Chodzi o system informacji medycznej P1. Przechowywane są w nim dane o każdym leku na receptę wydanym w polskiej aptece. To największy system informatyczny obsługujący e-usługi dla obywateli w Europie Środkowo-Wschodniej. Na podstawie zawartych w nim informacji można ustalić, czy ktoś choruje na serce, czy ma demencję, a nawet czy ma w rodzinie lekarza.

W zeszłym tygodniu opisaliśmy nową aplikację stworzoną przez Gemini Apps, spółkę celową z grupy Gemini, która jest właścicielką jednej z największych sieci aptek w Polsce. Eksperci wskazywali, że mają wątpliwości co do legalności jej działania (więcej: „E-recepta w służbie sieci aptek”, DGP z 23 czerwca 2020 r.). Tych wątpliwości nabrali również rządowi analitycy. Właściciel aplikacji nie ma bowiem certyfikatu uprawniającego go do pobierania danych z systemu P1. Takie mają apteki należące do Gemini, ale niedozwolone według resortu jest posługiwanie się nimi na potrzeby działania aplikacji. Z ustaleń resortu zdrowia wynika zaś, iż na potrzeby działania aplikacji Gemini nie dość, że doszło do posłużenia się czyimś certyfikatem (jednej z gdańskich aptek), to jeszcze pobrane z państwowej bazy dane trafiły bezpośrednio do chmury Amazona. W efekcie w nieuprawniony sposób dane medyczne Polaków znalazły się bezpośrednio na serwerach amerykańskiej korporacji.

– Nie można mówić o wycieku danych z systemu Ministerstwa Zdrowia. To apteka z grupy Gemini nadużyła zaufania pacjentów. Nasza reakcja, gdy tylko dowiedzieliśmy się o sprawie, była błyskawiczna – mówi Janusz Cieszyński, wiceminister zdrowia. I dodaje, że zadaniem śledczych będzie wyjaśnienie tego, kto konkretnie odpowiada za nielegalny proceder – czy szefowie spółki, czy też kierowniczka lokalnej apteki, z której wychodziły żądania udostępnienia danych medycznych o pacjentach. Sama spółka w przesłanym nam oświadczeniu dowodzi, że nie ma sobie nic do zarzucenia. Twierdzi, że danych z P1 nie pobierała (i to prawda, bo robiła to za nią jedna z aptek spółki siostry).

Zdaniem Ministerstwa Zdrowia mogło dojść do wielu przestępstw. Sprawą zajmie się więc prokuratura oraz specjalna jednostka ds. walki z cyberprzestępczością w Komendzie Głównej Policji. Urząd Ochrony Danych Osobowych poinformował nas, że jego prezes „bardzo zainteresował się” sprawą. Rzeczniczka głównego inspektora farmaceutycznego z kolei zapowiada, że jakkolwiek teraz piłka jest po stronie inspektorów wojewódzkich, to najważniejszy urzędnik ds. leków w Polsce będzie wszelkie ich działania nadzorował.

Niezależni eksperci zaś uważają, że mamy właśnie do czynienia z największym skandalem na polskim rynku farmaceutycznym od lat.

(Nie)uprawniony dostęp

Równo tydzień temu napisaliśmy, że sieć Gemini, mająca prawie 200 placówek w całej Polsce, chce przetwarzać dane medyczne z e-recept dzięki specjalnej aplikacji. Naczelna Izba Aptekarska była tymi planami oburzona. Uznała bowiem, że sieć będzie mogła w ten sposób np. dowiedzieć się, kto leczy się na depresję, ma demencję, problemy z potencją, niedawno poronił albo jest śmiertelnie chory. Na podstawie danych z wielu recept stworzy zaś wirtualną kopię pacjenta, która na rynku jest bezcenna dla firm ubezpieczeniowych czy banków. Gemini w oświadczeniu wydanym po naszym tekście przekonywała, że postępuje zgodnie z prawem. I – co kluczowe – profilowani są wyłącznie ci pacjenci, którzy wyrażą na to uprzednio zgodę.

źródło: DGP

Szkopuł w tym, że aby w ogóle mieć co profilować, trzeba najpierw pozyskać dane. Te pochodzą z państwowego rejestru P1. To bodaj najpilniej strzeżona baza w całej Polsce. Zawiera dane medyczne o niemal wszystkich Polakach. Dostęp do niej – i to w ograniczonym zakresie – mają jedynie apteki. Administrator aplikacji Gemini, spółka Gemini Apps, zaś apteką nie jest. Jakim sposobem więc pozyskiwała dane? Otóż okazuje się – sprawdzili to analitycy Centrum Systemów Informacyjnych Ochrony Zdrowia – że robiła to niejako na jej rzecz lokalna gdańska apteka należąca do innej spółki z grupy Gemini. A dane medyczne o pacjentach, pozyskane z państwowego rejestru, lądowały od razu na zagranicznych serwerach – w chmurze dostarczanej przez Amazona. W ocenie Ministerstwa Zdrowia taka praktyka jest przestępcza. Dostęp do danych uzyskały bowiem podmioty do tego nieuprawnione. A Gemini Apps, dzięki danym zdobytym z systemu P1, ma możliwość profilowania klientów. Państwowy rejestr zaś nigdy nie miał służyć takim komercyjnym celom. Jednocześnie – co istotne – nic nie wskazuje na to, by o praktykach tych wiedział Amazon. Zdaniem ekspertów ds. nowoczesnych technologii, z którymi się skonsultowaliśmy, wiele wskazuje na to, że z punktu widzenia Amazona sytuację można by porównać do przypadku, gdyby ktoś przechowywał w jego chmurze pirackie wersje programów komputerowych – ewentualna odpowiedzialność zależałaby od tego, czy dostawca chmury był świadomy, że nielegalnie przetwarzał dane.

Mydlenie oczu pacjentom

Eksperci, których poprosiliśmy o komentarz, są zbulwersowani ustaleniami Ministerstwa Zdrowia poczynionymi po naszym tekście.

– Mamy do czynienia ze złamaniem wielu przepisów odnoszących się do przestępstw komputerowych. Działanie można oceniać również jako przestępstwo ścigane z urzędu na podstawie art. 107 ustawy o ochronie danych osobowych – uważa radca prawny Andrzej Lewiński, zastępca GIODO w latach 2006–2016, teraz prezes Fundacji im. Józefa Wybickiego oraz przewodniczący Komitetu ds. Ochrony Danych Osobowych Krajowej Izby Gospodarczej. I podkreśla, że dobrze się stało, iż resort zdrowia niezwłocznie podjął działania w tej sprawie.

– Dane medyczne muszą być bezwzględnie bezpieczne. A cała sytuacja pokazuje, że nawet najlepiej zabezpieczony system może zostać złamany, jeżeli pojawią się osoby uprawnione, które – wiedzione najpewniej korzyściami majątkowymi – przekażą dane zewnętrznemu podmiotowi. Taka osoba powinna zostać odpowiednio ukarana. Postępowanie powinno też objąć całą sieć aptek, aby sprawdzić, czy o sprawie wiedziało kierownictwo – twierdzi mec. Lewiński.

Doktor Dobrawa Biadun, radca prawny i specjalistka od prawa medycznego, zwraca uwagę, że zasady dostępu do systemu P1 są wprost określone w przepisach. Dostęp ten przysługuje pracownikom medycznych, do których zalicza się także aptekarzy.

– To absolutnie niedopuszczalna sytuacja, żeby podmiot uprawniony przekazywał dane medyczne podmiotom komercyjnym. Odpowiedzialność za takie działanie w pierwszej kolejności ponosi osoba mająca dostęp do systemu P1. Dlatego dziwi mnie, że farmaceuta – osoba wykonująca zawód zaufania publicznego – zezwala na korzystanie ze swojego certyfikatu w sposób zautomatyzowany, nawet po godzinach otwarcia apteki – zauważa dr Biadun. I dodaje, że teraz czas na wykazanie się przez inspekcję farmaceutyczną, policję oraz UODO.

– Organy powinny pokazać, że istnieje dotkliwa odpowiedzialność za nielegalne operacje przeprowadzane na danych medycznych Polaków i że niedopuszczalne jest wykorzystywanie ważnego systemu państwowego do własnych interesów. Nawet jeśli organy ostatecznie wykażą, że do naruszenia nie doszło – to jednak muszą pokazać obywatelom, że stoją na straży ich danych wrażliwych i że można ufać systemom takim jak P1 – twierdzi prawniczka.

Oburzenia nie kryje również mgr farm. Piotr Rykowski, ekspert w zakresie rynku medycznego, przymierzany niedawno przez media do stanowiska głównego inspektora farmaceutycznego. Zaznacza, że dane z systemu P1 są szczególnie wrażliwe i nie powinny być udostępniane nikomu, kto nie jest wymieniony w przepisach prawa farmaceutycznego. Bo zawarte tam informacje to w praktyce encyklopedia wiedzy o pacjentach i trzeba ich strzec jak oka w głowie. Rykowski nie ma wątpliwości, że podmioty prywatne mogą coraz bardziej interesować się przetwarzaniem danych medycznych.

– Poprawianie funkcjonowania aplikacji to najprawdopodobniej mydlenie oczu pacjentom. Chodzi o zwiększanie sprzedaży leków, proponowanie nowych produktów i usług oraz profilowanie użytkowników. Możliwe jest również, że podmioty zaczną oferować np. pakiety medyczne lub ubezpieczeniowe – uważa fachowiec.