Защищает ли персональные данные казахcтанцев медицинская система «Damumed»? Данный вопрос поставило перед собой Частное Учреждение «Integrity Astana» (далее – Организация), путем анализа документации системы, используемых сайтов, процесса авторизации и верификации данных.
В Конституции Республики Казахстан уделено отдельное внимание вопросу защиты персональных данных, где в статье 17 отмечено, что каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и достоинства. Государственные органы, общественные объединения, должностные лица и средства массовой информации обязаны обеспечить каждому гражданину возможность ознакомиться с затрагивающими его права и интересы документами, решениями и источниками информации. Из данной нормы вытекает право каждого гражданина на защиту персональных данных.
Почему персональные данные важны для гражданского общества? На это есть несколько причин:
– персональные данные важны. В последнее время, ввиду стремительного развития цифровых технологий, государство особо акцентирует внимание на вопросы защиты персональных данных. К тому же с принятием нового Кодекса «О здоровье народа и системе здравоохранения» в 2020 году государство внедрило новое понятие в области защиты персональных данных – персональные медицинские данные, а также концепцию «цифровое здравоохранение»;
– незаконное распространение персональных данных, связанной не только с «Damumed», но и с другими информационными системами и базами данных подрывает доверие у граждан к государству и организациям, которые тесно осуществляют деятельность со сбором и обработкой персональных данных;
– «Damumed» популярная информационная система в Казахстане. Согласно рейтингу популярных сайтов в Казахстане Alexa от компании Amazon домен dmed.kz занимает 40-е место и по суточному времени 1-е место. В связи с ростом популярности и большого охвата пользователей, работы системы с персональными данными ограниченного доступа, отнесения системы к критически важным объектам информационно-коммуникационной инфраструктуры возникает и рост ответственности в предоставлении качественных услуг без нарушений прав пользователей;
– утечка персональных данных, в особенности в больших масштабах может привести к недовольству граждан и росту социальной напряженности. Как следствие к снижению доверия к проводимой государственной политике.
В последнее время в средствах массовой информации можем наблюдать информацию, об утечке персональных данных в системе «Damumed», где были зафиксированы оплаченные, но фактически не оказанные медицинские услуги, приписки граждан к поликлиникам и др. По этой причине, остается неизвестным реальное количество приписок и какую сумму оплатил Фонд социального медицинского страхования за фиктивные медицинские услуги.
По данным Министерства здравоохранения РК, «Damumed» не имеет отношения к припискам, так как этим занимаются сами сотрудники медицинских организаций в целях повышения доходов.
В связи с чем, экспертами Организации было изучена приложения «Damumed» в ходе которого установили следующее, что политика конфиденциальности находится в самом приложении или при регистрации в системе, но не на главной странице, что затрудняет пользователю ознакомление с тем, какие данные собирает система, как обрабатывает, в каких целях и на какой срок. Она содержится в виде отдельной ссылки в магазинах приложений Google Play Market и Apple AppStore, что является не совсем удобным. Обычно, при регистрации в других приложениях выходит «Плашка» об ознакомлении и согласии пользователя с политикой конфиденциальности, но в системе такое условие отсутствует. В пример, можно привести приложение naimi.kz, системы Ashyq, olx и другие сервисы.
Система «Damumed» использует несколько сайтов, через которые может зайти пользователь, это https://damumed.kz и https://patient.damumed.kz со схожим функционалом и содержанием, что является не совсем удобным со стороны пользовательского опыта. Кроме того, сайты принадлежащие «Damumed», собирают различного рода данные пользователя как cookies и оснащены трекерами – как например Яндекс.Метрика на dmed.kz и DoubleClick на cit-damu.kz.
Некоторые ресурсы не содержат сертификаты безопасности, как например http://dmed.kz/. Согласно подпункта 5 пункта 16 Закона РК «Об утверждении правил регистрации, пользования и распределения доменных имен в пространстве казахстанского сегмента Интернета» отсутствие сертификата безопасности (отечественного или иностранного) является основанием для приостановления доменного имени. Учитывая тот факт, что на основном домене http://dmed.kz/ имеются поддомены, которые в свою очередь подразделены по регионам страны, приостановление может иметь неблагоприятные последствия.
В связи с чем, нами разработан ряд предложений, для улучшения взаимодействия пользователя с системой «Damumed»:
– сообщать посетителям о том, что происходит сбор и обработка обезличенных данных, в том числе файлов cookies, с помощью сервисов интернет-статистики (Яндекс.Метрика на damumed.kz, DoubleClick на cit-damu.kz и т.д.);
– обозначать какой исчерпывающий перечень данных пользователя собирает и обрабатывает, а также цель сбора и обработки персональных данных для предоставления услуг;
– привести некоторые интернет-ресурсы (http://dmed.kz) в соответствии с Правилами регистрации, пользования и распределения доменных имен в пространстве казахстанского сегмента Интернета;
– прописать детально права субъекта персональных данных и правовой статус пользователя системы;
– предусмотреть возможность удаления данных пользователя в случае неиспользования сервиса компании в пределах временного отрезка (например, свыше одного календарного года);
– исключить повторяющиеся сайты с тем же функционалом в целях оставления единственного ресурса для входа пользователям в систему;
– предусмотреть использование cookies на сайтах. Cookies в последнее время прописывается во многих политиках конфиденциальности, хоть и многие пользователи не понимают, что это, но эти данные используется обычно для аутентификации пользователя, какие у него имеются предпочтения, как проходит сеанс с сайтом. Apple недавно озаботилась данной проблемой, касающейся приватности пользователей и в браузерах Safari появился функционал о том, какие имеются трекеры на сайтах;
– разместить Политику конфиденциальности на главной странице, в приложении «Damumed», а также перед регистрацией в системе;
– для удобной работы с порталом «Damumed» рекомендуется обозначить, что *region*.dmed.kz предназначен для пользователей модуля «Кабинет врача», а не пользователей-получателей медицинских услуг;
– ограничить индексацию сайта, чтобы ссылки модуля «Кабинет врача» были не отображаемы при выдаче запроса, по ключевым словам;
– ограничить время сессии аккаунта (автоматический выход из аккаунта в фоновом режиме) на мобильном приложении «Damumed» в целях недопущения несанкционированного доступа к персональным данным пользователя третьими лицами и возможности использования пользователем входа посредством пароля (FaceId, TouchId, код-пароль), как, например, это реализовано в мобильных приложениях eGov mobile, kaspi.kz.
Автор: Жанат Нургалиев – экономист, директор ЧУ «INTEGRITY ASTANA»
