منحت هيئة الخدمات الصحية الوطنية في إنجلترا للموظفين الخارجيين في الشركات، بما في ذلك شركة Palantir، وصولاً غير محدود إلى بيانات المرضى التي يمكن تحديد هويتها أثناء العمل على بعض وحدات منصة البيانات الرئيسية الخاصة بها. أظهر إحاطة داخلية أن الأمر يتعلق بمستأجر تكامل البيانات الوطنية (NDIT) - وهي وحدة تم تعريفها على أنها "ملاذ بيانات" للبيانات قبل "أسماء مستعارة" ونقلها إلى أنظمة أخرى.
NDIT جزء من منصة البيانات الموحدة (FDP). يهدف FDP إلى دمج البيانات المتفرقة الخاصة بهيئة الخدمات الصحية الوطنية في نظام موحد؛ وفي عام 2023، فازت شركة Palantir بعقد بقيمة 330 مليون جنيه إسترليني لبناء المنصة.
وبموجب الخطة، وافقت هيئة الخدمات الصحية الوطنية في إنجلترا على إنشاء دور "إداري". يقر الموجز بأن هذا الدور "يسمح للموظفين غير التابعين لهيئة الخدمات الصحية الوطنية في إنجلترا بالوصول غير المقيد إلى NDIT ومعلومات المريض التي يمكن تحديد هويتها والتي يخزنها".
بالإضافة إلى موظفي Palantir، قد يحصل أيضًا موظفو الشركات الاستشارية المشاركة في مشاريع FDP على هذا الوصول.
تمثل هذه الخطوة خروجًا كبيرًا عن الممارسة الحالية: في السابق، كان على أي شخص يحتاج إلى الوصول إلى NDIT التقدم بطلب للحصول على أذونات وصول صريحة إلى البيانات لمجموعات بيانات محددة.
واعترفت مذكرة الإحاطة، التي كتبها كبار مسؤولي البيانات في هيئة الخدمات الصحية الوطنية في أبريل، بأن منح أذونات أكبر قد يؤدي إلى فقدان ثقة الجمهور في "حماية بيانات المرضى، والاستخدام المناسب للبيانات، وضوابط الوصول".
في البداية، لن يكون الوصول الكامل متاحًا إلا لموظفي NHS England الداخليين الذين اجتازوا تصريحًا أمنيًا. لكن الموجز أشار إلى أن الموظفين الخارجيين طلبوا أيضًا نفس الأذونات لأنه "سيكون من المرهق للغاية التقدم بطلب للحصول على كل من تراخيص الوصول إلى البيانات المستقلة الضرورية (CDAs) واحدًا تلو الآخر".
ويضيف الموجز: "هذه المشكلة لا تتعلق بشركة Palantir فقط، لذلك نشير إليها على أنها" موظفين غير تابعين لهيئة الخدمات الصحية الوطنية في إنجلترا ". ومع ذلك، هناك حاليًا قلق عام متزايد وقلق بشأن مدى وصول شركة Palantir وموظفيها إلى بيانات المرضى".
يقترح الإحاطة أنه يجب وضع حد أقصى لعدد المسؤولين الخارجيين الذين يمكنهم الوصول إلى NDIT، ويجب أن تكون الأذونات صالحة لفترة محدودة ومراجعتها بانتظام.
وأكد المسؤولون أنه تمت الموافقة على الاقتراح مؤخرًا، لكنهم أكدوا أن مثل هذه الأذونات لن يتم فتحها إلا لعدد صغير جدًا من الموظفين غير العاملين في هيئة الخدمات الصحية الوطنية.
وقال مارتن ريجلي، عضو لجنة التكنولوجيا في الحزب الديمقراطي الليبرالي بمجلس العموم: "هذا الموقف المتهور تجاه أمن البيانات يظهر أن مشروع FDP بأكمله لم يتم تصميمه مع وضع الأمن في جوهره. لدى الجمهور سبب للقلق من عدم اعتبار خصوصية البيانات كاعتبار أساسي".
ووعدت هيئة الخدمات الصحية الوطنية في إنجلترا بالوفاء بخمسة "التزامات تتعلق بالبيانات"، بما في ذلك الكشف عن هويات زوار البيانات ومحتوى زياراتهم.
وتحذر المذكرة الموجزة من هذا الالتزام، "إن معرفة من قام بالوصول إلى بيانات المرضى التي يمكن تحديدها في أي وقت هي أولوية أساسية". "كلما كان الوصول مفتوحا، كلما أصبح من الصعب تحقيق هذا الهدف."
رد متحدث باسم NHS England: "لقد وضعت NHS سياسات صارمة لإدارة الوصول إلى بيانات المرضى وتجري عمليات تدقيق منتظمة لضمان الامتثال - بما في ذلك الإشراف على عمل المهندسين الذين يساعدون في بناء منصة مركزية لجمع البيانات. تُستخدم هذه المنصة لتتبع الأداء التشغيلي لـ NHS وتحسين خدمات تشخيص وعلاج المرضى. يجب على جميع موظفي الوصول الخارجيين اجتياز مراجعات الأمان الحكومية والحصول على موافقة مديري NHS England وما فوق."
أصبحت مشاركة Palantir في بناء FDP مثيرة للجدل بشكل متزايد بسبب الخدمة الطويلة للشركة في مجالات إنفاذ قانون الدفاع والهجرة الأمريكية.
مؤسسها المشارك ومديرها التنفيذي أليكس كارب هو مؤيد عام لدونالد ترامب. رفض بعض موظفي NHS المشاركة في مشروع FDP بسبب مخاوف أخلاقية بشأن الشركة.
يشيد مؤيدو FDP بقدرته على دمج البيانات التشغيلية مثل قوائم الانتظار وجداول غرف العمليات للمساعدة في تحسين تشخيص المرضى وعلاجهم.
قال متحدث باسم Palantir: "وفقًا للأحكام القانونية، نحن فقط معالج بيانات لهيئة الخدمات الصحية الوطنية وجميع العملاء، والعملاء هم "مراقبو البيانات". وهذا يعني أن برنامج Palantir لا يمكنه معالجة البيانات إلا بشكل صارم وفقًا لتعليمات العميل. الاستخدام غير المصرح به للبيانات ليس غير قانوني فحسب، بل هو أيضًا مستحيل من الناحية الفنية - لأن NHS نفذت تحكمًا محسنًا في الوصول".