Утечка медицинских данных: почему опасно писать врачам в WhatsApp

Изображение сгенерировано при помощи нейросети

Казахстанские эксперты проанализировали сайты медицинских клиник, чтобы проверить, насколько они отвечают требованиям цифровой безопасности. И пришли к выводу, что цифровой хаос в отрасли формируют не только клиники, но во многом и сами пациенты. TengriHealth публикует выводы, к которым пришли эксперт в области цифровой медицины Дархан Кырыкбаев и CEO Центра анализа и расследования кибератак Олжас Сатиев.

Казахстанские эксперты проанализировали сайты медицинских клиник, чтобы проверить, насколько они отвечают требованиям цифровой безопасности. И пришли к выводу, что цифровой хаос в отрасли формируют не только клиники, но во многом и сами пациенты. TengriHealth публикует выводы, к которым пришли эксперт в области цифровой медицины Дархан Кырыкбаев и CEO Центра анализа и расследования кибератак Олжас Сатиев.

Персональные данные — новая валюта

В октябре 2023 года американская платформа генетических тестов 23andMe признала утечку генетических данных почти семи миллионов пользователей. В результате скандала и судебных разбирательств в марте 2025 года компания подала заявление о банкротстве. Это один из ярчайших примеров, подтверждающих цифровой симптом современной медицины.

В эпоху, когда каждый клик оставляет цифровой след, а персональные данные стали новой валютой информационного общества, медицинская сфера оказалась в парадоксальной ситуации. Законодательство о защите персональных данных ужесточается, регуляторы призывают к ответственности, а на практике медицинские организации демонстрируют удивительную беспечность в вопросах цифровой безопасности пациентов.

Но самое поразительное не в этом.

Истинная проблема кроется глубже: мы сами, пациенты, с легкостью ставим галочку "согласен на обработку персональных данных", даже не задумываясь о содержании документа. Это молчаливое согласие создало питательную среду для цифрового хаоса в отрасли.

Анатомия цифровой небрежности: результаты исследования

Чтобы оценить масштаб проблемы, мы провели небольшое, но показательное исследование и проанализировали сайты, которые выдают запросы "Клиника Астана" и "Клиника Алматы". То есть это медицинские организации, которые вкладывают средства в SEO-продвижение и позиционируют себя как современные технологические центры здравоохранения. Результаты оказались обескураживающими.

Мы выявили следующие проблемы:

Ссылка "Политика конфиденциальности" перекидывает пользователя на главную страницу, то есть документа попросту не существует.
Кнопка перенаправляет на сайт со ссылками на законодательство Российской Федерации. Очевидно, что при разработке сайта использовали готовый шаблон, который даже формально не адаптировали под казахстанское законодательство.
В рядке клиник соглашение о персональных данных отсутствует вовсе. Зато на сайте активно работает онлайн-чат, форма записи на прием, можно оформить приём через WhatsApp. Куда уходят данные? Кто их обрабатывает? Эти вопросы остаются без ответа.
Согласие на обработку данных есть, но оно не переведено на государственный язык.

Почему критична именно медицина

Медицинские данные — это не просто информация о ваших предпочтениях в покупках, музыке или туризме. Это сведения о вашем здоровье, диагнозах, лечении и даже интимных подробностях вашей жизни.

Информация, разглашение которой может привести к дискриминации при трудоустройстве, отказу в страховании, социальной стигматизации.

Представьте: вы лечитесь или проходите обследование на предмет деликатного заболевания. Хотели бы вы, чтобы эта информация стала достоянием общественности? Или попала в руки маркетологов? Или, что еще хуже, злоумышленников? А это может произойти.

Между тем на черном рынке медицинские данные весьма востребованы. По данным исследований даркнета, полная медицинская карта с финансовой информацией стоит около 50 долларов.

И истинная ценность медицинских данных — в их долгосрочном использовании. Кредитку можно заблокировать за минуты, а вот диагноз, историю болезни или результаты анализов "отозвать" невозможно.

Эту информацию используют для страхового мошенничества, создания поддельных документов, шантажа — и последствия их утечки могут преследовать человека годами.

Мессенджеры как окно утечки данных

Отдельная глава цифровой беспечности — использование мессенджеров для коммуникации с пациентами. Практически все исследованные сайты клиник содержали кнопки "Записаться через WhatsApp". Казалось бы, удобно, но давайте на примере конкретных клиник разберемся, что происходит на самом деле.

Допустим, пациентка записалась на прием к гинекологу через WhatsApp. В переписке она указала свою фамилию, возраст, описала симптомы. После приема ей прислали результаты УЗИ и рекомендации. Что происходит на практике с точки зрения законодательства о персональных данных?

Трансграничная передача данных, ведь WhatsApp принадлежит Meta, серверы которой находятся за рубежом. Значит, и медицинские данные автоматически передаются в другую юрисдикцию.
Клиника не может гарантировать безопасность данных, переданных через сторонний мессенджер. Они могут быть использованы для таргетированной рекламы, аналитики, обучения искусственного интеллекта.
Возможно нарушение врачебной тайны. Если телефон пациентки взломают, она его потеряет или данные увидит другой человек, медицинская информация станет доступна третьим лицам.

Или молодой человек записался на консультацию к урологу через Instagram Direct, подробно указав в переписке деликатную проблему. Через несколько дней его аккаунт был взломан, и переписка с клиникой стала доступна злоумышленникам, которые попытались его шантажировать. Это тоже вполне реальный сценарий.

Как пациенты сами помогают мошенникам

Мы сами создаем плацдарм для использования наших данных. Мы привыкли к молниеносной скорости цифровых сервисов. Нам неудобно звонить в регистратуру и ждать ответа. Мы хотим записаться к врачу в два клика, не вставая с дивана, желательно в том же мессенджере, где переписываемся с друзьями.

Когда на сайте появляется всплывающее окно "Мы используем cookie и собираем ваши данные", мы рефлекторно жмем "Принять", не читая текста. Когда при записи на прием нужно поставить галочку "Согласен на обработку персональных данных" — мы делаем это автоматически.

Образуется порочный круг: клиники не видят необходимости инвестировать в юридически корректное оформление документов, потому что пациенты их все равно не читают. Пациенты не читают, потому что привыкли к формальности этих соглашений. Регуляторы не имеют ресурсов проверять каждый сайт. Результат — цифровая анархия.

Как игнорируют законодательство

Законопроект о персональных данных четко определяет:

для сбора и обработки данных требуется явное согласие субъекта;
оператор данных обязан обеспечить меры безопасности;
трансграничная передача данных ограничена и требует дополнительных гарантий.

На практике клиники эти нормы повсеместно игнорируют, в том числе из-за незнания, непонимания важности или банальной экономии на юристах и IT-специалистах. Многие руководители искренне убеждены, что галочки про согласие на обработку данных достаточно, и не понимают, что соглашение должно быть:

доступным и читаемым;
содержать конкретную информацию о целях обработки;
указывать сроки хранения данных;
описывать права субъекта данных;
быть актуальным и соответствовать действующему законодательству.

Рекомендации для клиник: как не нарушать закон

Проведите цифровой аудит сайта и цифровых каналов коммуникации с пациентами и убедитесь, что все ссылки на юридические документы работают, тексты соответствуют действующему законодательству, а формы сбора данных содержат корректные формулировки согласия.
Разработайте четкие внутренние регламенты работы с персональными данными пациентов: кто имеет к ним доступ, как они хранятся и защищаются, какие каналы коммуникации разрешены, как долго хранятся данные после завершения лечения.
Откажитесь от использования личных мессенджеров сотрудников для коммуникации с пациентами. Вместо этого внедрите защищенную CRM-систему, работайте через специализированные медицинские платформы и получите явное согласие пациента на использование конкретного канала связи.
Проводите регулярные тренинги по цифровой безопасности. Администраторы, медсестры, врачи должны понимать важность защиты данных.
Назначьте ответственного сотрудника, который будет отвечать за соблюдение требований по защите персональных данных.
Инвестируйте в юридическую поддержку. Экономия на юристах в вопросах персональных данных может обернуться штрафами, которые в десятки раз превысят стоимость консультаций.

Рекомендации для пациентов: как защитить свои данные

Читайте документы, прежде чем соглашаться. Если же на сайте клиники нет политики конфиденциальности, используется законодательство иных стран или ссылка не работает – это red flag.
Если клиника предлагает связаться через WhatsApp или Telegram, используйте эти каналы только для записи на прием. Всю медицинскую информацию, результаты анализов, диагнозы обсуждайте лично или через защищенные медицинские платформы.
Вы имеете право контролировать свои личные данные: знать, какая информация собирается, требовать её исправления или удаления. Вы можете отозвать согласие на обработку, получить копию своих данных.

Время перестать быть беспечными

Проблема защиты персональных данных в медицинской сфере — вопрос не технологий или законодательства, а в первую очередь культуры. Законопроект о персональных данных создал правовую рамку, но законы работают только тогда, когда общество готово их соблюдать.

Клиники и лаборатории с большим количеством клиентов должны становиться объектами критически важной инфраструктуры, следить за своей кибербезопасностью и проводить ежегодные аудиты на предмет того, насколько легко проникнуть в систему.

Цифровая гигиена так же важна, как и личная. И начинается она с простого вопроса: "А действительно ли я хочу, чтобы эта информация обо мне стала доступна неизвестно кому?"

Мнение редакции не всегда совпадает с мнением авторов.

Об авторах: Олжас Сатиев – CEO Центра анализа и расследования кибератак TSARKA, спикер TedX, Forbes, OSCE. Организатор топ-10 мировой конференции по кибербезопасности KazHackStan. Один из инициаторов концепции "Киберщит Казахстан".

Дархан Кырыкбаев — эксперт в области цифрового здравоохранения. Развивает Digital Health в Казахстане. Трекер и ментор медицинских стартапов. Спикер отраслевых конференций. Автор аналитических публикаций о цифровой трансформации здравоохранения.