Над 22 000 нови потребители са сдвоили електронното си здравно досие с мобилното приложение еЗдраве от началото на септември. Така те получават пълна информация до регистрираните в Националната здравноинформационна система (НЗИС) прегледи, направления, рецепти, ваксини, хоспитализации, резултати от лабораторни изследвания, обща здравна информация, и др. Гражданите имат достъп и до новия модул „Дългосрочна грижа за здравето“, който включва задължителните профилактични прегледи, изследвания и ваксинации. Системата, която бе разработена от Информационно обслужване, изготвя персонален план за здравна грижа на всички граждани и изпраща навременна нотификация към пациента/ родителя и личния лекар.
От 2 септември 2024 г. гражданите, които не притежават електронен подпис, имат възможност за достъп до електронното си здравно досие през мобилното приложение еЗдраве. За целта те трябва еднократно да посетят най-близкия за тях офис на Информационно обслужване, Районната здравноосигурителна каса (РЗОК) или Регионалната здравна инспекция (РЗИ) по постоянен или настоящ адрес и да се идентифицират с валиден личен документ със снимка. Желаещите могат да посетят и някой от временните пунктове за сдвояване. Благодарение на усилията на министъра на здравеопазването д-р Галя Кондева и нейния екип, във всички областни и по-големи градове са разкрити временни мобилни пунктове на РЗИ, които помагат на гражданите да получат достъп до здравното си досие. Кампанията по сдвояване на електронните здравни досиета с мобилните телефони ще продължи на различни места в цялата страна до края на септември, а след това гражданите ще могат да посещават РЗИ, РЗОК и офисите на Информационно обслужване.
Процесът по сдвояване на електронното здравно досие и достъпът до мобилното приложение еЗдраве се осъществява напълно безплатно и сигурно. За всяко едно действие, извършено от упълномощените лица, се съхранява история на промените и действията, с цел пълна проследимост.
Притежателите на електронен подпис могат да сдвоят електронното си здравно досие с еЗдраве и самостоятелно на адрес my.his.bg през браузър на компютър, както досега. Приложението може да бъде изтеглено безплатно от App Store и Google Play. От пускането му в експлоатация е изтеглено над 175 хил. пъти.
Защо достъпът не може да се осъществи с ПИК на НАП/НОИ?
Медицинската информация е изключително чувствителна и злоупотребата с нея може да има много тежки последствия - както социални, така и в някои случаи дори животозастрашаващи. Това е причината законодателствата на Европейски Съюз и България да обръщат особено внимание на защитата на този тип информация. През пролетта на 2024 г. Европейският парламент постигна съгласие за създаването на Европейско пространство за здравни данни (EHDS), където особено внимание е отделено на сигурността на данните и инфраструктурата.
Според българското законодателство, съществуват две нива на осигуреност на информацията при публичните услуги – „задоволително” и „високо”. Вземайки предвид чувствителността на медицинската информация, за всички данни, свързани със здравето на гражданите е необходимото ниво на осигуреност „високо”.
За да бъде предоставен достъп до персонална здравна информация е необходимо системата да идентифицира потребителя. За целта могат да бъдат използвани различни средства за идентификация. Тези средства обикновено се разделят на три основни групи:
- нещо, което знам
- нещо, което притежавам
- нещо, което съм
Към първата група „нещо, което знам” спадат средства за идентификация, които разчитат на знанието на потребителя, като например парола, ПИН код, ПИК на НАП, НОИ и т.н. Познанието може да бъде споделено, без значение съзнателно, или не. Над 80% от течовете на данни са осъществени чрез откраднати пароли. Изключително лесно е с методите на социалното инженерство (фишинг) или други подобни да бъде открадната парола, ПИН код или ПИК.
Към втората група „нещо, което притежавам” спадат средства за идентификация, които са собственост на потребителя - мобилно устройство, квалифицирано устройство за съхраняване на сертификати (флашка на КЕП), банкова карта, хардуерни ключове, токъни за сигурност и т.н.
Към третата група „нещо, което съм” спадат средства използващи биометрия, като например пръстови отпечатъци, сканиране на ретината, визуална биометрия, ДНК анализ и др.
Използването на средство, от която и да е от трите групи може да е валидно, само ако системата може да получи доказателства, че това средство наистина принадлежи на конкретния потребител. При средства от първата група се използват няколко различни техники за валидиране на личността. За получаване на парола, се минава през процес на регистрация, в който потребителят въвежда личните си данни и те се верифицират с помощта на публични регистри, потвърждаване на адрес за електронна поща, кратко съобщение до мобилен номер и др. За получаване на ПИН или ПИК трябва да бъде посетена дадена институция (банка, НАП, НОИ) и потребителят да бъде идентифициран с личен документ.
При втората група средства за идентификация има нужда от доверен удостоверител, който да гарантира, че въпросното устройство е на потребителя. Такъв удостоверител за мобилното устройство е организацията, издала облачния КЕП (квалифициран електронен подпис), а за квалифицираното устройство за съхранение на сертификати - организацията издала физическия КЕП.
Чрез средствата, попадащи в трета група, използващи биометрия, може лесно да бъде потвърден ползвателят на дадено устройство, като физическо лице, но не и да бъде удостоверена гражданската му самоличност. Съществуват удостоверители, които гарантират самоличност на базата на биометрия, но засега те или имат недостатъци в сигурността, или се основават на относително скъпи технологии като сканиране на ретината и генериране на токън в блокчейн.
Използването на средство за идентификация, от която и да е от трите групи самостоятелно, дава ниво на осигуреност „задоволително”. За да бъде постигнато ниво „високо” е необходимо да бъдат използвани средства за идентификация от поне две от трите групи.
Това е и причината при анализа на различни методи за идентификация на лицето, желаещо да получи достъп до информация от електронното си здравно досие, да бъде избрана идентификацията с КЕП. Тя използва средство за идентификация от група 1 - ПИН и средство за идентификация от група 2 - мобилно устройство или квалифицирано устройство за съхранение на сертификати, в зависимост от това дали потребителят ползва облачен или физически КЕП.
Възможността за достъп до електронното здравно досие, чрез сдвояване на мобилно устройство от служители на РЗИ, РЗОК и ИО не променя нивото на осигуреност, тъй като се използват средства за идентификация от две от групите - мобилно устройство и ПИН/биометрия.