Медичні PDF: клінічні записи та приватність пацієнтів
Клінічні записи — це дані особливої категорії за GDPR. Чому медичні PDF ніколи не повинні потрапляти на сайт для завантаження і як безпечно працювати з ними на власній машині.
Пацієнт надсилає в клініку електронною поштою сканований PDF старого виписного епікризу. Реєстратору треба об’єднати його з двома іншими звітами, перш ніж їх побачить лікар. Тож він відкриває перший-ліпший безкоштовний PDF-інструмент, що трапляється, перетягує три файли, повні діагнозів, списків ліків і національного медичного номера, і натискає «об’єднати».
Здається, нічого поганого. Об’єднаний файл завантажується, лікар його читає, день іде далі. Але ці три документи щойно покинули клініку й опинилися на сервері незнайомця, а це були не звичайні документи.
Це не юридична й не медична консультація. Я не ваш спеціаліст із захисту даних, і кожна клініка має власні правила. Але медичні дані лежать в окремій, суворішій коробці за GDPR, і це змінює те, як вам слід поводитися з кожним PDF, що їх несе.
Чому медичні дані трактуються інакше
Більшість персональних даних за GDPR уже захищені. Медичні дані отримують додатковий шар. Регламент називає їх особливою категорією, і вони стоять поряд із такими речами, як релігійні переконання, сексуальна орієнтація та біометричні дані. Базове правило для даних особливої категорії таке: їх обробка заборонена, доки ви не виконуєте одну з короткого переліку конкретних умов — наприклад, явну згоду пацієнта чи надання допомоги медичним працівником.
Слово «обробка» широке. Воно охоплює читання файлу, його зберігання, зміну та надсилання. Об’єднання двох звітів зараховується. Розділення запису, щоб надіслати одну сторінку, зараховується. Стиснення скану, щоб надіслати його поштою, зараховується. Тож щойно з’являється медичний PDF, ви працюєте з найчутливішим класом даних, який визнає закон, і планка за необережне поводження з ним набагато вища.
Клінічний запис також зазвичай несе більше, ніж діагноз. Там зазвичай є ім’я, дата народження, адреса, ID пацієнта, іноді номер страховки. Кожне з цього ідентифікує саме по собі. У поєднанні з медичним станом вони малюють повну картину людини в один із найприватніших моментів її життя.
Що сайт для завантаження насправді робить із файлом
Коли ви відправляєте цей PDF в онлайн-інструмент, файл залишає ваш контроль. Він мандрує на сервер, яким ви не керуєте, обробляється там і може бути закешований, поставлений у чергу чи скопійований, перш ніж щось повернеться. За GDPR ця компанія стає обробником, що діє від вашого імені, а ви — клініка чи практик — лишаєтеся контролером, відповідальним за дані.
Контролер бере на себе реальні обов’язки тієї ж миті, коли залучається обробник. Вам потрібен письмовий договір із цією компанією, що чітко прописує, що вони можуть робити з даними і коли їх видаляють. Для медичних даних особливої категорії вам також треба бути впевненими, що вся конфігурація має належні запобіжники. Безкоштовний інструмент, знайдений через пошук, рідко дає вам бодай щось із цього. У вас немає з ними договору, ви не знаєте, де стоять їхні сервери, і ви не можете сказати, хто ще може торкнутися файлу.
Для медичних даних є й гостріша грань. Якщо сервер за межами ЄС, ви здійснили міжнародну передачу даних особливої категорії — саме той випадок, навколо якого GDPR створює найбільше тертя. Для відпускної фотографії це не мало б значення. Для онкологічного звіту пацієнта ви тихо створили проблему, яку не можете задокументувати.
Витік, про який вам довелося б повідомляти
Медичні записи — це саме те, чого хочуть зловмисники та брокери даних. Витеклу історію хвороби не можна скинути, як пароль. Якщо чутливі дані пацієнта опиняться розкритими через сервіс, за який ви не могли б поручитися, це може бути порушенням захисту персональних даних, а порушення, що стосуються медичних даних, регулятори сприймають найсерйозніше. Обов’язки звітування, сповіщення пацієнтів і репутаційний удар по клініці — усе це випливає з одного необережного завантаження.
Прикре те, що саме завдання — об’єднати чи стиснути кілька файлів — ніколи й не мало залишати офіс.
Тримайте файл на власній машині
Ось рішення, і воно легше за проблему. Якщо PDF ніколи не залишає ваш пристрій, жоден зовнішній обробник його не торкається. Ніякого договору, який треба ганяти, ніякої передачі, яку треба обґрунтовувати, ніякої третьої сторони, що могла б його злити. Ви все ще контролер, і ви все ще винні пацієнту звичну турботу, але цілий шар ризику просто не існує, бо дані лишилися там, де були.
Це ідея, що стоїть за інструментами, які працюють повністю у вашому браузері. Код виконує роботу локально, у пам’яті вашого комп’ютера, і файл лишається на місці. Саме так ми побудували reader.me. Коли ви об’єднуєте, розділяєте чи стискаєте клінічний PDF, він обробляється у вашому браузері й ніколи не досягає нашого сервера. Якщо хочете доказ — відкрийте DevTools браузера, спостерігайте за вкладкою Network, поки працюєте, і ви не побачите, щоб ваш документ кудись виходив.
Два щоденні завдання важать найбільше для медичних файлів:
- Коли запис надходить із паролем, який ви знаєте, ви можете зняти цей пароль локально, щоб із файлом було легше працювати, нікуди його не відправляючи.
- Коли вам треба передати запис далі й спершу заблокувати його, ви можете зашифрувати PDF паролем прямо на своїй машині, а потім поділитися ним через канал, на який пацієнт очікує.
Звички для клінік, лікарів і пацієнтів
Кілька простих правил тримають медичні PDF подалі від неприємностей:
- Сприймайте кожен клінічний документ як дані особливої категорії. Виписні епікризи, результати аналізів, рецепти, направлення та форми згоди — усе кваліфікується, навіть одна сканована сторінка.
- Ніколи не перетягуйте запис пацієнта у випадковий онлайн-інструмент. Немає договору й немає чіткого розташування сервера — значить, він не отримує дані ваших пацієнтів, і крапка.
- За замовчуванням обирайте інструменти, що працюють у вашому браузері, для рутинних завдань на кшталт об’єднання, розділення чи стиснення. Якщо це працює локально, немає обробника, якого треба перевіряти, і ніщо не перетинає кордон.
- Блокуйте файли перед відправленням. Пароль на PDF і розумний канал доставки перемагають відкрите вкладення.
- Якщо ви пацієнт, запитайте, як ваша клініка поводиться з вашими файлами. Ви маєте на це право.
Правила навколо медичних даних звучать важко, і вони такі, бо дані такі. Але щоденне рішення мале. Тримайте файл на своїй машині, користуйтеся інструментами, що не завантажують, — і найважча частина проблеми ніколи до вас не дійде. Якщо хочете довшу версію того, як завантаження запускає ці обов’язки, я окремо писала про GDPR і завантаження PDF.
Перегляд за категоріями