Дыра Года: конфиденциальность и eHealth

Год назад, в апреле 2018 года, автор опубликовал результаты исследования проблем, связанных с eHealth-платформой МОЗ. За прошедшее время эти проблемы никуда не делись. Более того, ситуация с защитой, точнее беззащитностью персональных данных, которые непрерывно накапливаются данной платформой, приобретает характер небольшой катастрофы.

Персональные данные на глазах превращаются если не в фетиш, то, как минимум, популярную тему для разговоров. Громкие скандалы последних лет, такие как несанкционированное использование данных о пользователях соцсетей для политических манипуляций, помогли, наконец, оценить возможности, сокрытые в наших данных.

К сожалению, хотя защита персональных данных в Украине провозглашается одной из целей государственной политики и регулируется отдельным законом, на практике в этой сфере царит анархия или, если выражаться точнее, настоящий бардак. Все кому не лень собирают наши данные с целью их коммерциализации, заботясь не об исполнении норм закона, а больше о том, как его обойти. В результате не является проблемой купить данные на любой вкус, от сведений ГФС до информации о пользовании службами такси как по одному лицу, так и целыми базами данных.

От массовой утечки медицинских данных нас пока что спасает то, что в государственных и коммунальных медицинских учреждениях абсолютно доминирует бумажный документооборот. С 2020 года соответствующая информация начнёт накапливаться e-Health платформой МОЗ и жить станет намного лучше, жить станет веселей.

Немного теории

Закон определяет персональные данные так: “сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано”. Несколько витиевато, правда? Это не случайно.

Персональными считаются не только данные, для которых явным образом указан человек, с которым они связаны. Персональными являются и те данные, которые позволяют с их помощью установить лицо, которое они характеризуют. То есть ПД это вообще всё, что как-то связано или может быть связано (ассоциировано, логически привязано) с каким-либо физическим лицом, т.е. конкретным человеком.

Второй важный аспект, на котором стоит остановиться это наличие ситуации доступа к такого рода данным у третьих лиц. Иными словами, вопрос о ПД возникает в тот момент, когда их получают в своё распоряжение, или желают заполучить, или могут получить посторонние лица.

Эталонным примером ПД являются данные, содержащие т.н. медицинскую (врачебную) тайну. Закон отдельно защищает такого рода сведения, предусматривая за их разглашение ответственность вплоть до уголовной. Кому и зачем могут понадобиться сведения, содержащие медицинскую тайну, отчего такие строгости?

Во-первых, это та часть медицинского бизнеса, которая основывает продвижение своих услуг на агрессивных манипуляциях целевой аудитории. Попросту говоря, запугивает несчастных пациентов. К сожалению, это весьма распространённая практика, в рамках которой людям навязывают бесполезные или даже вредные процедуры, лекарственные препараты, вытягивая так много денег, как только получится.

Асимметрия информации, невозможность для пациента оценить фактические обстоятельства дела, обоснованность диагноза и предлагаемого лечения — фундаментальная особенность медицины. При этом уязвимость людей к манипуляциям такого рода близка к максимальной. Когда речь заходит о самочувствии, а то и самой жизни себя, своих детей и близких, люди готовы отдать буквально последнее и даже залезть в долги.

Знание фактических состояния здоровья потенциальной жертвы, её анализы, диагнозы, назначения и прочая врачебная информация резко повышают эффективность подобных манипуляций.

Во-вторых, за такого рода сведения охотно и щедро платят преступники, включая шантажистов, аферистов, всевозможных “целителей” и тому подобных мошенников. В цене информация о социально-осуждаемых (СПИД, ЗППП), тяжёлых и смертельных заболеваниях, наличии стигматизированных инфекций, репродуктивном здоровье и т.п.

В-третьих, нездоровый интерес к здоровью своих клиентов и сотрудников часто проявляют работодатели и страховщики. Не случайно законодательство содержит отдельную норму, которая запрещает работодателям интересоваться здоровьем сотрудников и соискателей.

Наконец, в-четвёртых, речь идёт о разного рода дураках, неадекватах и мерзавцах, от ревнивых супругов и любителей троллинга до нерадивых сотрудников медучреждений, которые с добрыми намерениями разглашают всему населенному пункту подробности вашей болезни, после чего вам придется поменять место жительство или интересуются по просьбе родственников, приходила ли невестка делать прививки внуку.

Очень важным аспектом проблемы является то, что сведения, содержащие медицинскую тайну, легко монетизируются, могут стоит очень дорого, иными словами, имеют место предпосылки для целенаправленных усилий преступного мира, набившего руку на взломе финансовых инструментов.

Немного истории

Первые сигналы о том, что в e-health платформе имеют место серьёзные проблемы с ПД, датированы 2017 годом. Приказы ОО Transparency International Україна касательно регламента функционирования системы в тестовом режиме и тестовой программы для сторонних разработчиков вызвали ряд вопросов. Во-первых, почему на этапе тестирования в программу вносятся реальные ПД граждан? Во-вторых, с какой стати этим занимается общественная организация? Закон “О государственных финансовых гарантиях медицинского обслуживания населения”, который является основанием для создания системы, не предполагает делегирования функций обработки ПД кому либо. На момент вступления в силу Закона  Национальная Служба здоровья  Украины (НСЗУ) еще даже не была создана.

Закон “О защите персональных данных” содержит требование определить владельца ПД, который обрабатывает их в интересах собственников этих данных. По логике Закона “О финансовых гарантиях…” владельцем ПД в e-health платформе является НСЗУ. Соответственно, вместе с постановлением Кабмина   и вместо приказа МОЗ о передаче имущественных прав на программное обеспечение центральной базы данных, платформы и накопленных в ней данных Службе, должен был бы быть подготовлен приказ НСЗУ о порядке обработки персональных данных, доступа третьих лиц и к данным, и к самой платформе. Ничего этого сделано не было.

Дальше больше. Закон о защите персональных данных требует получать согласие человека на обработку его ПД или “цель обработки персональных данных должна быть сформулирована в законах, других нормативно-правовых актах, положениях, учредительных или иных документах, регулирующих деятельность владельца персональных данных .  Чтобы упростить себе жизнь, Законом о финансовых гарантиях медицинского обслуживания была внесена норма,  которая разрешает медицинским учреждениям и самому НСЗУ обрабатывать ПД пациентов без их согласия. Согласие необходимо  только третьим лицам вроде операторов медицинских информационных систем (МИС) и ДП “Электронное здоровье”.

Вопреки требованиям профильного закона МОЗ до начала работы НСЗУ, а потом и сама НСЗУ не определили распорядителя и третьих  лиц, которым будут передаваться ПД пациентов. Неизвестны лица, ответственные за сохранность ПД, порядок их обработки, утверждённый владельцем, отсутствуют документы, описывающие как именно происходит защита ПД. Как результат медучреждения начали работать с электронными данными и передавать их  в систему, которую на момент старта МОЗ не контролировал. Медучреждения не установили у себя порядок обработки ПД и ответственных сотрудников, на которых возложены обязанности по обеспечению защиты персональных данных 

При этом идеология e-health платформы не предполагает  возможность  обслуживания у врачей первичного звена иначе, кроме как посредством подписания электронной декларации. Не предполагается и отказ от электронной обработки личных персональных данных. “Доверься или вали”

Как стало понятно ещё в прошлом году, проблема с безопасностью ПД имеет три составляющие. Во-первых, реформаторы из МОЗ не воспринимают проблематику ПД как нечто, заслуживающее отдельного внимания. Характерны размышления на сей счёт одного из разработчиков системы, чьё эссе с названием «Щодо електронної ідентифікації» содержит следующий пассаж: «Суть існування будь-яких даних – не в тому, щоб їх захищали, а в тому, щоб їх ефективно обробляли в інтересах суспільства, держави та пацієнтів. (…) Моє діло — збирати та обробляти дані, в тому числі персональні, а як їх захищати – на те, сподіваюся, знайдуться відповідні спеціалісти, які сформулюють адекватні підходи».      

В результате, во-вторых, в МОЗ не задавались и, похоже, не предполагают задаваться ранее 2021 года (см. раздел «У нас есть Концепция!») базовыми вопросами защиты ПД. Например, кто является распорядителем  данных пациента, каковы его права и обязанности, какие принципы доступа к ПД предполагается реализовывать и т.п.

В-третьих, в МОЗ выбрали модель разработки, при которой задание на продукт формируется по мере его развития. В результате у eHealth-платформы, известной также как eZdorovya, попросту отсутствует техническое задание как формализованный и утверждённый заказчиком документ, который содержит исчерпывающее описание его функциональности.

Сложно говорить о каких-либо осмысленных подходах к безопасности ПД, поскольку они попросту не зафиксированы в документе, под которым есть подпись ответственных лиц

И разработчики, и заказчики платформы при необходимости без проблем меняют свои обещания в части функциональности продукта, утверждая, что все выявленные проблемы обязательно будут устранены в очередных релизах.

Дыра Года и немного GDPR

Всё это усугубляется тем, что eHealth-платформа возникла и продолжает развиваться в специфической атмосфере безответственности, беспечности и безалаберности людей, взявшихся “с нуля” создать всеобъемлющую систему работы с данными, составляющими медицинскую тайну. Причём взявшихся за это дело в качестве жеста доброй воли, т.е. практически волонтёров. А с волонтёров какой может быть спрос, правда же?

Официальные ответы, интервью и прочая публичная коммуникация реформаторов из МОЗ и НСЗУ вынуждают сделать вывод, что они либо не понимают меру своей ответственности за безопасность ПД, либо не верят в то, что с них может быть спрошено.

Например, в лечебных учреждениях, которые непосредственно работают с ПД, как не было, так и нет штатных единиц, которые отвечают за их безопасность. Даже если бы эти штатные единицы появились, они были бы бесполезны, поскольку ни МОЗ, ни НСЗУ до сих пор не подготовили и не ввели в действие соответствующие регламенты и нормативные документы. Огромные массивы ПД, уже накопленные в ходе подписной кампании, имеют непонятный правовой статус. Не ясно ни кто конкретно отвечает за их безопасность, ни чем именно отвечает.

Всё это, напомню, было выявлено ещё в прошлом году. За прошедшее время к уже обнаруженным недостаткам прибавились новые, временами просто невероятные. Проблемой №1, настоящей Дырой Года стоит признать используемую в популярных МИС модель аутентификации (т.е. подтверждения прав) для доступа в личный кабинет и всем данным пациента.

Речь идёт о давно уже признанной как однозначно неприемлемая модели аутентификации по номеру мобильного телефона. Чтобы попасть в кабинет пользователя, достаточно иметь на руках SIM-карту с номером мобильной связи, который использовался для регистрации в системе. В условиях Украины, где порядка 90% всех номеров используются без персонификации владельца, это означает риск “угона” номера путём его переоформления (т.н. SIM swap).

Украинский рынок финансовых услуг уже много лет страдает от эпидемии преступлений такого рода. Количество пострадавших в результате единичного эпизода может исчисляться десятками, а текущий рекорд украденных средств составляет 285 тыс. гривен.

Согласно отчёту КГГА (стр. 93 — 94) в 2018 году услугами трёх МИС — “Поликлиника без очереди”, Helsi и Медстар, — воспользовались 1,3 млн. человек. Все три МИС аутентифицируют пользователей по номеру мобильного. Более того, МИС Helsi в качестве штатного метода аутентификации использует статическую пару из номера телефона и семизначного  цифрового кода. Это создаёт идеальные условия для автоматизации т.н. фишинга, т.е. кражи учётных данных для дальнейшего проникновения.

На российском рынке кража учётных данных подобным образом давно поставлена на поток. Если верить инсайдерам, при благоприятных обстоятельствах суточный улов может исчисляться десяткам тысяч пар “логн — пароль”. Сейчас, пока платформа не содержит ничего, кроме данных об имени-отчестве, сканов паспорта пациента да, может быть, сведений о выписанных ему лекарствах, вряд ли злоумышленники будут тратить время на доступ к ним. Однако по мере того, как МИС будут накапливать данные, составляющие врачебную тайну, преступный интерес к ним будет переходит в практическую плоскость.

Не удивительно, что наиболее компетентные граждане испытывают сильные негативные чувства по отношению к МОЗ и её партнёрам, начиная с разработчика платформы, компании Edenlab.

Проблема №2, проявившаяся в этом году, заключается в отсутствии у МОЗ, НСЗУ и множества организаций, причастных к реформе здравоохранения, осознания того, что с безопасностью персональных данных что-то не так.

Весной прошлого года в ответ на запрос о степени своей готовности к требованиям европейского регламента обработки персональных данных (General Data Protection Regulation, GDPR) представители МОЗ отвечали следующим образом: “Общий регламент ЕС касательно защиты персональных данных вводится в действие в мае 2018 года. Ввиду вышесказанного после ввода в действие нормативного документа (GDPR – Р.Х.) его требования будут учтены в нормативных документах. Касательно отдельных прав и обязанностей граждан ЕС (выделено мною — Р.Х.), чья персональная информация собирается или обрабатывается в системе электронного здравоохранения, руководствуясь частью первою ст. 23 Закона Украины “Про защиту персональных данных” предлагаем обратиться к Уполномоченной Верховной Рады Украины по правам человека”.

Стоит пояснить, что eHealth-платформа будет неизбежно накапливать данные граждан ЕС, которые проживают в Украине. Уезжая домой, в страны Евросоюза они будут по-прежнему консультироваться украинскими врачами, а их персональные данные — собираться и обрабатываться. Это означает, что требования GDPR в полной мере распространяются на eHealth-платформу МОЗ и должны учитываться при её разработке и эксплуатации. Точнее, должны были бы учитываться…

Прошло время, GDPR вступил в силу и уже глава НСЗУ начал радовать украинскую громаду рассуждениями наподобие «почнемо з того, що ми розуміємо під приватністю даних. Є поняття GDPR (…) його суть в тому, що людина є власником своїх даних. Я не даю дані всім. Я даю дані вибірково і керую доступом до них. GDPR прийнятий в Європі. В юридичному плані його у нас немає, але при розробці системи, ми про це думаємо. Юридично користувач, підписуючи декларацію, дає дозвіл на обробку своїх даних».

Эти пассажи вынуждают усомниться в адекватности восприятия проблемы и министерством, и его многочисленными партнёрами. GDPR как раз и появился на свет как способ противодействовать подобным отпискам. Регламент требует, например, наличия отдельных сотрудников (data officers), отвечающих за безопасность ПД, описывает порядок реагирования на разного рода инциденты и, в целом, требует очень серьёзной подготовительной работы.

С точки зрения GDPR происходящее с персональными данными украинцев в МОЗ и НСЗУ — настоящий бардак, подлежащий немедленному устранению.

На этом фоне ничего, кроме горькой усмешки не вызывают разговоры в духе “розробники відповідають за privacy by design (…) Як зберігати паролі і так усі знають, а data protection officer, organizational measures, i тд — це не до розробників”. Аналогичную реакцию вызывают декларации, которыми переполнена публичная коммуникация МОЗ:  

Центральна база даних електронної системи охорони здоров`я знаходиться на території України, у захищеному дата-центрі в місті Києві. Цей дата-центр має комплексну систему захисту інформації (КСЗІ). Дата-центр відповідає міжнародним стандартам (сертифікат відповідності ISO 27001:2013, сертифікат виданий Bureau Veritas №IND17.0398/U) та українським стандартам (атестат відповідності ДССЗЗІ №14162 від 22.07.16) у сфері захисту даних. Побудова системи захисту персональних даних від кібератак врегульована меморандумом про організацію взаємодії з питань обміну інформацією щодо кібер-інцидентів з використанням Malware Information Sharing Platform & Threat Sharing “Ukranian Advantage” укладено між Службою безпеки України та Державним підприємство «ЕЛЕКТРОННЕ ЗДОРОВ’Я» від 09.07.2018 року.

Обложившись бесполезными бумажками, которые фактически ни к чему не обязывают МОЗ и НСЗУ как владельца персональных данных (повторимся, на уровне Закона ответственность на НСЗУ, а не на ДП или СБУ),  реформаторы  продолжают игнорировать дыры, через которые можно украсть слона.

«У нас есть Концепция!»

Поиски информации о том, что же МОЗ и НСЗУ собираются делать с гигантскими массивами ПД, которые непрерывно у него накапливаются, привели к документу с многообещающим названием Проект распоряжения Кабмина «Про утверждение Концепии информатизации здравоохранения Украины» (см. собственно проект Концепции здесь).

На первый взгляд, в нём проблематика ПД отражена более-менее адекватным образом. В частности, говорится о необходимости «особливого ставлення до безпеки, цілісності та доступності даних в ЕСОЗ». Концепция оперирует понятием единой информационной среды, которую должны образовывать международные стандарты, классификаторы, технические решения и т.п. интеллектуальные продукты, отражающие актуальный мировой уровень. Среди прочего говорится о необходимости гармонизировать законодательство Украины с требованиями GDPR.

Обозначив безопасность данных как одну из задач, авторы Концепции описывают пути её решения и вот здесь начинается непонятное:

«…Для повноцінного функціонування ЕСОЗ та всього середовища Е-здоров’я викладені у цій Концепції принципи та підходи потребуватимуть врегулювання у законодавстві України. Вдосконалення потребуватимуть наступні напрямки та галузі законодавства:

  • оброблення персональних даних, які становлять особливий ризик для прав і свобод суб’єктів персональних даних («чутливі» медичні дані, дані про стан здоров’я), їх повторне знеособлене використання для цілей статистичних, наукових досліджень та з іншими цілями поза метою надання медичної допомоги;
  • порядок ідентифікації, автентифікації пацієнтів та інших осіб у сфері ЕСОЗ, надання унікального ідентифікатора пацієнта, порядок роботи реєстру пацієнтів на рівні центрального компоненту ЕСОЗ, вимоги до інших реєстрів з даними пацієнтів;
  • електронний документообіг;
  • вимоги до технічного захисту інформації в середовищі Е-здоров’я, вдосконалення процедур підтвердження відповідності систем захисту інформації у інформаційно-телекомунікаційних системах в складі ЕСОЗ, здійснення робіт із створення систем захисту інформації, державної експертизи зазначених систем у порядку, визначеному МОЗ;
  • вимоги до електронних медичних інформаційних систем, та порядок перевірки їх дотримання;
  • порядок ведення форм медичної документації, порядок функціонування медичної статистики».

Всё, буквально всё из вышеперечисленного нужно было урегулировать до начала обработки персональных данных граждан Украины и тем более ЕС. В одном правы авторы концепции — это и правда все должно было быть на уровне Закона. Между тем проект Концепции не задаёт сроков «вдосконалення», что вызывает опасения — всё это время безопасность данных будет оставаться на периферии внимания НСЗУ и МОЗ.

Подробный разбор изъянов предложенного Минздравом проекта Концепции можно найти в статье Тимофея Бадикова, председателя правления ГО «Платформа здоровья». Ограничусь единственной цитатой из его колонки:

З існуючого проекту документу не зрозуміло:

— Хто є власником персональних і медичних даних?

— Яка пропонується концепція безпеки, використання ЕЦП, та інших засобів ідентифікації і аутентифікації?

— Які принципи доступу до чутливих даних?

► Просимо розробників Концепції доповнити документ інформацією щодо організації безпеки персональних даних та відповідальності власника за їх доступність та збереження.

«Свято наближається…»

К сожалению, вышеописанные изъяны не исчерпывают перечень проблем. Например, к единому реестру медосмотров в качестве общедоступного бонуса волонтёры, занимающиеся кибербезопасностью, нашли исходные коды, пароли и данные учётной записи администратора. Этот реестр фигрурировал в критических публикациях, датированных аж 2014 годом.

Запуск очередного функционального модуля eHealth-платформы, электронных рецептов, сопровождается теми же проблемами, что и приписная кампания весны-лета 2018 года. Сложно сказать, что именно вызывает многочисленные сложности при работе с этим модулем, то ли дефекты программного обеспечения, то ли недостаточная производительность аппаратной платформы. В рамках принятого командой реформаторов подхода границы между тестовой, опытной и полноценной промышленной эксплуатацией размыты до неприличия. Фактически eHealth-платформа тестируется на реальных персональных данных и живых людях в лице сотрудников медицинских учреждений. Это вызывает многочисленные проблемы, которые руководством МОЗ по-совдеповски рассматривает как временные трудности и отдельные недостатки, а критику предложенных конкретных решений как отметает как недобросовестные посягательства на реформу.

Очевидное нежелание МОЗ обращать внимание на проблему безопасности ПД рано или поздно должно было спровоцировать конфликт. В начале июля группа народных депутатов направила обращение в Офис омбудсмена с просьбой проверить состояние дел с защитой ПД в eHealth-платформе МОЗ.

Стоит признать, что в основе данного обращения для внеплановой  проверки  аргументы в части отсутствия КСЗИ или подписания деклараций с нарушениями и возможными фальсификациями, не относятся к компетенции Омбудсмена, а вот другой орган мог бы и установить нарушение 1 категории и остановить работу системы до устранения нарушения. .. Тем не менее, обращение сыграло нужную роль — спустя неделю сотрудники Уполномоченной  ВРУ по правам человека начали проверку на предмет соблюдения прав и свобод граждан в области защиты персональных данных.

Результаты первого этапа проверки подтвердили наличие множества нарушений законодательства в сфере защиты данных. Обращает внимание, что ГП “Электронное здоровье”, которое является номинальным распорядителем данных, оказалось не в состоянии ответить на ряд принципиально важных вопросов. Поскольку Офис Омбудсмена уже анонсировал новые проверки, можно ожидать развитие сюжета. 

Так что же делать?

Перезагрузка государственного механизма создала предпосылки для решения накопившихся проблем. Как уже было сказано выше, для этого необходимо каким-то образом принудить исполнительную и законодательную   власти заняться проблематикой персональных данных. К сожалению, дефекты eHealth-платформы имеют системный характер и вряд ли могут быть устранены полностью за короткое время без внесения изменений в законодательство.

Тем не менее, есть достаточно возможностей, чтобы существенно  уменьшить, например, риски доступа к данным пациентов через уязвимости процедур аутентификации. Некоторые из этих решений уже апробированы в Украине, некоторые пока что отсутствуют. В любом случае речь идёт о решаемой задаче.

Невосприимчивость  команды реформаторов системы здравоохранения  к любой критике общеизвестна. Как показал, например, печальный опыт смертей из-за отсутствия сывороток от ботулизма, нужны чрезвычайные обстоятельства, чтобы МОЗ снизошел до объяснений и начал что-то делать. По мнению авторов, делу могут помочь, с одной стороны, публичные демонстрации уязвимостей МИС. С другой стороны, законодательство о персональных данных позволяет требовать запрета на обработку ПД субъектами, которые не в состоянии обеспечить их защиту, но к сожалению только с риском оказаться в платной клинике для получения медицинских услуг.

Представляется очевидным требовать проведения аудита состояния дел в этой области, а также разработку, публичное обсуждение и утверждение руководящих  документов в части безопасности ПД, накапливаемых e-Health платформой.

Вместо послесловия

Несколько примеров ловкости, с которой реформаторы гоняют шарик между напёрстками.

Глава Национальной службы здоровья Украины Олег Петренко объясняет, что уже накопленные медицинские данные (медицинские карты, результаты исследований, анализы и т.п.) оцифровываться не будут:

«— У нас дуже проста стратегія. Всі нові дії будуть відбуватися в електронному вигляді. Якщо ми говоримо, наприклад, про історії хвороб, які зараз знаходяться в паперовому вигляді, з ними ми нічого не плануємо робити. Система двокомпонентна, і це міг би бути хороший проект для бізнесу. Створити якийсь інструмент, де лікарі могли б сканувати, оцифровувати історію. Нам, як я думаю, вистачить роботи і з поточними даними.

— Тоді картина пацієнта буде неповна.

— З часом — буде повна. На збір інформації потрібен час.

— Скільки знадобиться часу, щоб зібрати повну картину?

— Повна картина — відносне поняття. Коли ми надаємо лікарям інструмент, вони вносять дані, й інформація починає збиратися. Що її більше, то більш релевантні рішення. Поняття «повна медична історія» не існує. Повна історія — це від моменту народження до моменту смерті.«

А вот что говорит заместитель министра здравоохранения Павел Ковтанюк:

“Ми не просто будуємо ІТ-рішення, бо “так треба”. Є конкретні проблеми, які ми вирішуємо: лікарі потопають в папері, організована медична інформація відсутня, дані незахищені. Завдяки електронній системі охорони здоров’я ми це можемо змінити. Наша ціль — щоб до кінця 2023 року всі рішення в системі охорони здоров’я приймалися на основі електронних даних (виделено мною — Р.Х.)”.

Но как можно принимать ВСЕ решения на основе данных в цифровом виде, если к 2023 году они будут охватывать только два-три последних года? Впрочем, вот этот пассаж из очередного интервью г-на Петренко многое объясняет:

“Трансформація системи охорони здоров’я — це, перш за все, зміна механізмів фінансування. Гроші пішли за пацієнтом. Тобто державні кошти не розчиняються в субвенціях та дотаціях, а виплачуються медичному закладу за результат роботи. А результат цей фіксується та вимірюється в електронних даних. Саме застосування електронних інструментів, оплата на основі достовірних електронних даних забезпечує прозоре, цільове та ефективне використання ресурсів. А в підсумку — те, що система охорони здоров’я працює на потреби пацієнтів. А це і є головна мета трансформації”.

Тем, кто всё равно не понял, можно посоветовать прочитать ответ и.о. министра на вопрос в каком именно документе зафиксированы целевые показатели здоровья населения (заболеваемости, смертности и т.д.), которые должны быть достигнуты в результате реализации реформы.


Олексюк Лілія, експерт з питань електронного урядування

Хіміч Роман, експерт ринку телекомунікацій

Робоча група з питань безпеки та довіри в цифровому середовищі

1 thought on “Дыра Года: конфиденциальность и eHealth”

Добавить комментарий