Скоро мы начнем анализ данных от пациентов, так что я погружаюсь в тонкости работы с конфиденциальной информацией. Мы обсуждали этот вопрос с подругой после того, как я увидела в Инстаграме статистиков, за деньги анализирующие данные для аспирантов. Если аспирант не в состоянии или ленится сам замутить примитивный хи-квадрат, то какова вероятность, что аспирант в курсе, как провести анонимизациюданных? Только через одного статистика из интернета разглашаются секретные данные от сотни пациентов. А скольким друзьям и родственникам врачи рассказывают всяких секретов с надеждой, что информация не передается другим? Неудивительно, что в клинических исследованиях пациенты участвовать не спешат, даже если нет риска здоровью.

Конфиденциальные данные пациента защищали еще со времен Гиппократа. На Западе клятвой Гиппократа называют не обязанность лечить и носить богатые одежды, а именно обязанность защищать информацию, полученную от пациента. Защита личной информации необходима для формирования доверительных отношений между пациентом и врачом. Пациент, считающий что его рассказ могут передать третьим лицам, рискует скрыть много данных важных для правильного диагноза. Согласно «Женевской декларации Всемирной медицинской ассоциации» врачи обязаны не разглашать информацию о пациентах не только во время лечения, но даже после смерти пациента.

Кроме конфиденциальности мы также оперируем понятиями приватность и защита данных, которые заставляют сохранять секреты пациентов не только клятвой, но и законами. Впервые эти понятия появились после Второй мировой войны, когда постепенно стали появляться информационные и коммуникационные технологии. Право на приватность закреплено в «Европейской конвенции о защите прав человека и основных свобод» и «Хартии Европейского союза по правам человека», а защиту данных впервые упомянули в 1981 году в «Конвенции 108 о защите частных лиц в отношении автоматизированной обработки данных личного характера».

Из-за появления компьютерных программ для обработки данных в больницах потребовались дополнительные меры для контроля конфиденциальности, безопасности и этического использования личной информации в медицинских документах. В Европе приняли «Рекомендацию №R(81)1 о регулировании автоматизированных банков медицинских данных», которую адаптировали в 1997 году как «Рекомендацию №R(97)5». В этих документах объясняются принципы вроде контроля доступа к медицинским данным, например, только для уполномоченного персонала и лишь к необходимой части данных. За нарушение рекомендаций юридической ответственности нет, а вот «Конвенция 108» мы обязаны соблюдать юридически, причем на международном уровне. Так как этот закон соблюдался иначе в каждой стране Европейского союза, в 1995 году Европейский совет решил ввести особую «Директиву 95/46/EC о защите частных лиц в отношении обработки личных данных и свободного перемещения этих данных». С 25 мая 2018 года эту директиву заменил «Закон об общей защите данных» (General Data Protection Regulation, или GDPR). Он привержен принципам их старых документов, но больше соответствует современным реалиям.

GDPR заботится о конфиденциальной информации не только медицинских, но вообще любых личных данных. Подписывая согласие на обработку данных в приложениях типа ВК, вы соглашаетесь на то, что создатели приложения смогут использовать ваши контакты, историю просмотров и прочие данные для определенных целей, например, продажи их третьим лицам для таргетированной рекламы. Наверняка никто из вас не читает интернет-соглашения, а ведь в них много любопытных моментов, к примеру, почти все разглашают данные о вашем положении и просят право передавать вашу информацию третьим лицам. Технически, вас могли заставить подписать отказ от квартиры и согласие на трансплантацию ваших органов, а вы бы и не заметили. Именно поэтому GDPR такие контракты требует писать простым языком, что, впрочем, не отменяет того, что их никто не будет читать.

GDPR закрепляет за всеми право на защиту личных данных, то есть использовать их можно лишь с конкретной целью и на основании согласия или юридических прав. Данные о здоровье относятся к так называемым «деликатным» данным, поэтому к ним относятся особенно серьезно. Они включают все персональные данные, дающие информацию о вашем здоровье. Это причина почему встреченная в коридоре больницы знакомая-акушерка не имеет права рассказать о ваших беременности и сифилисе соседям.

Обработка персональных данных – это достаточно широкое понятие, включающее любую манипуляцию с данными, которые могут идентифицировать человека. Персональными данными могут быть диагноз, адрес, дата рождения, информация о страховке и прочее. Пациента в этом случае называют субъектом данных, а человека обрабатывающего данные контролером (контролирующий) или процессором (обрабатывающий). Контролер – это третье лицо, решающее какие данные собрать, как именно и для каких целей, например, это может быть врач или больница. Если данные собираются ими, то целью будет предоставление медицинской помощи. Методом обработки является разговор с пациентом или заполнение анкеты. Процессор никогда не определяет методы и цели обработки данных, но обрабатывает данные, собранные контролером, то есть это может быть сервер, на котором хранятся истории болезней. Обработка процессором регулируется контрактом.

Меры по защите информации пациентов включают, например, псевдонимизацию (замена наиболее явных полей в медицинских записях) и шифровку (таким образом, чтобы только авторизованные лица имели к ним доступ). Согласиедается добровольное и информированное, как письменное или вербальное утверждение. Более того, в любой момент субъект может передумать и отказаться от согласия.

Вот как эти правила работают на примере.

Вы обращаетесь за помощью к врачу общей практики (ВОП). Обращение за помощью служит негласным согласием на обработку личных данных, однако то же самое можно сделать очевидным согласием при подписании документам. ВОП как контролер личных данных имеет право при необходимости делиться информацией о вашем здоровье со специалистом, так как оба этих врача обязаны соблюдать врачебную тайну и оказать вам помощь. Но если ВОП хранит ваши данные на облаке в интернете, то ВОПу и сотрудникам этого облака необходимо заключить контракт, ведь компания теперь является процессором. Любая другая компания для обработки ваших данных о здоровье обязана взять у вас очевидное согласие подписанием контракта.

В случае, если ваши данные нужно передать другой стране, Европейская комиссия решает, сможет ли эта страна обеспечить похожую безопасность данных. Если подобные меры обеспечить нельзя, то передать данные стране можно лишь с согласия субъекта данных. Однако зачастую в современном мире данные хранятся в разных точках мира из-за международных приложений и баз. Для людей, находящихся в пределах Европейского союза, принципы и правила GDPRв этом случае работают, даже если контролер и процессор находятся за пределами Европейского союза.

Разумеется, оба способа хранения данных пациента в бумажном и электронном виде подвержены риску разглашения личных данных. Например, никто не запретит оставшемуся в кабинете пациенту подглядеть в чужую карточку, если она открыта на компьютере, а врача вызвали оказать неотложную помощь. В случае пожара история болезни не спросит разрешения, чтоб сгореть, а при неисправности электронных приборов – удалиться. Каждый работник должен обеспечить максимальную безопасность и предотвратить утечку данных на рабочем месте.

Если ваши данные по какой-то причине разглашаются третьим лицам, это называется утечкой. Например, вы потеряли флешку с историей болезней в файлах или произошла кибер-атака на компьютеры в больнице. Более того, попадание данных в руки даже работников в больнице, которым не положено ее получать, например, если секретарь или уборщица открыли историю болезни, также считается утечкой данных. В случае утечки данных контролер обязан уведомить уполномоченные органы об этом в течение 72 часов после, того как узнал об утечке. Обычно медицинские данные в Нидерландах хранятся около 15 лет, при просьбе пациента могут быть удалены либо при необходимости хранятся дольше срока.

Личные данные, использующиеся в научных целях, – это другой процесс нежели обычный прием у врача. Данные, полученные с целью лечения, нельзя использовать в других целях, включая клинические исследования. Согласие для участие исследования также берется как информированное, то есть человеку объясняют подробно процесс, цели и что ожидается от участника, и добровольное то есть без согласия человека использоваться личные данные для исследования обычно не разрешено.

Так же как в клинической практике данные иногда посылают третьи лицам, в том числе за границу. Личные данные в этом случае обычно анонимизируют и шифруют, чтобы третьи лица не могли идентифицировать конкретного участника исследования. В итоге при использовании анонимных данных принципы GDPR можно игнорировать. Так работают с базами «больших данных», однако есть подводный камень – в некоторых случаях при сопоставлении анонимной базы данных с данными другой базы с известными данными иногда можно восстановить личность участников. Например, в 2015 году опубликовали статью, где авторы смогли определить личность 43% людей из анонимной базы данных с помощью местных газет.

В российских исследованиях, опять же как и в клинической практике, к персональным данным относятся менее строго, и тонна личной информации намеренно или ненамеренно разглашается. Из личных наблюдений могу привести несколько частых грубых нарушений принципов работы с личными данными. Врачи очень часто берут истории болезни на дом, несмотря на запрет выноса документов за пределы больницы. Исследователи работают с базой неанонимных данных не только на рабочем компьютере, но также на личных устройствах и распространяют ее на флешках. Во всех этих случаях вы нарушаете право на защиту данных пациента и, соответственно, подлежите юридической ответственности.

Современные люди почти все обзавелись гаджетами, вроде умных браслетов для контроля пульса и сна. Однако, мало кто задумывается о том, как их софт использует данные о здоровье. Все медицинские измерительные приборы проходят особые проверки для достоверности результатов, но индивидуальные устройства вроде фитнес-трекеров к этому не обязываются. Информация, показанная пользователю, не всегда верна и, хотя она подойдет для регулярной пробежки в парке, для медицинских решений использоваться не должна. Более того, сообщая данные о своем здоровье лицам, не являющимся медицинскими работниками, вы не можете рассчитывать на сохранение врачебной тайны. Соглашаясь на контракты, которые не читаете, вы рискуете оказаться мишенью целевой рекламы, которая продает ненужные вам услуги либо стать жертвой мошенников.

Конечно, никто не призовет вас отказаться от полезных приложений и интернет-сервисов, но вы должны четко осознавать, что в большинстве ситуаций будут нарушены принципы обработки данных. Вы не знаете, кто именно имеет доступ к разрешенной информации и где она хранится, а правильность данных никто не проверяет. Если удалиться от медицины, то глобальные решения, вроде выхода Британии из Европейского союза и выборы Трампа президентом, были обусловлены во многом именно таргетированной кампанией, основанной на личных данных избирателей из соцсетей. Вам может казаться, что никому не интересно наличие у вас кошки, пока реклама на сайте не сменится вдруг на товары для котят и вы не сможете вспомнить, почему ваш питомец ест только Феликс.