179
0
0
Скопировать ссылку
Telegram
WhatsApp
Vkontakte
Одноклассники
Назад

Защита личных данных пациентов. Как работать с конфиденциальными медданными

Время чтения 1 минута
Нет времени читать?
Скопировать ссылку
Telegram
WhatsApp
Vkontakte
Одноклассники
179
0
0
Нет времени читать?
Скопировать ссылку
Telegram
WhatsApp
Vkontakte
Одноклассники

Меня зовут Александр Горловой, я исполняющий обязанности директора по продукту компании MedPoint24. Основной профиль компании — проведение дистанционных медицинских осмотров сотрудников: например, водителей, шахтеров, пилотов. Осмотры проходят на местах работы: в офисах, больницах, социальных и бизнес-центрах. Наш продукт состоит из оборудования собственного производства и платформы, где собираются данные и принимаются решения.

Каждый раз, когда человек выходит на работу в смену, он проходит несколько этапов осмотра. Первый этап — сбор анамнеза, то есть самочувствие и наличие жалоб. Второй этап — тонометрия, измерение артериального давления и частоты сердечных сокращений. Третий этап, который стал обязательным из-за COVID-19, — термометрия, то есть измерение температуры. Заключительный этап — проверка на количество паров этанола, или алкотестирование.

Защита личных данных пациентов. Как работать с конфиденциальными медданными

Для работы с персоналом заказчик может делать отчеты по обязательным данным из электронного документа под названием «Медицинский журнал», а также по дополнительным — например, собирать профиль здоровья компании. Медицинский работник использует онлайн-кабинет, чтобы вынести решение по состоянию сотрудника. В этом помогает, например, цветовая разметка отклонений в параметрах и предиктивный анализ процедуры на основании истории осмотров.

Система MedPoint24 помогает медику принять решение, можно ли допустить человека к работе. Большая часть информации, которую собирает наше ПО, конфиденциальная, поэтому мы не можем просто записать и хранить ее, как любую другую. В статье я расскажу о специфике работы с персональными и медицинскими данными, а также об особенностях их обработки, защиты и хранения.

Собираем данные с помощью оборудования для осмотра

Для анализа данных их нужно предварительно собрать. При онлайн-осмотре сотрудники компании-заказчика используют медицинский комплекс, в котором есть тонометр, пирометр, алкотестер, датчики окружающей среды, управляющее устройство и набор защитных мер. Полученные данные в зашифрованном виде и обезличенно попадают на платформу и анализируются. Доступ к расшифрованным данным есть только у медицинского работника.

Например, водитель автобуса приходит на работу. Он должен пройти медицинское обследование для того, чтобы получить допуск в рейс. Тогда работодатель будет уверен, что человек может перевозить людей безопасно, то есть с ним ничего не произойдет. Или, если осмотр покажет какие-то отклонения от стандартных показателей, руководитель примет меры для улучшения показателей сотрудника. Например, даст ему дополнительные часы отдыха.

Водитель с утра приходит в медицинский кабинет автобусного парка, где установлено наше оборудование. Он спокойно готовится к осмотру, может предварительно отдохнуть в течение пяти минут. Затем садится за программно-аппаратный комплекс.

Программно-аппаратный комплекс

Водителю нужно авторизоваться в системе, чтобы начать осмотр. Для этого предусмотрено несколько вариантов: с помощью табельных номеров, карты контроля и управления доступом, по сотовому телефону и дополнительно по смарт-карте для водителей, использующих тахограф. 

После авторизации человек попадает в личный кабинет, где может выбрать тип осмотра:

  • базовый — до или после смены в зависимости от должности;
  • линейный, или внутрисменный, — для проверки состояния в течение дня;
  • профилактический — на случай, если человек чувствует себя плохо. 

Затем процедура осмотра завершается, водитель вводит код из СМС и подтверждает данные. В среднем осмотр занимает полторы минуты.

В каком виде к нам поступают данные?

После осмотра обезличенные данные передаются по зашифрованному каналу на нашу платформу для обработки. Шифрование также встроено в ПО комплекса и в дополнительный туннель на аппаратном уровне. Тем самым мы стремимся минимизировать возможность утечки персональных данных. 

Каждый осмотр получает уникальный идентификатор, который затем позволяет расшифровать пакет данных и привязать информацию к конкретному человеку. Затем расшифрованные данные попадают к врачу, который принимает финальное решение. Иногда это бывает сложно, поскольку есть визуально похожие люди, а медицинский персонал проводит чуть больше двух миллионов осмотров в месяц. Мы уменьшаем влияние человеческого фактора с помощью ассистента медицинского работника.

Ассистент медицинского работника

Ассистент — это часть ПО, которая помогает заметить важные отклонения в медицинских показателях, а также точно идентифицировать человека. Например, ассистент получает от аппаратного комплекса фотографию работника. Если человек изменился, отпустил бороду или побрился налысо, медицинский работник может архивировать фото и на следующем осмотре сделать новое.

Фотографии и видео с осмотра потоково передаются на наш сервер. Мы их обезличенно обрабатываем и выдаем решение по совпадению. При этом используется система «светофор»: зеленое — совпадение (98–100%), желтое — обрати внимание, что-то не так (85–98%), красное — не совпадает (ниже 85%). Если результаты осмотра находятся в желтой зоне, медицинский работник дополнительно проверяет данные, если в красной — проводит ручной контроль. 

Если врач визуально не может с уверенностью определить личность пациента, это можно сделать с точки зрения обработки потоковых данных. Сразу после обработки данные удаляются, на сервере мы их не храним. 

Подобная система цветовой маркировки работает и с медицинскими данными. Если у пациента высокое давление или другой показатель отклоняется от нормы, это подсвечивается визуально. То же самое касается проблем с документами и административных нарушений, хотя они вторичны относительно состояния здоровья.

После осмотра врач принимает решение о допуске или недопуске работника к рейсу. Для ряда ситуаций у врача есть возможность назначить временный недопуск, то есть работник может получить уведомление «Пройдите осмотр повторно». По закону мы даем водителю две дополнительные попытки, если есть отклонения от нормы по давлению либо ЧСС. Бывает, что человек сначала перенервничал, а при повторном осмотре его показатели уже пришли в норму.

Если водитель получил допуск к рейсу, он может распечатать этикетку, чтобы вклеить ее в путевой лист. Сейчас мы работаем над интеграцией с электронным путевым листом — тогда вся информация автоматически будет загружаться в ГИС ЭПД (государственную информационную систему электронных перевозочных документов) в реальном времени.

Медицинская карта

Со временем мы накапливаем довольно большой объем данных о здоровье конкретного человека и формируем медицинскую карту. Это помогает выявлять группы риска, например мужчин с гипертонией. Мы контролируем состояние здоровья пользователя за него, автоматически даем индивидуальные рекомендации в зависимости от медицинских показателей, советуем обратиться к определенному врачу. Это похоже на обычную медицинскую карту в системе ЕМИАС, которая есть у каждого пациента государственной поликлиники. Единственное отличие — мы не можем выписать настоящее направление к узкому специалисту, а только даем рекомендацию посетить его.

С точки зрения бизнеса такие данные в обезличенном виде помогают определить состояние работников компании в целом. Например, есть EBITDA — показатель доходности, на который влияет время работы человека на предприятии. Собирая данные превентивно, мы можем определить, имеют ли водители склонность к какому-либо заболеванию. Условно говоря, мы можем выявить группу риска по сердечно-сосудистым заболеваниям и рекомендовать провести беседу с входящими в нее людьми. Это позволяет работодателю заботиться о своих сотрудниках, вовремя направлять их на обследования и в итоге получать здоровых и трудоспособных специалистов.

Как защитить данные от взлома? 

Поскольку это персональные данные, которые обогащены медицинскими, доступ непосредственно к осмотрам могут получить только медработники и ответственные лица со стороны заказчика. 

Данные хранятся распределенно в базах для оперативной обработки на основе SQL, а информация о предыдущих осмотрах для последующего анализа — в базах MongoDB. 

Базы разнесены по типам данных и находятся в сертифицированных ЦОД. Они агрегируются в автоматизированное рабочее место (АРМ) согласно ролевой модели. Там тоже обширная система доступов: есть роль, для которой доступен определенный функционал и структуры. 

Вероятность искажения и попытки зайти в чужой профиль минимизирована. Проблему встроенного кода, когда в системе появляются ошибки или работник открывает доступ к ресурсам компании, можно предотвратить. Решение — устоявшаяся команда, которая имеет компетенции в сфере информационной безопасности.

Как мы пришли к текущему варианту защиты?

Чтобы сформировать подход к защите данных, мы использовали всю имеющуюся нормативную базу, законодательные акты, подключили к поиску решения службу информационной безопасности и стандартную службу безопасности, а также юристов по нашему направлению. 

Вместе собрали дорожную карту необходимых действий, но это удалось не с первого раза. Многие механизмы пришлось менять и дорабатывать — например, инфраструктуру и базовые подходы к данным. На разработку подхода к защите данных у нас ушло около года. Для этого мы проводили исследования, изучали и оценивали другие реализации похожих продуктов. Кроме того, мы разработали систему метрик, с помощью которой анализировали логи, производительность и временные бизнес-показатели. С ее помощью искали решение, которое удовлетворяет всем требованиям к продукту.

В итоге мы обеспечили программное шифрование данных при передаче, поскольку аппаратные средства можно обойти при физическом доступе. Наше оборудование стоит во всех регионах Российской Федерации, и мы не можем поставить к каждому комплексу человека для контроля утечки данных. Вместо этого мы защищаем информацию несколькими контурами безопасности на программном уровне. В конечной модели шесть уровней работы с данными и запасами данных. 

Нулевой уровень — очень ограниченный доступ, который открывается нескольким заранее определенным пользователям в случае аварийной ситуации. Система отслеживает различные метрики, которые предиктивно показывают, что, например, нагрузка растет и нужно принять меры. Настройку информирования мы проводили по синтетическим тестам и исходя из реального опыта поведения платформы в условиях эксплуатации. При этом поднимается еще один отдельный зашифрованный канал с полным логированием действий таким образом, чтобы у технических специалистов не было доступа к персональным и медицинским данным. 

Есть первый, второй и третий контур. Они входят в базовую услугу. Например, второй контур — справки или комментарии, потоковая обработка видео. Это важные компоненты, но, если они перестанут работать на пять минут, мы всё равно сможем оказывать услугу. Если аналитика пропадет на час для заказчика, он может обратиться в техподдержку. С точки зрения системы контуры безопасности распределяют задачи по приоритетности. 

Результаты работы. Как наши осмотры помогают людям

Есть два подтвержденных случая, когда мы нашли онкологию на ранней стадии по базовым параметрам. Например, у человека было верхнее давление 125–127, а нижнее 80–85, всегда были допуски к работе. В разрезе месяца увидели скачки ухудшения состояния.

Это аномалия, которую система подсвечивает для медицинских работников. Точечные аномалии позволяют врачам попросить пациента пройти дополнительное очное медицинское обследование, результаты которого в данном случае показали онкологию на ранней стадии.

Также у нас есть истории, когда люди бросали вредные привычки, сбрасывали вес, у них налаживалась семейная жизнь. Здорово, когда работодатели заботятся о своих сотрудниках. Это выгодно как для них самих, так и для их бизнеса. 

Комментарии0
Тоже интересно
Комментировать
Поделиться
Скопировать ссылку
Telegram
WhatsApp
Vkontakte
Одноклассники