Как мы храним и защищаем медицинские данные: архитектурные решения
Персональные медицинские данные — не «данные». Это одна из самых чувствительных категорий информации. Рассказываем, как мы это учли в архитектуре.
Команда Dofomin
Платформа Dofomin Checkup
Почему медицинские данные требуют отдельного подхода
Персональные медицинские данные (PHI) защищены строже, чем финансовые, по веской причине: утечка данных о здоровье не исправляется. Нельзя «сменить пароль» и закрыть проблему.
Это влияет на архитектурные решения. Недостаточно шифровать данные «по умолчанию» — нужно продумать, кто имеет доступ к каким данным, при каких условиях и с какой записью в журнале.
Раздельное согласие по доменам
Мы не используем bundled consent — согласие «на всё сразу». Каждый домен данных требует отдельного согласия пациента:
— данные носимых устройств;
— лабораторные результаты;
— геномические данные;
— семейный анамнез.
Пациент может дать согласие на одно и отозвать другое — в любой момент. Это не усложнение процесса, а уважение к автономии.
Геномика — отдельный контур
Геномические данные хранятся в физически изолированном хранилище с отдельным уровнем доступа. Даже врач-куратор не имеет доступа к сырым геномным данным без явного согласия пациента на конкретный запрос.
Что происходит с AI и данными
AI-модели в нашей системе не обучаются на данных конкретных пациентов без их явного согласия. Промпты, которые направляются в языковые модели, проходят обезличивание — PHI не покидает защищённый контур.
Каждый AI-вывод фиксируется в audit log вместе с решением врача. Это позволяет и внутренней команде, и регулятору проверить цепочку: что предложил алгоритм, что решил врач, что получил пациент.
Попробовать continuous checkup
Оставьте контакт — координатор расскажет про состав программы и подберёт врача-куратора.
Записаться