02.06.2021

«Damumed» - цифровая медицина и персональные данные

Защищает ли персональные данные казахcтанцев медицинская система «Damumed»? 

Данный вопрос поставило перед собой Частное Учреждение «Integrity Astana» (далее – Организация), путем анализа документации системы, используемых сайтов, процесса авторизации и верификации данных. 

В Конституции Республики Казахстан уделено отдельное внимание вопросу защиты персональных данных, где в статье 17 отмечено, что каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и достоинства. Государственные органы, общественные объединения, должностные лица и средства массовой информации обязаны обеспечить каждому гражданину возможность ознакомиться с затрагивающими его права и интересы документами, решениями и источниками информации. Из данной нормы вытекает право каждого гражданина на защиту персональных данных. 

Почему персональные данные важны для гражданского общества? На это есть несколько причин: 

- персональные данные важны. В последнее время, ввиду стремительного развития цифровых технологий, государство особо акцентирует внимание на вопросы защиты персональных данных. К тому же с принятием нового Кодекса «О здоровье народа и системе здравоохранения» в 2020 году государство внедрило новое понятие в области защиты персональных данных - персональные медицинские данные, а также концепцию «цифровое здравоохранение»; 

- незаконное распространение персональных данных, связанной не только с «Damumed», но и с другими информационными системами и базами данных подрывает доверие у граждан к государству и организациям, которые тесно осуществляют деятельность со сбором и обработкой персональных данных; 

- «Damumed» популярная информационная система в Казахстане. Согласно рейтингу популярных сайтов в Казахстане Alexa от компании Amazon домен dmed.kz занимает 40-е место и по суточному времени 1-е место. В связи с ростом популярности и большого охвата пользователей, работы системы с персональными данными ограниченного доступа, отнесения системы к критически важным объектам информационно-коммуникационной инфраструктуры возникает и рост ответственности в предоставлении качественных услуг без нарушений прав пользователей; 

- утечка персональных данных, в особенности в больших масштабах может привести к недовольству граждан и росту социальной напряженности. Как следствие к снижению доверия к проводимой государственной политике. 

В последнее время в средствах массовой информации можем наблюдать информацию, об утечке персональных данных в системе «Damumed», где были зафиксированы оплаченные, но фактически не оказанные медицинские услуги, приписки граждан к поликлиникам и др. По этой причине, остается неизвестным реальное количество приписок и какую сумму оплатил Фонд социального медицинского страхования за фиктивные медицинские услуги. 

По данным Министерства здравоохранения РК, «Damumed» не имеет отношения к припискам, так как этим занимаются сами сотрудники медицинских организаций в целях повышения доходов. 

В связи с чем, экспертами Организации было изучена приложения «Damumed» в ходе которого установили следующее, что политика конфиденциальности находится в самом приложении или при регистрации в системе, но не на главной странице, что затрудняет пользователю ознакомление с тем, какие данные собирает система, как обрабатывает, в каких целях и на какой срок. Она содержится в виде отдельной ссылки в магазинах приложений Google Play Market и Apple AppStore, что является не совсем удобным. Обычно, при регистрации в других приложениях выходит «Плашка» об ознакомлении и согласии пользователя с политикой конфиденциальности, но в системе такое условие отсутствует. В пример, можно привести приложение naimi.kz, системы Ashyq, olx и другие сервисы. 


Система «Damumed» использует несколько сайтов, через которые может зайти пользователь, это https://damumed.kz и https://patient.damumed.kz со схожим функционалом и содержанием, что является не совсем удобным со стороны пользовательского опыта. Кроме того, сайты принадлежащие «Damumed», собирают различного рода данные пользователя как cookies и оснащены трекерами - как например Яндекс.Метрика на dmed.kz и DoubleClick на cit-damu.kz. 

Некоторые ресурсы не содержат сертификаты безопасности, как например http://dmed.kz/. Согласно подпункта 5 пункта 16 Закона РК «Об утверждении правил регистрации, пользования и распределения доменных имен в пространстве казахстанского сегмента Интернета» отсутствие сертификата безопасности (отечественного или иностранного) является основанием для приостановления доменного имени. Учитывая тот факт, что на основном доменеhttp://dmed.kz/ имеются поддомены, которые в свою очередь подразделены по регионам страны, приостановление может иметь неблагоприятные последствия. 

В связи с чем, нами разработан ряд предложений, для улучшения взаимодействия пользователя с системой «Damumed»: 

- сообщать посетителям о том, что происходит сбор и обработка обезличенных данных, в том числе файлов cookies, с помощью сервисов интернет-статистики (Яндекс.Метрика на damumed.kz, DoubleClick на cit-damu.kz и т.д.); 

- обозначать какой исчерпывающий перечень данных пользователя собирает и обрабатывает, а также цель сбора и обработки персональных данных для предоставления услуг; 

- привести некоторые интернет-ресурсы (http://dmed.kz) в соответствии с Правилами регистрации, пользования и распределения доменных имен в пространстве казахстанского сегмента Интернета; 

- прописать детально права субъекта персональных данных и правовой статус пользователя системы; 

- предусмотреть возможность удаления данных пользователя в случае неиспользования сервиса компании в пределах временного отрезка (например, свыше одного календарного года); 

- исключить повторяющиеся сайты с тем же функционалом в целях оставления единственного ресурса для входа пользователям в систему;
- предусмотреть использование cookies на сайтах. Cookies в последнее время прописывается во многих политиках конфиденциальности, хоть и многие пользователи не понимают, что это, но эти данные используется обычно для аутентификации пользователя, какие у него имеются предпочтения, как проходит сеанс с сайтом. Apple недавно озаботилась данной проблемой, касающейся приватности пользователей и в браузерах Safari появился функционал о том, какие имеются трекеры на сайтах; 

- разместить Политику конфиденциальности на главной странице, в приложении «Damumed», а также перед регистрацией в системе; 

- для удобной работы с порталом «Damumed» рекомендуется обозначить, что *region*.dmed.kz предназначен для пользователей модуля «Кабинет врача», а не пользователей-получателей медицинских услуг; 

- ограничить индексацию сайта, чтобы ссылки модуля «Кабинет врача» были не отображаемы при выдаче запроса, по ключевым словам; 

- ограничить время сессии аккаунта (автоматический выход из аккаунта в фоновом режиме) на мобильном приложении «Damumed» в целях недопущения несанкционированного доступа к персональным данным пользователя третьими лицами и возможности использования пользователем входа посредством пароля (FaceId, TouchId, код-пароль), как, например, это реализовано в мобильных приложениях eGov mobile, kaspi.kz.


Жанат Нургалиев – экономист,

директор ЧУ «INTEGRITY ASTANA»