Национальная служба здравоохранения предоставит подрядчикам Palantir «неограниченный доступ» к данным пациентов

Национальная служба здравоохранения Англии предоставила внешним сотрудникам компаний, включая Palantir, неограниченный доступ к идентифицируемым данным пациентов во время работы над некоторыми модулями своей флагманской платформы данных. Внутренний брифинг показал, что в нем задействован Национальный арендатор интеграции данных (NDIT) — модуль, определяемый как «хранилище данных» для данных до того, как они будут «псевдонимизированы» и переданы в другие системы.

NDIT является частью Федеративной платформы данных (FDP). FDP стремится объединить разрозненные данные Национальной службы здравоохранения в единую систему; в 2023 году Palantir выиграла контракт на строительство платформы на сумму 330 миллионов фунтов стерлингов.

Согласно плану, Национальная служба здравоохранения Англии согласилась создать должность «администратора». В кратком описании признается, что эта роль «позволяет сотрудникам, не являющимся сотрудниками Национальной службы здравоохранения Англии, иметь неограниченный доступ к NDIT и хранимой в нем идентифицируемой информации о пациентах».

Помимо сотрудников Palantir такой доступ могут также получить сотрудники консалтинговых фирм, участвующих в проектах FDP.

Этот шаг является существенным отходом от нынешней практики: раньше любой, кому требовался доступ к NDIT, должен был подать заявку на получение явных разрешений на доступ к конкретным наборам данных.

В информационной записке, написанной старшими сотрудниками Национальной службы здравоохранения в апреле, признается, что предоставление более широких разрешений может привести к потере доверия общественности к «защите данных пациентов, надлежащему использованию данных и контролю доступа».

Первоначально полный доступ будет доступен только внутренним сотрудникам Национальной службы здравоохранения Англии, прошедшим допуск службы безопасности. Но в обзоре отмечается, что внешние сотрудники также запросили те же разрешения, потому что «было бы слишком обременительно подавать заявку на каждое из необходимых независимых разрешений на доступ к данным (CDA) одно за другим».

В брифинге добавляется: «Эта проблема касается не только Palantir, поэтому мы называем его «сотрудником, не входящим в Национальную службу здравоохранения Англии». Однако в настоящее время существует повышенная обеспокоенность общественности и обеспокоенность по поводу степени доступа Palantir и ее сотрудников к данным пациентов».

В брифинге предлагается установить ограничение на количество внешних администраторов, имеющих доступ к NDIT, и что разрешения должны быть действительны в течение ограниченного времени и регулярно пересматриваться.

Официальные лица подтвердили, что предложение было недавно одобрено, но подчеркнули, что такие разрешения будут предоставлены лишь очень небольшому числу сотрудников, не являющихся сотрудниками Национальной службы здравоохранения.

Мартин Ригли, член Комитета по технологиям Либерально-демократической партии Палаты общин, заявил: «Такое небрежное отношение к безопасности данных показывает, что весь проект СвДП не был разработан с учетом безопасности. У общественности есть основания беспокоиться о том, что конфиденциальность данных не рассматривается в качестве основного фактора».

Национальная служба здравоохранения Англии пообещала выполнить пять «обязательств по предоставлению данных», включая раскрытие личностей посетителей данных и содержания их посещений.

«Точное знание того, кто имел доступ к тем или иным идентифицируемым данным пациентов в любое время, является основным приоритетом», — предупреждает об этом обязательстве в информационной записке. «Чем более открытый доступ, тем труднее достичь этой цели».

Представитель NHS England ответил: «NHS установила строгую политику управления доступом к данным пациентов и проводит регулярные проверки для обеспечения соблюдения требований, включая надзор за работой инженеров, которые помогают создать центральную платформу сбора данных. Эта платформа используется для отслеживания операционной эффективности NHS и оптимизации услуг по диагностике и лечению пациентов. Весь внешний персонал доступа должен пройти проверку государственной безопасности и быть одобрен директорами NHS England и выше».

Участие Palantir в создании FDP становится все более спорным из-за длительного опыта работы компании в сфере обороны США и иммиграционного законодательства.

Ее соучредитель и генеральный директор Алекс Карп является публичным сторонником Дональда Трампа; некоторые сотрудники Национальной службы здравоохранения отказались участвовать в проекте СвДП из-за этических опасений по поводу компании.

Сторонники FDP хвалят его способность интегрировать оперативные данные, такие как списки ожидания и расписания операционных, чтобы помочь улучшить диагностику и лечение пациентов.

Представитель Palantir заявил: «Согласно положениям законодательства, мы являемся всего лишь «обработчиком данных» для Национальной службы здравоохранения и всех клиентов, а клиенты являются «контролерами данных». Это означает, что программное обеспечение Palantir может обрабатывать данные только в строгом соответствии с инструкциями клиента. Несанкционированное использование данных не только незаконно, но и технически невозможно, поскольку Национальная служба здравоохранения внедрила усовершенствованный контроль доступа».