Казахстанские эксперты проанализировали сайты медицинских клиник, чтобы проверить, насколько они отвечают требованиям цифровой безопасности. И пришли к выводу, что цифровой хаос в отрасли формируют не только клиники, но во многом и сами пациенты. TengriHealth публикует выводы, к которым пришли эксперт в области цифровой медицины Дархан Кырыкбаев и CEO Центра анализа и расследования кибератак Олжас Сатиев.
Изображение сгенерировано при помощи нейросети
Персональные данные — новая валюта
В октябре 2023 года американская платформа генетических тестов 23andMe признала утечку генетических данных почти семи миллионов пользователей. В результате скандала и судебных разбирательств в марте 2025 года компания подала заявление о банкротстве. Это один из ярчайших примеров, подтверждающих цифровой симптом современной медицины.
В эпоху, когда каждый клик оставляет цифровой след, а персональные данные стали новой валютой информационного общества, медицинская сфера оказалась в парадоксальной ситуации. Законодательство о защите персональных данных ужесточается, регуляторы призывают к ответственности, а на практике медицинские организации демонстрируют удивительную беспечность в вопросах цифровой безопасности пациентов.
Но самое поразительное не в этом.
Истинная проблема кроется глубже: мы сами, пациенты, с легкостью ставим галочку "согласен на обработку персональных данных", даже не задумываясь о содержании документа. Это молчаливое согласие создало питательную среду для цифрового хаоса в отрасли.
Анатомия цифровой небрежности: результаты исследования
Чтобы оценить масштаб проблемы, мы провели небольшое, но показательное исследование и проанализировали сайты, которые выдают запросы "Клиника Астана" и "Клиника Алматы". То есть это медицинские организации, которые вкладывают средства в SEO-продвижение и позиционируют себя как современные технологические центры здравоохранения. Результаты оказались обескураживающими.
Мы выявили следующие проблемы:
- Ссылка "Политика конфиденциальности" перекидывает пользователя на главную страницу, то есть документа попросту не существует.
- Кнопка перенаправляет на сайт со ссылками на законодательство Российской Федерации. Очевидно, что при разработке сайта использовали готовый шаблон, который даже формально не адаптировали под казахстанское законодательство.
- В рядке клиник соглашение о персональных данных отсутствует вовсе. Зато на сайте активно работает онлайн-чат, форма записи на прием, можно оформить приём через WhatsApp. Куда уходят данные? Кто их обрабатывает? Эти вопросы остаются без ответа.
- Согласие на обработку данных есть, но оно не переведено на государственный язык.
Почему критична именно медицина
Медицинские данные — это не просто информация о ваших предпочтениях в покупках, музыке или туризме. Это сведения о вашем здоровье, диагнозах, лечении и даже интимных подробностях вашей жизни.
Информация, разглашение которой может привести к дискриминации при трудоустройстве, отказу в страховании, социальной стигматизации.
Представьте: вы лечитесь или проходите обследование на предмет деликатного заболевания. Хотели бы вы, чтобы эта информация стала достоянием общественности? Или попала в руки маркетологов? Или, что еще хуже, злоумышленников? А это может произойти.
Между тем на черном рынке медицинские данные весьма востребованы. По данным исследований даркнета, полная медицинская карта с финансовой информацией стоит около 50 долларов.
И истинная ценность медицинских данных — в их долгосрочном использовании. Кредитку можно заблокировать за минуты, а вот диагноз, историю болезни или результаты анализов "отозвать" невозможно.
Эту информацию используют для страхового мошенничества, создания поддельных документов, шантажа — и последствия их утечки могут преследовать человека годами.
Мессенджеры как окно утечки данных
Отдельная глава цифровой беспечности — использование мессенджеров для коммуникации с пациентами. Практически все исследованные сайты клиник содержали кнопки "Записаться через WhatsApp". Казалось бы, удобно, но давайте на примере конкретных клиник разберемся, что происходит на самом деле.
Допустим, пациентка записалась на прием к гинекологу через WhatsApp. В переписке она указала свою фамилию, возраст, описала симптомы. После приема ей прислали результаты УЗИ и рекомендации. Что происходит на практике с точки зрения законодательства о персональных данных?
- Трансграничная передача данных, ведь WhatsApp принадлежит Meta, серверы которой находятся за рубежом. Значит, и медицинские данные автоматически передаются в другую юрисдикцию.
- Клиника не может гарантировать безопасность данных, переданных через сторонний мессенджер. Они могут быть использованы для таргетированной рекламы, аналитики, обучения искусственного интеллекта.
- Возможно нарушение врачебной тайны. Если телефон пациентки взломают, она его потеряет или данные увидит другой человек, медицинская информация станет доступна третьим лицам.
Или молодой человек записался на консультацию к урологу через Instagram Direct, подробно указав в переписке деликатную проблему. Через несколько дней его аккаунт был взломан, и переписка с клиникой стала доступна злоумышленникам, которые попытались его шантажировать. Это тоже вполне реальный сценарий.
Как пациенты сами помогают мошенникам
Мы сами создаем плацдарм для использования наших данных. Мы привыкли к молниеносной скорости цифровых сервисов. Нам неудобно звонить в регистратуру и ждать ответа. Мы хотим записаться к врачу в два клика, не вставая с дивана, желательно в том же мессенджере, где переписываемся с друзьями.
Когда на сайте появляется всплывающее окно "Мы используем cookie и собираем ваши данные", мы рефлекторно жмем "Принять", не читая текста. Когда при записи на прием нужно поставить галочку "Согласен на обработку персональных данных" — мы делаем это автоматически.
Образуется порочный круг: клиники не видят необходимости инвестировать в юридически корректное оформление документов, потому что пациенты их все равно не читают. Пациенты не читают, потому что привыкли к формальности этих соглашений. Регуляторы не имеют ресурсов проверять каждый сайт. Результат — цифровая анархия.
Как игнорируют законодательство
Законопроект о персональных данных четко определяет:
- для сбора и обработки данных требуется явное согласие субъекта;
- оператор данных обязан обеспечить меры безопасности;
- трансграничная передача данных ограничена и требует дополнительных гарантий.
На практике клиники эти нормы повсеместно игнорируют, в том числе из-за незнания, непонимания важности или банальной экономии на юристах и IT-специалистах. Многие руководители искренне убеждены, что галочки про согласие на обработку данных достаточно, и не понимают, что соглашение должно быть:
- доступным и читаемым;
- содержать конкретную информацию о целях обработки;
- указывать сроки хранения данных;
- описывать права субъекта данных;
- быть актуальным и соответствовать действующему законодательству.
Рекомендации для клиник: как не нарушать закон
- Проведите цифровой аудит сайта и цифровых каналов коммуникации с пациентами и убедитесь, что все ссылки на юридические документы работают, тексты соответствуют действующему законодательству, а формы сбора данных содержат корректные формулировки согласия.
- Разработайте четкие внутренние регламенты работы с персональными данными пациентов: кто имеет к ним доступ, как они хранятся и защищаются, какие каналы коммуникации разрешены, как долго хранятся данные после завершения лечения.
- Откажитесь от использования личных мессенджеров сотрудников для коммуникации с пациентами. Вместо этого внедрите защищенную CRM-систему, работайте через специализированные медицинские платформы и получите явное согласие пациента на использование конкретного канала связи.
- Проводите регулярные тренинги по цифровой безопасности. Администраторы, медсестры, врачи должны понимать важность защиты данных.
- Назначьте ответственного сотрудника, который будет отвечать за соблюдение требований по защите персональных данных.
- Инвестируйте в юридическую поддержку. Экономия на юристах в вопросах персональных данных может обернуться штрафами, которые в десятки раз превысят стоимость консультаций.
- Рекомендации для пациентов: как защитить свои данные
- Читайте документы, прежде чем соглашаться. Если же на сайте клиники нет политики конфиденциальности, используется законодательство иных стран или ссылка не работает – это red flag.
- Если клиника предлагает связаться через WhatsApp или Telegram, используйте эти каналы только для записи на прием. Всю медицинскую информацию, результаты анализов, диагнозы обсуждайте лично или через защищенные медицинские платформы.
- Вы имеете право контролировать свои личные данные: знать, какая информация собирается, требовать её исправления или удаления. Вы можете отозвать согласие на обработку, получить копию своих данных.
Время перестать быть беспечными
Проблема защиты персональных данных в медицинской сфере — вопрос не технологий или законодательства, а в первую очередь культуры. Законопроект о персональных данных создал правовую рамку, но законы работают только тогда, когда общество готово их соблюдать.
Клиники и лаборатории с большим количеством клиентов должны становиться объектами критически важной инфраструктуры, следить за своей кибербезопасностью и проводить ежегодные аудиты на предмет того, насколько легко проникнуть в систему.
Цифровая гигиена так же важна, как и личная. И начинается она с простого вопроса: "А действительно ли я хочу, чтобы эта информация обо мне стала доступна неизвестно кому?"
Мнение редакции не всегда совпадает с мнением авторов.
Об авторах: Олжас Сатиев – CEO Центра анализа и расследования кибератак TSARKA, спикер TedX, Forbes, OSCE. Организатор топ-10 мировой конференции по кибербезопасности KazHackStan. Один из инициаторов концепции "Киберщит Казахстан".
Дархан Кырыкбаев — эксперт в области цифрового здравоохранения. Развивает Digital Health в Казахстане. Трекер и ментор медицинских стартапов. Спикер отраслевых конференций. Автор аналитических публикаций о цифровой трансформации здравоохранения.