До редакции ERR дошла информация о пациенте, который делал рентген в Ляэне-Таллиннской центральной больнице. Поскольку ему предстояло направление к врачу-специалисту в другое учреждение, ему посоветовали на всякий случай продублировать снимки на флешку, чтобы не пришлось лишний раз ездить между больницами.

Следуя рекомендации, он приобрел в больнице новый USB-накопитель, на котором, как предполагалось, не должно было быть никакой посторонней информации.

Однако дома, проверяя сохраненные на флешке медицинские данные, пациент к своему удивлению обнаружил там сведения еще нескольких человек. Информация не ограничивалась именами, личными кодами и датами процедур – в документах можно было найти, например, даже истории болезней пациентов.

Поскольку подобная утечка личных данных показалась человеку подозрительной, он не стал детально изучать содержимое папок. В связи с этим не исключено, что там могла находиться и еще более конфиденциальная информация.

На снимке, присланном в редакцию ERR, видно, что самый старый рентгеновский снимок, попавший на флешку, датируется 2019 годом. Кроме того, по некоторым пациентам можно точно определить, какая именно часть тела была обследована. В целях защиты частной жизни имена и личные коды на снимке были скрыты редакцией.

LTKH не знает, как данные попали на флешку

Выдача пациенту рентгеновских снимков на USB-накопителе, по словам специалиста по коммуникациям LTKH Виркко Лепассалу, является в больнице обычной практикой.

Лепассалу отметил, что это делается только в том случае, если пациент сам того пожелает. Например, если он направляется в частную клинику, проходит лечение за границей или хочет получить альтернативное медицинское заключение вне стен LTKH.

"Если пациент хочет забрать рентгеновские снимки с собой на флешке, то в Ляэне-Таллиннской центральной больнице для этого используется ранее не использовавшийся накопитель", – сказал Лепассалу.

Специалист не смог объяснить, каким образом на флешке оказались личные и медицинские данные других пациентов. По его словам, пока пациент не подал официальную жалобу в больницу, они не могут начать расследование инцидента.

По оценке Инспекции по защите данных (AKI), попадание данных пациента в распоряжение третьих лиц недопустимо и с большой долей вероятности указывает на нарушение требований по защите персональных данных.

"Учреждение здравоохранения должно иметь четкие и работающие процедуры выдачи медицинских данных пациентам. При этом необходимо минимизировать все возможные риски – например, вероятность того, что на тот же цифровой носитель по ошибке попадут данные других людей", – пояснила советник AKI по связям с общественностью Майре Иро.