اختراق بيانات آلاف المرضى في المملكة المتحدة

علمت صحيفة "اندبندنت" أن بيانات خاصة بآلاف المرضى المسجلين لدى مرافق هيئة الخدمات الصحية الوطنية NHS في المملكة المتحدة، سُربت عن طريق الخطأ إلى جهات ثالثة، بما في ذلك إحدى الحالات التي تم الكشف فيها عن إصابة شخص بـ"فيروس نقص المناعة البشرية" HIV.

ومن الأمثلة على هذه الانتهاكات، ظهور بعض الغرباء عند عتبة منزل إحدى النساء، لإبلاغها بأن ثمة تفاصيل خاصة بها، بما فيها عنوان سكنها، قد أُرسلت عن طريق الخطأ إلى مرضى آخرين.

وفي بعض الحالات، اضطرت هيئة "الخدمات الصحية الوطنية" إلى دفع آلاف الجنيهات الإسترلينية على شكل تعويضات، بسبب أخطاء مماثلة، خصوصاً بعد ما سُلط الضوء عليها، الأمر الذي من شأنه أن يزعزع الثقة في قدرة النظام الصحي البريطاني على التعامل بمسؤولية مع بيانات المرضى.

وتؤكد آخر الإحصاءات الصادرة عن "مكتب مفوض المعلومات" Information Commissioner’s Office (ICO)  (يعنى بحماية المعلومات وبالحفاظ على خصوصية بيانات الأفراد) أنه أُبلغ عن وقوع3,557  انتهاكاً للبيانات الشخصية عبر قطاع الصحة، معظمها ضمن مؤسسات هيئة "الخدمات الصحية الوطنية"، وذلك في فترة العامين الأخيرين حتى الحادي والثلاثين من مارس (آذار) هذه السنة.

تجدر الإشارة إلى أنه ليس هناك بند إلزامي يحتم الإبلاغ عن جميع الخروقات التي تطال بيانات المرضى، وبالتالي يرجح أن يكون عددها الإجمالي أعلى من ذلك بكثير.

وفي الوقت نفسه، اضطرت الحكومة البريطانية إلى تعليق العمل بخطة رئيسة تقضي بمشاركة السجلات الطبية لنحو 55 مليون مريض، بعد جمع الملفات الموجودة لدى عيادات الأطباء العامين في البلاد، ضمن قاعدة بيانات واحدة، وجعلها متاحة للمنظمات الخاصة التي تعنى بالأبحاث والمجالات المتصلة بالقطاع الصحي.

وزير الصحة في حكومة الظل "العمالية" أليكس نوريس، رأى أن "الاستخدام الصحيح لبيانات ’الخدمات الصحية الوطنية‘ يمكن أن يؤدي إلى تحسين الرعاية الصحية وتحقيق المنفعة للمرضى، لكن في غياب الضمانات المناسبة، يمكن لذلك أيضاً أن يلحق الضرر بهم. إن هذه الانتهاكات مثيرة للقلق، وتظهر تحديداً السبب الكامن وراء أهمية تأخير مشروع "بيانات الأطباء العامين للتخطيط والأبحاث" General Practice Data for Planning and Research (GP DPR)، بدلاً من التعجيل في إنجازه".

وأضاف نوريس: "يتعين الآن على الحكومة ومركز المعلومات "أن أتش أس ديجيتال" NHS Digital (المزود الوطني بأنظمة تكنولوجيا المعلومات للعاملين في مجال الرعاية الصحية والاجتماعية والباحثين في إنجلترا) أن يستغلا هذا الوقت الإضافي بحكمة، من أجل التشاور مع الناس، والتصرف بناءً على الدروس المستخلصة. ويجب أن يكون المرضى على ثقة، من أن الذين يقومون بمشاركة بياناتهم مع أطراف أخرى، هم ملمون كلياً بتفاصيل هذه العملية، بما في ذلك تحديد الجهة التي يمكنها الوصول إلى تلك المعلومات. إضافة إلى ذلك، يحق لهم الاطمئنان إلى أن سجلاتهم محفوظة بشكل آمن، ولا يتم سحب أي بيانات حساسة وتبادلها على نحو لا رجعة فيه مع مؤسسات لا علاقة لها بها".

وقد سجلت في الفترة الممتدة ما بين أبريل (نيسان) عام 2019، ومارس (آذار) من السنة الجارية، 866 حالة، تم فيها إرسال بيانات شخصية عبر البريد الإلكتروني، أو سلمت باليد إلى الشخص الخطأ. ومن بين الأخطاء الأخرى، فقدت مستندات أو أجهزة كألواح الكمبيوتر المحمولة. وفي مناسبات أخرى، كشف موظفون شفهياً عن معلومات غير صحيحة، وفي 12 حالة عُدلت بيانات عمداً من دون أخذ الموافقة المطلوبة.

واستناداً إلى "مكتب مفوض المعلومات"، فقد حصل المزيد من الخروقات للبيانات على امتداد القطاع الصحي خلال عامي 2019 و2020، أكثر من أي من قطاعات عامة وخاصة وخيرية أخرى دُقق فيها. وشملت المخالفات 456 حالة أُرسل فيها بيانات المريض إلى المستلم الخطأ، و225 حالة أخرى تمت فيها إما سرقة المعلومات الخاصة، أو فقدانها، أو وضعها في مكان غير آمن.

وقد فتح المكتب في سبتمبر (أيلول) من عام 2019، تحقيقاً في اختراق كبير لبيانات مستشفى "مؤسسة رايتينغتون وويغان ولاي أن أتش أس" Wrightington, Wigan and Leigh NHS Foundation  في الشمال الغربي للبلاد، التابع لهيئة "الخدمات الصحية الوطنية"، بعد ما جرى الدخول إلى بيانات أكثر من ألفي مريض عن طريق الخطأ.

وتردد أن عدداً من الموظفين في المستشفى تمكنوا من الدخول إلى سجلات المرضى من دون الحصول على إذن بذلك. وتلقى أحد المرضى، الذي يمثله مكتب المحاماة "جي أم دبليو سوليسيترز" JMW Solicitors، تعويضاً بقيمة 3 آلاف جنيه إسترليني (4,140 دولاراً أميركياً). كما حصل مريض آخر على تعويض بنحو ألفي جنيه إسترليني (2,760 دولاراً أميركياً) بعد ما تم عن غير قصد، إرفاق مستندات خروجه من المستشفى- بما فيها تفاصيل حالته المرضية وعلاجاته وأدويته- مع أوراق مرسلة إلى شخص آخر.

وشملت الحالات الأخرى الكشف من جانب طبيب عام عن معلومات طبية سرية تتعلق بامرأة أمام شريكها السابق، من دون أخذ موافقتها، بعد ما طلب شريكها نسخاً عن السجلات الصحية لطفلها.

وقدمت شكوى أخرى على عيادة طبيب عام انتهت بحصول مريض على تعويض بقيمة 10 آلاف جنيه إسترليني (13,800 دولار)، بعد ما تم كشف عرض عن تفاصيل طبية خاصة به، بما فيها إصابته بـ"فيروس نقص المناعة البشرية" HIV.

وأكدت المحامية الشريكة لورا ويلكينسون أن مؤسستها شهدت ارتفاعاً في عدد قضايا اختراق البيانات المتعلقة بالصحة في العام الماضي بمقدار ثلاثة أضعاف، وأنها كانت تتعامل على الأقل مع حالة جديدة إضافية، كل أسبوع. وتقول في هذا الإطار إن "هذه الأخطاء غالباً ما تكون لها عواقب وخيمة على الأشخاص المتضررين. فالمرضى الذين عادةً ما يتوجهون إلى عيادة طبيب أو مستشفى أو مرفق صحي، يعتبرون في قرارة أنفسهم، أن التعامل مع بياناتهم الحساسة على نحو صحيح، هو أمر مسلم به".

وتوضح أنه "منذ إقرار "النظام العام لحماية البيانات" General Data Protection Regulation (GDPR)  في عام 2018، تم تذكير كل منظمة تعمل في القطاعين العام والخاص وفي المجال الخيري، بمسؤولياتها في ما يتعلق بالتعامل مع مثل هذه البيانات الشخصية. ومع ذلك، توضح إحصاءات "مكتب مفوض المعلومات" أنه ما زال يحدث يومياً كثير من الانتهاكات المباشرة نسبياً التي تتعلق ببيانات المرضى".

يشار إلى أن بموجب أحكام "النظام العام لحماية البيانات"، يتعين على المؤسسات التي تحتفظ ببيانات خاصة، أن تضمن حمايتها من أي "استخدام غير مصرح به أو غير قانوني، وتحول دون تعرضها للفقدان العرضي أو التلف أو الضرر". وقد يؤدي عدم الامتثال لذلك إلى فرض غرامات مالية كبيرة على المؤسسة المعنية، وحتى إلى ملاحقتها جنائياً.

ويؤكد فيل بوث من مؤسسة "ميد كونفيدانشيل" MedConfidential، وهي منظمة تقوم بحملات من أجل تحسين الحفاظ على سرية بيانات المرضى وأمنها، لصحيفة "اندبندنت"، أن هذه الإحصاءات والأرقام لم تكن مفاجئة.

ويضيف أن "نظام هيئة ’الخدمات الصحية الوطنية‘ سيظل دائماً في وضع حرج من هذه الناحية. وإذا كانت الحكومة راغبةً في الحصول على طريقة أكثر أماناً لنقل البيانات الطبية، بدلاً من التركيز على جمعها من أجل مختلف هذه الاستخدامات، فيتعين عليها القيام بما كنا ننادي به منذ عقود، وهو ضمان تدفق رقمي للبيانات بطريقة آمنة، عبر المسار الشبكي الكامل لقطاع الرعاية الصحية، حتى النهاية".

ورأى بوث أنه ينبغي أن تكون لدى هذه الأنظمة مسارات تدقيق للتعقب وتحديد هوية الفرد الذي يحاول الوصول إلى بيانات المرضى، مشيراً إلى أنه ينبغي أيضاً ضمان أن تكون هناك نسخة أخرى مماثلة متاحة للمرضى، كي يكون في مستطاعهم هم أيضاً معرفة من يقوم بالاطلاع على ملفاتهم. 

وأشار إلى أن "الخطر الرئيس الذي ينطوي عليه برنامج بيانات الأطباء العامين هو أنه يزعزع الثقة"، مضيفاً أن الخروقات الـ3,500 تشكل قطرة في المحيط. وقال إن "أخذ كل ما تم ائتمانك عليه من معلومات والقيام ببيعه للناس، هو ما يقوض الثقة".

ولفت المسؤول في مؤسسة "ميد كونفيدانشيل" إلى أن نظم البحوث الآمنة المعتمدة في الوقت الراهن التي يتاح فيها لبعض المنظمات الوصول إلى البيانات الشخصية لغرض استخدامها في أبحاثها الخاصة، من دون أن تكون لديها صلاحية نسخها، تشكل نهجاً أفضل من القيام بتسليم البيانات.

وفي منحى متصل، أثارت خطة تبادل ملايين السجلات الطبية الموجودة في عيادات الأطباء العامين، مع عدد من المنظمات الخاصة والباحثين، احتجاجاً عارماً عندما كُشف عنها في وقت سابق من هذه السنة.

ويتضمن مشروع "بيانات الأطباء العامين للتخطيط والأبحاث" GP DPR الذي تقوده هيئة "أن أتش أس ديجيتال"، خططاً لتبادل المعلومات الخاصة بالمرضى والمتعلقة بوضعهم الطبي وأدويتهم، والعلاجات التي يخضعون لها، إضافة إلى بيانات مرتبطة بجنسهم وعرقهم.

حزب "العمال" المعارض الذي حض الحكومة على وقف طرح المشروع، وصف تلك الخطط بأنها "مثيرة للقلق الشديد". أما "الجمعية الطبية البريطانية" British Medical Association (BMA) (تدعم الجهاز المهني للأطباء وطلاب الطب في المملكة المتحدة) فاعتبرت أن تفسير الحكومة للخطة كان "غير كاف تماماً، الأمر الذي يسبب إرباكاً للمرضى والأطباء على حد سواء".

وقد تم الآن إيقاف الخطة مؤقتاً حتى سبتمبر (أيلول) المقبل، لكن بعض الأطباء العامين قالوا إنهم سيعملون على عدم تبادل أي بيانات تتعلق بجميع مرضاهم. أما مركز "أن أتش أس ديجيتال" فاكد أن هذه البيانات لن تستخدم لأغراض تجارية، في حين أفاد باحثون أن الوصول إلى مثل هذه البيانات الطبية الخاصة بالسكان عموماً، يمكن أن يساعد في إحداث ثورة في مجال الأبحاث وتعزيز مستويات الرعاية الصحية.