся и дадут информацию о принятых мерах.

По данным Фонда социального медицинского страхования (ФСМС), за июль эксперты выявили более двух тысяч случаев фактически не оказанных услуг, которые были внесены в информационные системы, как полученные пациентами. За выявленные нарушения медицинские организации оштрафовали на 16,2 миллиона тенге.

По итогам шести месяцев 2020 года на уровне амбулаторно-поликлинической помощи выявили 11 607 случаев фактически не оказанных, но внесенных в информационные системы медицинских услуг на сумму 75 415 970 тенге.