Дамумед монопольная частная компания в сфере здравоохранения РК.
ХАКЕРЫ ВЗЛОМАЛИ БАЗУ МИНЗДРАВА.
Они получили доступ к ИС "РПН " и "Damumed" Минздрава РК, пресс-служба КНБ РК. Их обязали выплатить штраф в размере 300 МРП.
Сколько лет этим они занимались? И это только толика выявленных кибермошенников, а как их много их на самом деле? Более того какое количество граждан с утечкой персональных данных оказались в зоне риске и когда они всплывут?
И после этого Альназарова вынуждают нас оцифровываться с биометриями, кодами, е-говами и прочими инициативами?
Теперь хотят больничные, санаторно-курортные карты, справки и иные доки перевести в цифровой формат. Просчитывались ли все риски, в том числе гарантия минздрава сохранности персональных медицинских данных и защита от утечки?
Какая ответственность лежит на МЗ за подобные дефекты?
А никакая, потому что:
«МЗ РК не предоставляется возможность проводить технический аудит в МИСах по проверке соответствия, ввиду отсутствия функции и полномочий. Собственником и оператором данных МИС является медорганизации.
Касательно доступа к ЭПЗ в МИС «Damumed» сообщаем, что «Damumed» принадлежит ТОО «ЦИТ ДАМУ». Министерство не является заказчиком продукта и не сопровождает его. В связи с этим по функциональности приложения просим обратится в ДАМУ».
И что делать с этим обстоятельством?
Цитата А. Альназаровой:
«За последние 5 лет на цифровизацию направлено свыше 15 млрд тенге. Эффект практически нулевой. Ни одна система не работает в полной мере».
Прошёл почти год с того дня, как она озвучила диагноз, где результат? Ведь если опираться на медицинскую терминологию, после него следует собрать анамнез с дополнительными обследованиями, подобрать лечение, поставить на учет (динамическое наблюдение), провести ВКК, словом определить маршрут/ логистику дальнейших решений. Следовательно, на эти процедуры заложить потребность в ЛС и ИМН и прочие расходы?! И где они?
Выходит, что у этой сферы хроническое заболевание, запущенно длящееся, что предполагает наличие периодических обострений, в свою очередь, требующих дополнительного бюджетирования.
И в этой связи, цифровую инфогигиену в первую очередь, не исполняет сам минздрав, которого следует привлечь к ответственности. После подобных фактов извращением выглядят инициативы МЗ в части принудительных методов внедрения биометрии, ибо случай со взломом Дамумед и РПН вышел в СМИ на финальном этапе, когда уже прошёл суд, то есть этой информацией минздрав владел достаточно давно?! И при этом наращивал цифровое бремя, не оповестив медработников, так и пациентов об этих угрозах/рисках?!
О. Абишев. В свете новостей о незаконном доступе к ИС Минздрава напрашивается вопрос: почему биометрия внедряется для пациентов, а не для медперсонала? Логично же: контроль доступа к персональным медицинским данным должен начинаться с тех, кто с ними работает. Биометрическая аутентификация врачей и сотрудников больниц помогла бы знать, кто, когда и зачем просматривал данные. А вместо этого мы видим инициативу, создающую риски для граждан, но не повышающую безопасность системы в целом.
С января 2025 года электронная карта появится у лиц, застрахованных в Германии по ОМС. Переход на цифровой формат - дело добровольное, пациент имеет право отказаться от её создания.
Эта страна шла к этому 20 лет, они не торопятся, просчитывая все риски. Тем обстоятельством, что эта опция добровольная, Германия подчеркивает, что не возьмет ответственность на себя возможные дефекты, а у нас – принудиловка? Оперативно внесут дополнения в подзаконку с одновременной коррекцией в Кодекс. И аля цифровизация в действии, а что там будет дальше это уже неинтересно.
Главное вовремя отчитаться о очередном прорывном псевдо мегапроекте и сопутствующими мажорными статейками в инете. Тем более, в наших условиях, когда министры меняются быстро, хаотично и без последствий.
Поэтому когда получится обвал, то и виновных не найдете, ибо они уже ушли в другую ипостась, и их это уже не касается. 15 лярдов на цифру исчезли, кого либо наказали? Нет конечно, как с гуся. Доставшиеся же проблемы по наследству другим сановникам тоже не будут обременением, они ведь временщики.
В ЭПЗ Дамумед внесены следующие сведения:
Удостоверение личности
ФИО
ИИН
Дата рождения
Гражданство
Адрес
Сведения о семье, состав и чем они занимаются
Место работы - должность
Образование - Период обучения. Курс/Класс
Семейное положение и пр., то есть практически вся информация и даже банковские карты.
Запросы по проведению процедуры отказа сбора/ блокирования персональных медицинских данных в «Damumed» с момента открытия ЭПЗ до неопределенного времени по настоящее время не реализованы?!
Согласие на сбор и обработку персональных данных. Вы действительно хотите отозвать согласие на сбор и обработку данных?
На подписании. Дата создания: 16.02.2025 07:56
«Уважаемый пользователь! Damumed благодарит Вас за пользование нашим приложением и уведомляет Вас об изменении политики безопасности для целей усиления защищенности Ваших персональных медицинских данных и членов семьи. Для доступа к ним необходимо подтверждение согласия путем подписания Вашей ЭЦП».
Заявление на отзыв ушло, однако профиль с персональными и медицинскими данными в приложении остался?!
Тогда в чём заключается процедура отзыва в приложении, если сбор и обработка медицинских данных продолжается сотрудниками медорганизаций?
Между тем из ответа МЗРК за № ЖТ-2023-00577208 от 06 апреля 2023 года следует:
«Касательно отзыва от сбора, обработки и хранения персональных данных. Согласно пункту 4 статьи 60 Кодекса о здоровье передача персональных медицинских данных в Национальный электронный паспорт здоровья и электронные информационные ресурсы уполномоченного органа осуществляется без согласия физического лица, только для целей оказания медицинской помощи и в случаях, указанных в:
1) пункте 1 статьи 137 Кодекса о здоровье (оказание медицинской помощи без согласия пациента);
2) Законе РК «О персональных данных и их защите». Ст. 8. Порядок дачи (отзыва) согласия субъекта на сбор, обработку персональных данных
Пациенту согласно Кодексу о здоровье предоставляется право выбора передачи персональных данных. В случае отказа от сбора, обработки и хранения персональных данных передача таких данных в Национальный электронный паспорт здоровья не будет осуществляться.
Таким образом, Вы можете подать отзыв согласия на сбор, обработку персональных данных в соответствии с пунктом 1 статьи 8 Закона РК «О персональных данных и их защите» посредством государственного сервиса, негосударственного сервиса либо иным способом, позволяющим подтвердить получение согласия, в медицинской организации, в которой подали согласие.
Однако возникают вопросы:
Персональные данные, в том числе медицинские аккумулируются в частной компании Дамумед, которые остаются в их распоряжении, но не будут передаваться в НЭПЗ и иные ресурсы минздрава?!
Совершенно непонятна логистика действий в Дамумед при отзыве, выходит, что медработники не могут зайти в ЦМК пациента, тогда каковы их действия при выполнении своих должностных обязанностей, когда требуется ознакомление с ЦМК?
И в целом, какова цель просмотра ЦМК, какие последствия ожидают при ограничении со стороны пользователя для медорганизации? Есть ли необходимость входа в ЦМК для соисполнителей?
Из комментариев из открытых НПА по оцифровке справок, без купюр.
«Нет обязанности скачивать частные мобильные приложения при отсутствии государственной МИС. Принуждать пользоваться частными мобильными приложениями является нарушением законодательства РК. Услугополучатель не обязан иметь мобильный телефон на момент обращения в медицинское учреждение, не обязан загружать егов мобайл».
https://www.facebook.com/groups/187306151915658/posts/1599763927336533/
Из ответа Еламанова следует:
«В приложении Damumed реализован функционал об уведомлении гражданина о о фактах доступа к его ПМД через ЦМК, несанкционированном входе с отметкой времени и причиной входа, оно поступает в личный кабинет гражданина в приложении. Пациенту доступен раздел, содержащий информацию о перечне медицинских организаций, являющихся собственниками баз, где содержатся ПМД пациента, а также раздел отображающий журнал доступов к ПМД пациента через ЦМК. При вызове функции просмотра ПМД через ЦМК пользователь обязан подписать своей ЭЦП документ, подтверждение того, что у пациента получено согласие... Также документ содержит подтверждение, что пользователь согласен с тем, что пациент получит уведомление о просмотре его ПМД».
Однако попытка воспользоваться этим сервисом результатов не дала, несмотря на выставление фильтров. Заявленный функционал о получении уведомлении просмотра и согласия ЦМК пользователей не работает, что было установлено в присутствии представителя Дамумед 20.02. 2025 года.
Продолжение: В рамках тестирования было выявлено следующее:
Уведомление о просмотре ПМД поступает через приложение, то есть требуется его использование, однако при отсутствии записи на приём, оповещение не приходит, в том числе при входе сторонних медорганизаций и иных органов, в том числе ФСМС, КМФК, КСЭК. Таким образом, ТОО Дамумед позволяет и допускает несанкционированный доступ к ЦМК вне ведома пациента.
«Доступен раздел, содержащий информацию о перечне медицинских организаций, являющихся собственниками баз, где содержатся ПМД пациента». Следовательно, информация о ЦМК пациента через Дамумед уже вышла в публичное поле, что предполагает/ привело к рискам возможной утечки?
Технологические механизмы МИС:
- при оказании плановой медицинской помощи врач подписывает ЭЦП документ, подтверждающий, что врачом получено согласие пациента на сбор, обработку и доступ к его ПМД. Аналогичный механизм предусмотрен для сотрудников МО при проведении внутреннего аудита и работе экспертов ситуационных центров управлений здравоохранения и профильных ситуационных центров;
- при оказании экстренной медицинской помощи врач подписывает своей ЭЦП документ, подтверждающий, что доступ к ПМД осуществляется в рамках оказания экстренной помощи;
- при проведении контроля качества оказания медицинских услуг, мониторинга договорных обязательств сотрудники КМФК и Фонда ОСМС подписывают ЭЦП документ, подтверждающий, что доступ к ПМД пациента производится в целях проведения вышеуказанной экспертизы.
В Дамумед указаны несколько причин запроса к ЦМК:
1. Плановая медицинская помощь
2. Экстренная и неотложная медицинская помощь.
Прочие:
3. Контроль качества
- При проведении государственного контроля качества оказания медицинских услуг
- При проведении мониторинга договорных обязательств по качеству и объему медицинских услуг
4. При угрозе распространения заболеваний, представляющих опасность для окружающих
5. По запросу органов дознания и следствия.
Относительно 3-5 пунктов согласие пациента на доступ к ЦМК не требуется, то есть оно закреплено только в рамках плановой помощи? В этом случае уведомление/СМС не поступает?
Касательно третьей позиции:
Этот функционал предназначен только для сотрудников фонда и КМФК? Если да, то должен ли открываться для сотрудников МО, которые, выяснилось, выбирают, в том числе данную причину при указании цели просмотра?
Далее: глава ТОО ЦИТ Еламанов ответил, что согласие пациента на просмотр КМФК и ФСМС не требуется согласно Кодексу о здоровье. Однако эта информация не соответствует действительности.
Статья 61. Кодекса о здоровье. Ответственность субъектов цифрового здравоохранения
1. Правом доступа к персональным медицинским данным физического лица с его ‼️согласия обладают:
1) поставщики медицинских и фармацевтических услуг;
2) организация, ответственная за финансовое возмещение затрат на оказание медицинской помощи, в целях осуществления возмещения затрат на оказание медицинской помощи. ФСМС
3) уполномоченный орган, местные органы УЗ, подразделения уполномоченного органа в области социальной защиты населения, государственные органы, осуществляющие контроль в сфере оказания медуслуг, санитарно-эпидемиологического благополучия , обращения лекарственных средств и медицинских изделий.
Ответы МЗ по цифровизации от Гиният.
Ваш вопрос: Как быть со структурными подразделениями, ведь они пользуются этим продуктом при оценке деятельности МО? Более того, выносят штрафные и иные санкции.
Далее, приложение Дамумед позволяет сохранять пароль в браузере.
В этом случае, используется автозаполнение для ввода. Аналогично может поступить и злоумышленник в отсутствие пользователя. Достаточно в выпадающем списке выбрать пароль от сайта, а далее в HTML-коде страницы убрать параметр type=password. Так он скопирует пароль и закроет страницу, пользователь не узнает об этом.
Кроме того, сохраненные пароли хранится в облаке. И если злоумышленник взломает браузерный аккаунт, ему достаточно будет залогиниться на другом компьютере с той же учетной записью. После этого он сможет украсть все данные, пароли от которых вы сохраняли. Все браузеры записывают пароли в папке, путь до которой известен. Рядом хранится и ключ шифрования, доступ к которому может получить кто угодно, используя его пароли можно расшифровать и украсть.
Пароли, сохраненные в браузере, могут быть скопированы человеком, который получил доступ к компьютеру, смартфону. Этой лазейкой пользуется класс вредоносного ПО, который называется стилерами и специализируется на поиске и краже учетных данных. Эти пароли собирают в базу и оптом продают в даркнете, а другие киберпреступники используют их для мошеннических целей.
Следовательно, это приложение нельзя использовать до устранения этого дефекта, учитывая массовое не соблюдение медиками инфодисциплины, ибо предполагается рецидив дефектов на уровне утечки информации, в том числе по причине несовершенства МИС, дефицита времени (обилие различных ИС), в которые следует вбивать те или иные данные и эти проблемы будут усугубляться с учетом введение биометрии.
В соответствии с вышеуказанными обстоятельствами, на каком основании продукт этой компании получил одобрение в участии в пилоте по опробации биометрии, учитывая информационную уязвимость, свидетельством которого был взлом хакерами, установленный КНБ РК?
Выдержки пользовательского соглашения для пациентов, на которые стоит обратить внимание:
Например, по соглашению пользователь несет ответственность за несанкционированный доступ к данным относящимся к защищаемой законом врачебной тайне?!
Между тем, соглашение представляет собой выписки из УК, ГК, Закона «О персональных данных и их защите», Закона «Об информатизации».
Пользователь, не имеющий юридических знаний, может попросту не понять их суть.
Есть еще довольно странные требования и условия использования этой МИС:
Приложение Damumed предоставляется для использования пользователям на условиях соглашения и в состоянии «как есть».
DAMUMED не гарантирует доступность приложения в любой момент.
DAMUMED не гарантирует, что программное обеспечение приложения полностью свободно от дефектов и ошибок, и должно функционировать бесперебойно и в обязательном порядке, не гарантирует соответствие приложения требованиям пользователей или возможность настройки разделов в соответствии с предпочтениями пользователя.
DAMUMED не несет ответственности за вред, причиненный пользователю в результате использования приложения.
В случае нарушения правил использования DAMUMED вправе расторгнуть соглашение в одностороннем порядке и прекратить доступ пользователя к приложению, в любой момент отказать пользователю в использовании приложения.
DAMUMED осуществляет сбор информации об устройствах, которые использует пользователь, как сведения об операционной системе, идентификатор и настройки устройства. В эту категорию также может входить информация о местонахождении, которую можно получить на основании данных, как IP-адрес, информация о точном местонахождении устройства пользователя.
Пользователь не вправе требовать внесения изменений в приложение.
Использование Damumed и любых его компонентов, в том числе использование любых сервисов возможно только при безоговорочном принятии условий оферты . При несогласии с условиями оферты Пользователь не имеет возможности использовать Damumed.
То есть ТОО «ЦИТ Дамумед» имеет право на запрет использования своего продукта при вышеуказанных обстоятельствах, тогда какие меры должен предпринять пациент для получения доступа к своим медицинским данным и как он может их оценить получение услуг при ограничении права на доступ к информации?
Выходит, что медработники, использующие эту МИС, могут вносить те или иные данные, в том числе приписки, а пользователи будут вне этих действий?
«Ранее глава ФСМС Скаков заявлял, что контролировать приписки в сфере медицинских услуг должны сами казахстанцы. Решение проблемы с приписками затрудняется, когда пациент не информирован о предоставленных услугах».
А как их отслеживать при отсутствии в Дамумед консультативных заключений и в целом журнала действий?
Более того, в условиях, когда Дамумед может в одностороннем порядке разорвать договор с пациентами и ограничить доступ к своему продукту?
В этом случае, пациент имеет право отказаться от использования этой частной МИС на уровне аналогичного требования, которого не устраивают выставленные условия?
Ведь в Законе РК «О защите прав потребителей» закреплено: потребители имеют право на свободное заключение договоров и оказание услуг, принуждение потребителя на заключение договоров не допускается.
Кроме того согласно ст. 380 Гражданского Кодекса. Свобода договора.
Граждане и юридические лица свободны в заключении договора. Понуждение к заключению договора не допускается, за исключением случаев, когда обязанность заключать договор предусмотрена Кодексом, законодательными актами или добровольно принятым обязательством. Условия договора определяются по усмотрению сторон, кроме случаев, когда содержание соответствующего условия предписано законодательством.
Более того, по настоящее время в Дамумед отсутствует доступ пациентов к консультативным заключениям медработников.
Сведения учетной записи пациента: логин, пароль, ИИН, ФИО, дата рождения, пол, фотография, адрес, телефоны, адреса электронной почты, сведения о составе семьи. Пользователь (пациент) дает свое согласие на сбор, обработку, хранение, извлечение, использование, предоставление, передачу, обезличивание, блокирование, удаление и уничтожение учетных данных.
Пользователь (пациент) дает согласие DAMUMED обращаться к собственнику базы содержащей персональные медицинские данные, хранящимся в ИР Субъекта (ов) здравоохранения в соответствии с законодательством РК.
Согласие:
Я, предоставляю согласие на сбор и обработку моих персональных данных ТОО «DAMUMED» и на обращение к собственникам баз содержащих персональные данные,
Перечень персональных данных, на сбор и обработку которых дается мое согласие: - ИИН, ФИО, дата рождения, пол, национальность, гражданство, адресы, телефоны - Информация о статусе страхования, образовании, социальном статусе, местах работы, родственниках и семейном положении, документах удостоверяющих личность, прикреплении. Сбор и обработка персональных данных осуществляется в случае наличия данных, технических возможностей и наличия соглашения DAMUMED с собственником базы содержащей ПМД. Согласие может быть отозвано по заявлению подписанному посредством использования ЭЦП и направленному с помощью функции Приложения Damumed.
Персональные медицинские данные – данные, содержащие сведения о здоровье физического лица и оказанных ему медицинских услугах, зафиксированные на электронных, бумажных или иных носителях
Закон о персональных данных.
Персональные данные – сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином носителе.
26.02.2025 г. в 17 ч. СМС г. Алматы провел слушание по иску Закировой С. к КГП «поликлиника №30», КГУ «УОЗ г.Алматы», ТОО «ЦИТ «ДАМУ».
Закирова С.: «Согласно ст. 18 ч. 3 Конституции РК, ГО, ОО, должностные лица обязаны обеспечить каждому гражданину возможность ознакомиться с затрагивающими его права и интересы документами, решениями и источниками информации».
Считает, действия ответчика КГП «ГП № 30» г. Алматы, по отказу в предоставлении полного доступа к персональным медицинским данным, содержащимся в базе данных МИС Damumed, незаконным.
Из-за меняющихся диагнозов не может получить правильное лечение. Теперь врачи всю информацию о здоровье пишут в цифровой медицинской карте в базе данных МИС Damumed, куда она не имеет доступа.
Считает, что ответчики ДАМУ и Поликлиника навязали людям не качественный продукт, ограничивающий права пациентов на лечение, на доступ к персональным медицинским данным.
Считает, приложение Damumed для пациентов разработано с ограниченным функционалом, внедрили в сферу здравоохранения некачественное программное обеспечение. Ограничение доступа пациентов к своим персональным медицинским данным имеет под собой коррупционную составляющую. Предполагает, что это имеет отношение ко всем хищениям в сфере здравоохранения.
Считает: по вине Damumed «МИС», которую разработало ТОО «ЦИТ «ДАМУ», не получила своевременного лечения, ей предоставили недостоверную информацию, где меняются диагнозы, результаты анализов. Предполагает, что медицинские работники занимаются корректировкой, изменением и удалением медицинских записей с персональной цифровой медицинской карты. В связи с этим хочет получить доступ к журналу событий. Поликлиника отказывается предоставить такую информацию, что является нарушением прав истца, закрепленных в ст. 18 Конституции РК.
Руководствуясь ст.ст. 131, 132, 133, 134, 135 АППК РК, попросила суд:
1.Признать ответ ответчика незаконным.
2.Признать действия ответчика по отказу в предоставлении доступа к цифровой медицинской карте, журналу событий, содержащихся в базе данных программы Damumed «МИС», незаконным.
3.Признать ответ ответчика на жалобу незаконным.
4.Признать программу Damumed «МИС» ущемляющей право на получение полноценного и своевременного лечения.
5.Признать приложение Damumed, предназначенный для пациентов,
некачественным.
6.Обязать ТОО «ДАМУ» предоставить полный доступ ко всем своим персональным медицинским данным.
7.Обязать ТОО ДАМУ» предоставить полный доступ к журналу событий, имеющийся в цифровой медицинской карте.
8.Обязать ТОО устранить все недоработки в программе.
Представитель ответчика ТОО «ДАМУ» заявил, что не является ответчиком в данном деле и попросил «подать отдельно иск в отношении ТОО и будем разбираться».
Статья 61. Ответственность субъектов цифрового здравоохранения
5. Физическое лицо имеет право доступа к информации о своем здоровье и оказанной медицинской помощи в Национальном электронном паспорте здоровья, электронном паспорте здоровья, а также отслеживания журнала доступа к данным.
Статья 58. Основные понятия, используемые в настоящей главе
Национальный электронный паспорт здоровья – электронный информационный ресурс уполномоченного органа, содержащий электронные паспорта здоровья, доступный как физическому лицу, так и работникам здравоохранения в соответствии с правилами, утвержденными уполномоченным органом;
Справочно: Закон о персональных данных.
Статья 8. Порядок дачи (отзыва) согласия субъекта на сбор, обработку персональных данных
Субъект или его законный представитель дает (отзывает) согласие на сбор, обработку персональных данных письменно, посредством государственного сервиса, негосударственного сервиса либо иным способом, позволяющим подтвердить получение согласия.
Посредством негосударственного сервиса обеспечиваются:
1) предоставление субъектом или его законным представителем согласия (отказа) на сбор и (или) обработку персональных данных;
2) уведомление субъекта о действиях с его персональными данными (просмотр, изменение, дополнение, передача, блокирование, уничтожение);
3) уведомление субъекта о доступе третьих лиц к его персональным данным.