Zdaniem Ministerstwa Zdrowia mogło dojść do wielu przestępstw. Sprawą zajmie się więc prokuratura oraz specjalna jednostka ds. walki z cyberprzestępczością w Komendzie Głównej Policji. Urząd Ochrony Danych Osobowych poinformował nas, że jego prezes "bardzo zainteresował się” sprawą. Rzeczniczka głównego inspektora farmaceutycznego z kolei zapowiada, że jakkolwiek teraz piłka jest po stronie inspektorów wojewódzkich, to najważniejszy urzędnik ds. leków w Polsce będzie wszelkie ich działania nadzorował.

Niezależni eksperci zaś uważają, że mamy właśnie do czynienia z największym skandalem na polskim rynku farmaceutycznym od lat.

(Nie)uprawniony dostęp

Równo tydzień temu napisaliśmy, że sieć Gemini, mająca prawie 200 placówek w całej Polsce, chce przetwarzać dane medyczne z e-recept dzięki specjalnej aplikacji. Naczelna Izba Aptekarska była tymi planami oburzona. Uznała bowiem, że sieć będzie mogła w ten sposób np. dowiedzieć się, kto leczy się na depresję, ma demencję, problemy z potencją, niedawno poronił albo jest śmiertelnie chory. Na podstawie danych z wielu recept stworzy zaś wirtualną kopię pacjenta, która na rynku jest bezcenna dla firm ubezpieczeniowych czy banków. Gemini w oświadczeniu wydanym po naszym tekście przekonywała, że postępuje zgodnie z prawem. I – co kluczowe – profilowani są wyłącznie ci pacjenci, którzy wyrażą na to uprzednio zgodę.

Szkopuł w tym, że aby w ogóle mieć co profilować, trzeba najpierw pozyskać dane. Te pochodzą z państwowego rejestru P1. To bodaj najpilniej strzeżona baza w całej Polsce. Zawiera dane medyczne o niemal wszystkich Polakach. Dostęp do niej – i to w ograniczonym zakresie – mają jedynie apteki. Administrator aplikacji Gemini, spółka Gemini Apps, zaś apteką nie jest. Jakim sposobem więc pozyskiwała dane? Otóż okazuje się – sprawdzili to analitycy Centrum Systemów Informacyjnych Ochrony Zdrowia – że robiła to niejako na jej rzecz lokalna gdańska apteka należąca do innej spółki z grupy Gemini. A dane medyczne o pacjentach, pozyskane z państwowego rejestru, lądowały od razu na zagranicznych serwerach – w chmurze dostarczanej przez Amazona. W ocenie Ministerstwa Zdrowia taka praktyka jest przestępcza. Dostęp do danych uzyskały bowiem podmioty do tego nieuprawnione. A Gemini Apps, dzięki danym zdobytym z systemu P1, ma możliwość profilowania klientów. Państwowy rejestr zaś nigdy nie miał służyć takim komercyjnym celom. Jednocześnie – co istotne – nic nie wskazuje na to, by o praktykach tych wiedział Amazon. Zdaniem ekspertów ds. nowoczesnych technologii, z którymi się skonsultowaliśmy, wiele wskazuje na to, że z punktu widzenia Amazona sytuację można by porównać do przypadku, gdyby ktoś przechowywał w jego chmurze pirackie wersje programów komputerowych – ewentualna odpowiedzialność zależałaby od tego, czy dostawca chmury był świadomy, że nielegalnie przetwarzał dane.

Mydlenie oczu pacjentom

Eksperci, których poprosiliśmy o komentarz, są zbulwersowani ustaleniami Ministerstwa Zdrowia poczynionymi po naszym tekście.

Mamy do czynienia ze złamaniem wielu przepisów odnoszących się do przestępstw komputerowych. Działanie można oceniać również jako przestępstwo ścigane z urzędu na podstawie art. 107 ustawy o ochronie danych osobowych – uważa radca prawny Andrzej Lewiński, zastępca GIODO w latach 2006–2016, teraz prezes Fundacji im. Józefa Wybickiego oraz przewodniczący Komitetu ds. Ochrony Danych Osobowych Krajowej Izby Gospodarczej. I podkreśla, że dobrze się stało, iż resort zdrowia niezwłocznie podjął działania w tej sprawie.

Dane medyczne muszą być bezwzględnie bezpieczne. A cała sytuacja pokazuje, że nawet najlepiej zabezpieczony system może zostać złamany, jeżeli pojawią się osoby uprawnione, które – wiedzione najpewniej korzyściami majątkowymi – przekażą dane zewnętrznemu podmiotowi. Taka osoba powinna zostać odpowiednio ukarana. Postępowanie powinno też objąć całą sieć aptek, aby sprawdzić, czy o sprawie wiedziało kierownictwo – twierdzi mec. Lewiński.

Doktor Dobrawa Biadun, radca prawny i specjalistka od prawa medycznego, zwraca uwagę, że zasady dostępu do systemu P1 są wprost określone w przepisach. Dostęp ten przysługuje pracownikom medycznych, do których zalicza się także aptekarzy.

To absolutnie niedopuszczalna sytuacja, żeby podmiot uprawniony przekazywał dane medyczne podmiotom komercyjnym. Odpowiedzialność za takie działanie w pierwszej kolejności ponosi osoba mająca dostęp do systemu P1. Dlatego dziwi mnie, że farmaceuta – osoba wykonująca zawód zaufania publicznego – zezwala na korzystanie ze swojego certyfikatu w sposób zautomatyzowany, nawet po godzinach otwarcia apteki – zauważa dr Biadun. I dodaje, że teraz czas na wykazanie się przez inspekcję farmaceutyczną, policję oraz UODO.

Organy powinny pokazać, że istnieje dotkliwa odpowiedzialność za nielegalne operacje przeprowadzane na danych medycznych Polaków i że niedopuszczalne jest wykorzystywanie ważnego systemu państwowego do własnych interesów. Nawet jeśli organy ostatecznie wykażą, że do naruszenia nie doszło – to jednak muszą pokazać obywatelom, że stoją na straży ich danych wrażliwych i że można ufać systemom takim jak P1 – twierdzi prawniczka.

Oburzenia nie kryje również mgr farm. Piotr Rykowski, ekspert w zakresie rynku medycznego, przymierzany niedawno przez media do stanowiska głównego inspektora farmaceutycznego. Zaznacza, że dane z systemu P1 są szczególnie wrażliwe i nie powinny być udostępniane nikomu, kto nie jest wymieniony w przepisach prawa farmaceutycznego. Bo zawarte tam informacje to w praktyce encyklopedia wiedzy o pacjentach i trzeba ich strzec jak oka w głowie. Rykowski nie ma wątpliwości, że podmioty prywatne mogą coraz bardziej interesować się przetwarzaniem danych medycznych.

Poprawianie funkcjonowania aplikacji to najprawdopodobniej mydlenie oczu pacjentom. Chodzi o zwiększanie sprzedaży leków, proponowanie nowych produktów i usług oraz profilowanie użytkowników. Możliwe jest również, że podmioty zaczną oferować np. pakiety medyczne lub ubezpieczeniowe – uważa fachowiec.

