Утечка медицинских данных: WhatsApp ставит под угрозу безопасность пациентов и репутацию клиник

В Казахстане эксперты провели анализ сайтов медицинских клиник с целью оценки их соответствия требованиям цифровой безопасности. Выяснилось, что цифровой хаос в этой сфере создают не только медицинские учреждения, но и сами пациенты. Выводы исследователей в области цифровой медицины Дархана Кырыкбаева и Олжаса Сатиева показывают, что ситуация требует внимания.

Персональные данные как новая валюта

В октябре 2023 года американская платформа генетических тестов 23andMe признала утечку генетических данных почти семи миллионов пользователей. Этот инцидент стал причиной судебных разбирательств и в марте 2025 года привел к банкротству компании. Данный случай иллюстрирует проблему цифровой безопасности в здравоохранении.

В эпоху, когда каждое действие оставляет цифровой след и персональные данные становятся новой валютой информационного общества, медицинская сфера оказалась в сложной ситуации. Хотя законодательство о защите данных становится более строгим, многие медицинские организации продолжают проявлять беспечность в отношении цифровой безопасности пациентов.

Однако настоящая проблема заключается в том, что пациенты сами часто не осознают рисков. Соглашаясь на обработку персональных данных, они не читают условия, что создает условия для цифрового хаоса в сфере здравоохранения.

Результаты исследования: анатомия цифровой небрежности

Для оценки масштабов проблемы было проведено исследование сайтов, выдающих запросы "Клиника Астана" и "Клиника Алматы". Эти клиники позиционируют себя как современные медицинские учреждения, однако результаты исследования оказались тревожными.

Выявленные проблемы включают:

• Ссылка на "Политику конфиденциальности" ведет на главную страницу, что свидетельствует о недоступности документа.
• Кнопка ссылается на законодательство Российской Федерации, что указывает на использование шаблона, не адаптированного под казахстанское законодательство.
• На сайтах отсутствует соглашение о персональных данных, хотя доступны онлайн-чат, форма записи на прием и возможность записи через WhatsApp. Вопросы о том, куда уходят данные и кто их обрабатывает, остаются без ответов.
• Согласие на обработку данных присутствует, но не переведено на государственный язык.

Почему медицинские данные критически важны

Медицинские данные не просто информация о предпочтениях, это сведения о здоровье, диагнозах и лечении. Разглашение таких данных может привести к дискриминации при трудоустройстве, отказу в страховании и социальной стигматизации.

Представьте, что информация о вашем деликатном заболевании становится доступной общественности или попадает в руки мошенников. На черном рынке медицинские данные имеют высокую стоимость — полная медицинская карта с финансовой информацией стоит около 50 долларов.

Долгосрочные последствия утечки медицинских данных могут быть разрушительными. Их используют для страхового мошенничества, шантажа и создания поддельных документов.

Мессенджеры как источник утечки данных

Использование мессенджеров для общения с пациентами представляет собой отдельную проблему. Практически все исследованные сайты клиник предлагали запись через WhatsApp.

Рассмотрим пример: пациентка записалась на прием к гинекологу через WhatsApp. В переписке она указала свою фамилию, возраст и симптомы. После приема ей отправили результаты УЗИ и рекомендации. Какие правовые последствия этого?

• Трансграничная передача данных. WhatsApp принадлежит Meta, и данные автоматически передаются в другую юрисдикцию.
• Клиника не может гарантировать безопасность данных, переданных через сторонний мессенджер, что может привести к их использованию для рекламы или аналитики.
• Возможное нарушение врачебной тайны. Если телефон пациентки взломают или данные станут доступны третьим лицам, это может привести к утечке конфиденциальной информации.

Сценарий, когда информация о деликатной проблеме попадает к злоумышленникам, также вполне реален.

Как пациенты способствуют мошенничеству

Пациенты сами создают условия для использования своих данных. Мы привыкли к быстрой записи на прием и часто не обращаем внимания на условия обработки данных.

Когда на сайте появляется уведомление о сборе данных, мы автоматически принимаем условия, не читая их. Это создает порочный круг: клиники не видят необходимости в качественном оформлении документов, потому что пациенты не читают их.

Игнорирование законодательства

Законодательство о персональных данных требует:

• Явного согласия субъекта для сбора и обработки данных;
• Операторы данных должны обеспечивать меры безопасности;
• Трансграничная передача данных должна иметь дополнительные гарантии.

На практике эти нормы часто игнорируются, что связано с незнанием или экономией на юристах.

Рекомендации для клиник

1. Проведите аудит сайта и каналов коммуникации, чтобы убедиться в корректности юридических документов и форм сбора данных.
2. Разработайте внутренние регламенты работы с персональными данными: кто имеет доступ, как данные хранятся и защищаются.
3. Откажитесь от личных мессенджеров для общения с пациентами и используйте защищенные медицинские платформы.
4. Проводите тренинги по цифровой безопасности для сотрудников.
5. Назначьте ответственного за соблюдение требований по защите персональных данных.
6. Инвестируйте в юридическую поддержку.

Рекомендации для пациентов

1. Читайте документы, прежде чем соглашаться на обработку данных. Если политика конфиденциальности отсутствует, это сигнал о возможных проблемах.
2. Используйте мессенджеры только для записи на прием, а медицинскую информацию обсуждайте лично.
3. Контролируйте свои данные: знайте, какая информация собирается, и требуйте её исправления или удаления.

Время перестать быть беспечными

Защита персональных данных в медицине — это не только вопрос технологий, но и вопрос культуры. Законодательство создало правовую основу, но законы действуют только при готовности общества их соблюдать.

Клиники должны осознавать свою ответственность за кибербезопасность и проводить регулярные аудиты. Цифровая гигиена важна так же, как и личная, и начинается с вопроса: "Хочу ли я, чтобы эта информация стала доступна неизвестным людям?"