Комитет по информационной безопасности МЦРИАП РК выявил грубые нарушения в сфере защиты персональных данных в ряде частных медицинских организаций Туркестанской области. Поводом для внеплановых прокурорских проверок стали официальные жалобы местных жителей, которые усомнились в сохранности своих конфиденциальных сведений, передает Toppress со ссылкой на пресс-службу Министерства искусственного интеллекта и цифрового развития РК.
В ходе инспекций, прошедших в конце мая, ревизоры обнаружили, что в некоторых медучреждениях региона полностью отсутствовал контроль за безопасностью данных пациентов.
Клиники собирали медицинскую информацию без утвержденных правил и четких целей использования, а также не назначали сотрудников, ответственных за предотвращение утечек.
Учитывая, что медицинская тайна и личные сведения граждан относятся к категории повышенной конфиденциальности, реакция контролирующего органа была жесткой.
За нарушения конституционных прав граждан частные клиники Туркестанской области привлечены к административной ответственности по статье 79 КоАП РК. Общая сумма выписанных штрафов составила 4 541 250 тенге.
Кроме того, всем нарушителям выданы обязательные к исполнению предписания. Руководство клиник теперь обязано оперативно перестроить систему работы с клиентами: внедрить прозрачные политики сбора данных и назначить ответственных за кибербезопасность.
Комитет намерен жестко отслеживать исполнение этих требований, продолжая системный аудит медицинской сферы по всей стране.
Как это могло произойти на практике?
За официальными формулировками Комитета об «отсутствии политики и ответственных лиц» обычно стоят вполне конкретные и опасные для пациентов сценарии:
- «Слив» баз данных третьим лицам. Самый частый пример — когда человеку, едва покинувшему частную клинику, начинают массово звонить сторонние медицинские call-центры, лаборатории или продавцы БАДов с уникальными «персональными предложениями». Без четко прописанных целей клиники могли передавать (или продавать) контакты партнерам.
- Доступ посторонних к медицинским картам. Если в клинике нет сотрудника, отвечающего за информбезопасность, это значит, что базы данных сотрудников и карты пациентов могли быть открыты на компьютерах регистратуры без паролей. Увидеть диагнозы, историю болезней или ИИН мог практически любой посетитель или недобросовестный стажер.
- Использование личных данных для накрутки услуг. Иногда личные данные и ИИН пациентов используют для фиктивного «прикрепления» или оформления медицинских услуг, о которых сам человек даже не догадывается, ради получения финансирования.
Именно на такие подозрительные совпадения и обратили внимание жители Туркестанской области, чьи жалобы в итоге обернулись для частных клиник миллионными штрафами.
