28 Нови
Абонирайте се за Капитал

Всеки петък икономически анализ и коментар на текущите събития от седмицата.
Съдържанието е организирано в три области, за които Капитал е полезен:

K1 Средата (политическа, макроикономическа регулаторна правна)
K2 Бизнесът (пазари, продукти, конкуренция, мениджмънт)
K3 Моят капитал (лични финанси, свободно време, образование, извън бизнеса).

Абонирайте се за Капитал

Пич, къде са ми отпечатъците

Данните от сканираните пръсти на над половин милион пациенти продължават да се съхраняват. Опасно ли е това?

8588 прочитания

© Капитал


Сканирането на пръстови отпечатъци при приемането и изписването на пациенти е една от дълбоките следи, оставени от бившия министър Петър Москов. Процедурата, която беше представена като мярка срещу източването на здравната каса, просъществува точно шест месеца - от октомври 2016 до април 2017 г., когато беше отменена окончателно от Върховния административен съд.

Днес, година по-късно, събраните незаконно над половин милион записа се съхраняват в изключен сървър на НЗОК. И там нямат никакво намерение да ги изтриват, тъй като според тяхното тълкуване на закона отпечатъците трябва да се пазят "пет години след приключване на здравното им (на пациентите - бел. ред.) осигуряване".

В навечерието на влизането в сила на Общия регламент за защита на личните данни (GDPR), който предвижда сериозни санкции за подобно безцелно съхранение на лична информация, това може да създаде сериозни главоболия на касата.

Eдна безсмислена реформа

Пръстовата идентификация беше въведена от здравния министър във втория кабинет на Борисов - Петър Москов, като гаранция, че болниците няма да злоупотребяват с клиничните пътеки, а пациентът действително ще присъства в дните, за които касата плаща. Или поне пръстът му, който трябва да бъде сканиран на влизане и на излизане. Още при въвеждането й идеята (която струваше на държавата 400 хил. лв. за изграждане на софтуера, а отделно болниците платиха за четците) беше критикувана, тъй като системата беше ялово зачената, подобна идентификация нямаше предвидена в нито един закон и нарушаваше множество права на пациента.

"Ако пациентът се е съгласил да лежи в болница, без да е болен или да му бъде извършено дадено изследване, без да е било необходимо за неговото състояние, пръстовият отпечатък няма как да реши проблема", посочи адв. Мария Шаркова, специалист по правните въпроси, свързани с медицината и правата на пациентите. "Следва да се замислим защо пациентът се съгласява да бъде формално хоспитализиран, без да присъства в болницата или да страда от посочената диагноза дори едновременно да се въведе изискване за чекиране на лични карти, вземане на пръстови отпечатъци, съхраняване на ДНК от пациента, снимка в цял ръст и съставяне на родословно дърво до пета степен по съребрена линия - тези мерки ще наподобяват патогенетичното лечение при автоимунни заболявания. Или с други думи, ще се лекуват симптомите, но не и причината", коментира тя.


Как се снимат отпечатъци

Полицията събира пръстови отпечатъци при конкретни хипотези - при криминална регистрация или издаване на документи за самоличност, когато се изискват биометрични данни. Те съхраняват цифров или мастилен отпечатък на пръстите. В първия случай - за да ги сравни със следите, намерени на местопроизшествие, а във втория - за да видят дали не ползвате чужд паспорт.

Разликата между системите на правоохранителните институции и тази, която здравната каса е използвала (или тази, с която отключвате айфона или лаптопа си), е, че последните не съхраняват изображение на пръста, а код, генериран от случайно избрани точки на релефа му. Този код се съхранява в база данни и при всяко сканиране се проверява дали новият генериран код съвпада със съхранявания. Дали се пази изображение от отпечатъка или код зависи не от четеца, на който се поставя пръстът, а от софтуера, който управлява процеса. Или поне така е по дефиниция.

Колко пръста
НЗОК не знае данните на колко души се съхраняват на сървъра, тъй като той е изведен от експлоатация, но заявяват, че не са повече 700 хил. От "Пирогов" отговориха на "Капитал", че са изпратили 47 630 записа, от пловдивската "Свети Георги" - 53 200, а от варненските болници "Света Марина" - 27 700, и "Света Анна" - 11 743.


Лични данни или не

Преди приемането на промените с отпечатъците на пациентите през 2016 г. Комисията за защита на личните данни (КЗЛД) излезе със становище, че проблем с въвеждането им няма. Основните аргументи бяха, че "резултатът от сканирането на произволно избрани точки от пръст на ръка не позволява възстановяването на цялото изображение на пръстовия отпечатък на съответното физическо лице", а изображението под формата на частичен цифров код (FMD) "не съставлява лични данни и достъпът до самия цифров код не допуска обратното му свързване с конкретно физическо лице не е налице идентификация по смисъла на закона".

Това становище е точно в обратната посока на друго, постановено през 2011 г. , когато смолянска болница беше поискала да въведе система за контрол на работното време, използваща сканиране на отпечатъци. Тогава регулаторът прие, че става дума за биометрични данни, които могат да бъдат чувствителни и единственото правно основание да бъдат съхранявани е, ако служителите на болницата са дали съгласие за това.

Пет години по-късно КЗЛД вече приема, че "избраните устройства...1350Е извършват процеса на сканиране и извличане на FMD кодовете вътре в устройството. По този начин до работните станции, на които ще е инсталирана клиентската част на регистрационната система, няма да достига графичното изображение на сканирания пръст".

Фотограф: Надежда Чипева

Използваните от болничните заведения четци са на индийския производител Morphо. Видно от техническата им спецификация, те изготвят изображение в качество, което отговаря на... стандартите на ФБР, т.е. дали и къде се съхранява изображението зависи не от сканиращото устройство, а от софтуера, който се използва.

Тук трябва да се доверим на гаранцията на здравната каса, записана в заданието на поръчката през 2016 г., че в "системата не трябва да се съхраняват графични изображения... Алгоритъмът за изчисляване на биометричния идентификационен код трябва да бъде еднопосочен. т.е. от биометричния код не трябва да могат да се възстановяват първичните данни за пръстовия отпечатък". Дали това е така няма как да разберем, защото по искане на фирмата изпълнител цялата техническа документация към договора е засекретена от здравната каса, а в самото задание няма изискване кодът на програмата да е отворен.

Ако действително системата гарантира, че снимката се изтрива веднага, вероятността някой да възстанови отпечатъците на половин милион души е нулева. Няколко международни изследвания за биометрична идентификация показват, че възстановяването на образа на отпечатъка по генерирания код е хипотетично възможно, но образът ще е непълен.

С други думи, ако искате да откраднете отпечатъка, който някой е записал в айфона си, ще е много по-лесно да му откраднете телефона и подобно на сериала "От местопрестъплението" да свалите с прах и четка отпечатъците, които той е оставил върху него, пипайки го, отколкото да хаквате софтуера и да възстановявате записа.

Но както и в други случаи, свързани с личната информация, казусът с отпечатъците и здравната каса е принципен. Защото не бива всеки да събира данни за нас, както му хрумне, и после да ги държи някъде на склад просто защото така е решил.


0 коментара

Нов коментар

За да публикувате коментари,
трябва да сте регистриран потребител.


Вход

С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. OK