Zdaniem Ministerstwa Zdrowia mogło dojść do wielu przestępstw. Sprawą zajmie się więc prokuratura oraz specjalna jednostka ds. walki z cyberprzestępczością w Komendzie Głównej Policji. Urząd Ochrony Danych Osobowych poinformował nas, że jego prezes "bardzo zainteresował się” sprawą. Rzeczniczka głównego inspektora farmaceutycznego z kolei zapowiada, że jakkolwiek teraz piłka jest po stronie inspektorów wojewódzkich, to najważniejszy urzędnik ds. leków w Polsce będzie wszelkie ich działania nadzorował.
Niezależni eksperci zaś uważają, że mamy właśnie do czynienia z największym skandalem na polskim rynku farmaceutycznym od lat.
(Nie)uprawniony dostęp
Równo tydzień temu napisaliśmy, że sieć Gemini, mająca prawie 200 placówek w całej Polsce, chce przetwarzać dane medyczne z e-recept dzięki specjalnej aplikacji. Naczelna Izba Aptekarska była tymi planami oburzona. Uznała bowiem, że sieć będzie mogła w ten sposób np. dowiedzieć się, kto leczy się na depresję, ma demencję, problemy z potencją, niedawno poronił albo jest śmiertelnie chory. Na podstawie danych z wielu recept stworzy zaś wirtualną kopię pacjenta, która na rynku jest bezcenna dla firm ubezpieczeniowych czy banków. Gemini w oświadczeniu wydanym po naszym tekście przekonywała, że postępuje zgodnie z prawem. I – co kluczowe – profilowani są wyłącznie ci pacjenci, którzy wyrażą na to uprzednio zgodę.
Szkopuł w tym, że aby w ogóle mieć co profilować, trzeba najpierw pozyskać dane. Te pochodzą z państwowego rejestru P1. To bodaj najpilniej strzeżona baza w całej Polsce. Zawiera dane medyczne o niemal wszystkich Polakach. Dostęp do niej – i to w ograniczonym zakresie – mają jedynie apteki. Administrator aplikacji Gemini, spółka Gemini Apps, zaś apteką nie jest. Jakim sposobem więc pozyskiwała dane? Otóż okazuje się – sprawdzili to analitycy Centrum Systemów Informacyjnych Ochrony Zdrowia – że robiła to niejako na jej rzecz lokalna gdańska apteka należąca do innej spółki z grupy Gemini. A dane medyczne o pacjentach, pozyskane z państwowego rejestru, lądowały od razu na zagranicznych serwerach – w chmurze dostarczanej przez Amazona. W ocenie Ministerstwa Zdrowia taka praktyka jest przestępcza. Dostęp do danych uzyskały bowiem podmioty do tego nieuprawnione. A Gemini Apps, dzięki danym zdobytym z systemu P1, ma możliwość profilowania klientów. Państwowy rejestr zaś nigdy nie miał służyć takim komercyjnym celom. Jednocześnie – co istotne – nic nie wskazuje na to, by o praktykach tych wiedział Amazon. Zdaniem ekspertów ds. nowoczesnych technologii, z którymi się skonsultowaliśmy, wiele wskazuje na to, że z punktu widzenia Amazona sytuację można by porównać do przypadku, gdyby ktoś przechowywał w jego chmurze pirackie wersje programów komputerowych – ewentualna odpowiedzialność zależałaby od tego, czy dostawca chmury był świadomy, że nielegalnie przetwarzał dane.
Mydlenie oczu pacjentom
Eksperci, których poprosiliśmy o komentarz, są zbulwersowani ustaleniami Ministerstwa Zdrowia poczynionymi po naszym tekście.
– uważa radca prawny Andrzej Lewiński, zastępca GIODO w latach 2006–2016, teraz prezes Fundacji im. Józefa Wybickiego oraz przewodniczący Komitetu ds. Ochrony Danych Osobowych Krajowej Izby Gospodarczej. I podkreśla, że dobrze się stało, iż resort zdrowia niezwłocznie podjął działania w tej sprawie.
– twierdzi mec. Lewiński.
Doktor Dobrawa Biadun, radca prawny i specjalistka od prawa medycznego, zwraca uwagę, że zasady dostępu do systemu P1 są wprost określone w przepisach. Dostęp ten przysługuje pracownikom medycznych, do których zalicza się także aptekarzy.
– zauważa dr Biadun. I dodaje, że teraz czas na wykazanie się przez inspekcję farmaceutyczną, policję oraz UODO.
– twierdzi prawniczka.
Oburzenia nie kryje również mgr farm. Piotr Rykowski, ekspert w zakresie rynku medycznego, przymierzany niedawno przez media do stanowiska głównego inspektora farmaceutycznego. Zaznacza, że dane z systemu P1 są szczególnie wrażliwe i nie powinny być udostępniane nikomu, kto nie jest wymieniony w przepisach prawa farmaceutycznego. Bo zawarte tam informacje to w praktyce encyklopedia wiedzy o pacjentach i trzeba ich strzec jak oka w głowie. Rykowski nie ma wątpliwości, że podmioty prywatne mogą coraz bardziej interesować się przetwarzaniem danych medycznych.
– uważa fachowiec.
OŚWIADCZENIA
