Цифровизация экономики уже несколько лет остаётся приоритетной темой государственного развития. В авангарде сфера здравоохранения и медицины: телемедицинские технологии, дистанционный мониторинг состояния пациента, системы поддержки врачебных решений, применение ИИ — эти и другие направления органично вписались в российскую действительность.
Правда, этот факт не облегчает решение сложных регуляторных аспектов, касающихся дальнейшего развития цифровой медицины. Один из таких по-настоящему болезненных вопросов — обработка персональных и обезличенных данных пациентов. Исходя из опыта работы компании «ТехЛАБ», которая занимается разработкой сервисов цифрового здравоохранения, выделю три важных аспекта.
Ежедневная работа с ПДн — обязательная часть цифровизации медицины
Все государственные больницы и поликлиники, а также частные медорганизации ежедневно обрабатывают огромный объём информации о пациенте. Сбор сведений для медицинских систем и сервисов, используемых врачами, их обработка, передача и аналитика происходят на самых разных этапах взаимодействия медицинских специалистов и тех, кто получает медпомощь. Например, даже процесс записи пациента на приём к врачу или госпитализацию сопровождается обработкой его персональных данных, которая жёстко регламентирована в законодательстве РФ.
При этом разрозненность каналов связи между пациентами и медорганизациями (ведь записаться пациент может через сайт медорганизации, по телефону или даже через Госуслуги), а также отсутствие единой системы взаимодействия между кол-центрами в регионе повышает риски злонамеренных и контрпродуктивных случаев применения современных технологий. Более того, повышается и вероятность случайных ошибок при работе с данными пациентов. Всё это может привести к дополнительным проблемам с кибербезопасностью медорганизаций и судебным разбирательствам. Подобные риски несёт процесс сбора, передачи, обработки данных и для других медицинских задач.
Идеальная ситуация — когда сами сведения не выходят за рамки защищённого информационного контура. По большей части медицинские специалисты в рамках одной медорганизации готовы работать с ПДн пациентов. Сложности начинаются, когда данные необходимо передавать в другие системы или осуществлять их обмен между иными медицинскими и немедицинскими организациями, решениями, контрагентами (провайдеры, облачные хранилища, разработчики ПО). И тут на сцену выходят разные методы обезличивания информации.
Обезличенные данные в медицине: специфика и особенности применения
К персональным данным относятся такие сведения, как фамилия, имя, отчество, дата рождения, адрес проживания, пол, вес, рост, сведения о состоянии здоровья и др. При этом сведения о состоянии здоровья пациента, причины его обращения за медицинской помощью, диагноз и особенности лечения являются врачебной тайной и относятся к специальной категории персональных данных.
Ключевой нормативный акт, которым должны руководствоваться медицинские организации при работе с персональными данными, — 152-ФЗ «О персональных данных», который предусматривает, в частности, регламент обработки данных непосредственно медицинской организацией. Порядок обработки персональных данных охватывает такие процессы, как сбор, запись, систематизация, накопление, хранение, уточнение и обновление, извлечение, использование, передача, блокирование, удаление, уничтожение данных, а также процесс обезличивания данных. Именно он в отрасли цифрового здравоохранения обладает важными специфическими чертами.
Следует подчеркнуть, что для отрасли медицины процесс обезличивания данных исключительно важен: он позволяет обучать на медицинских сведениях пациентов современные системы и сервисы — в первую очередь с использованием искусственного интеллекта. Более того, для моделей машинного обучения сами персональные данные не столько нужны, сколько даже вредны — именно поэтому предпочтительнее использовать деперсонализированные данные, то есть обезличенные, однако с сохранением ключевых для модели параметров. Например, имя пациента, дата его рождения, адрес, паспортные данные для обучения модели не так важны, как медицинские сведения — результаты лабораторных и диагностических исследований, протоколы медицинских консультаций, заключения врачей, сведения из анамнеза и др.
Однако для медицинских задач понятия обезличенных и анонимных данных не тождественны. Более того, в настоящее время отсутствует метод, который мог бы полностью обезличить данные с сохранением их ценности для дальнейшего использования. Так, собрав несколько наборов данных (даже обезличенных) и применив к ним математическую обработку, можно косвенно установить личность человека, к которому они относятся, а значит, и его персональные данные. Пусть даже не имея доступа к персональным данным пациента, но зная имя врача, который его принимал, и время приёма, можно выяснить данные пациента, обратившись к расписанию в регистратуре.
Таким образом, обезличивание персональных данных — это не гарант полной анонимности, но способ значительно снизить риски нарушения прав граждан при обработке персональных данных или при их утечке. Так, в медицинских системах чаще всего используют замену частей сведений идентификатором (когда вместо Ф. И. О. пациента используется числовое обозначение) и обобщение (например, когда вместо даты рождения указывается только год или даже просто возраст).
В медицинских информационных системах, которые внедряются в больницах, также применяются алгоритмы обеспечения безопасности личных сведений, например, передача данных шифруется по криптографическому протоколу TLS, или безопасность обеспечивается благодаря фрагментарной архитектуре построения, которая разбивает общий информационный массив на отдельные ячейки. Это значительно снижает риски, связанные с обработкой персональных и обезличенных данных пациентов. Но самый главный результат — данные становятся полноценным «цифровым топливом» для решений на базе ИИ, которое необходимо, если мы хотим совершенствовать технологии, повышать качество диагностики пациентов и беречь время врача.
Риск утечки персональных данных
В сфере цифрового здравоохранения этот риск остаётся, что неудивительно: вот уже более четырёх лет медицина входит в тройку приоритетных целей для злоумышленников. Так, в первом квартале 2022 г. медучреждения в РФ заняли второе место в мире по количеству атак (11%), уступив лишь госорганам (16%), и за три первых месяца прошлого года медицинские данные составили 15% всей похищенной киберпреступниками информации. Главными киберугрозами для организаций из медицинской отрасли признана кража конфиденциальной информации и шифрование файлов с последующей остановкой работы медицинских систем и оборудования.
Например, совсем недавно стало известно, что мошенники пытались похитить информацию о пациентах в медучреждениях под видом помощи в процессе защиты персональных данных: они рассылали по больницам уведомления от имени Роскомнадзора о выявлении нарушений в части обработки персональных данных (хотя это было не так) и запрашивали к ним доступ для устранения «нарушений».
Ещё один известный канал утечек — WhatsApp (принадлежит корпорации Meta, признанной в России экстремистской и запрещённой). По результатам недавних опросов, 93% врачей пользуется этим мессенджером для рабочих коммуникаций — они делятся с коллегами медицинскими данными пациентов, чтобы получить второе мнение, проводят телемедицинские консультации для пациентов. Так в зарубежный мессенджер попадает важная информация о состоянии здоровья пациентов вместе с их персональными сведениями, что тоже повышает риски утечек и киберугроз.
Как связаны между собой эти три аспекта
Разумеется, деперсонализация данных несколько снижает риски утечек ПДн. Однако не может нивелировать их полностью. Более того, для реализации этих рисков очень большое значение имеет человеческий фактор: часто утечка информации происходит просто по неосмотрительности пользователей или в результате невнимательного отношения врачей и младшего медицинского персонала к сохранению врачебной тайны.
Особо подчеркну: сама по себе обработка данных и их передача не создают риски. Риски создаёт человек, который имеет к ним доступ. И мероприятия по снижению рисков можно начать с регистрации всех попыток доступа к данным, как успешных, так и нет. Это позволит идентифицировать тех, кто обращается к данным, а значит, и определять надёжность человека. А сложное нормативное регулирование лишь усугубляет недостаточную осмотрительность тех, кто работает со сведениями как самих пациентов, так и врачей и других специалистов, тем самым упрощая злоумышленникам достижение их целей.
Медицинская отрасль остро нуждается в таком регулировании, которое в первую очередь позволит быстро вводить в научно-практический оборот новые массивы разнообразных обезличенных данных и создавать с их помощью цифровые модели, в которых остро нуждается российская медицина. Цифровой медицине надо вместе с регуляторами найти ту грань, где регламенты оборота персональных медицинских данных помогают упорядочить и оптимизировать процессы обезличивания данных и их обработки во внешних системах (диагностических, рекомендательных и подобных) — и при этом минимизируют риски утечек исходных данных. Найти эту грань вполне возможно совместными усилиями сообщества медицинских специалистов и всех регуляторов, причастных к задачам защиты данных.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных