Cyfrowa medycyna: potrzebna, lecz niezbyt zdrowa dla prywatności

Kiedy myślimy o cyfryzacji opieki zdrowotnej, na pierwszy rzut wysuwa się ciekawe spostrzeżenie - oto nikt nie kwestionuje tego, że jej cyfryzacja jest w ogóle potrzebna. Rozwiązania cyfrowe przyjmujemy dziś jako oczywistą oczywistość, upatrując w nich narzędzi do niwelowania nierówności społecznych i zwiększania dostępności usług zdrowotnych.

Wraz z brakiem pytań o to, czy gwałtowna cyfryzacja jest aby na pewno potrzebna we wszystkich obszarach, w których się pojawia, istnieje również brak refleksji nad tym, jak rozwiązania powinny być wdrażane - zupełnie tak, jakby świadomość istotności danych medycznych zniknęła (bądź też nigdy nie zaistniała) i można było je traktować tak, jak wszystkie inne kategorie informacji na nasz temat.

Publiczne wdrożenia rozwiązań dla cyfrowej ochrony zdrowia pozostają nieprzejrzyste, debata o prywatności spychana jest na margines, gdzie - choć całkiem ożywiona - pozostaje niszą raczej nieinteresującą dla szerszych kręgów, często przekonanych - jak chcą tego prezentowane w Power Poincie rządowe przekazy - że cyfryzacja to lekarstwo na wszystko.

Skoro debata w Polsce na temat cyfrowych rozwiązań dla opieki zdrowotnej i ich prywatności wypada raczej słabo, przyjrzyjmy się temu, jak prowadzona jest za granicą. Brytyjska organizacja Privacy International (PI), zajmująca się ochroną cyfrowych praw człowieka, przygotowała raport o usługach telemedycyny i cyfrowych produktach medycznych, analizujący je właśnie pod kątem prywatności i aspektów ochrony danych osobowych. To bardzo ciekawa lektura.

Indie. Monitorowanie kobiet w ciąży i połogu

W raporcie PI negatywnie pod kątem mechanizmów gromadzenia danych i prywatności wyróżniony jest System Monitorowania Matki i Dziecka (MCTS) wprowadzony w Indiach.

Projekt, który działa niemal całkowicie w oparciu o narzędzia cyfrowej opieki zdrowotnej, gromadzi ogromne ilości danych o zdrowiu reprodukcyjnym kobiet w ciąży, połogu, ich nowonarodzonych dzieci oraz rodzin.

Wśród danych, które są zbierane w ramach systemu MCTS, znajdują się m.in. wyniki badań prenatalnych, informacje o wszelkich przyjętych przez kobietę szczepieniach, daty wszystkich wizyt lekarskich, a także dane z opieki społecznej dotyczące opieki nad rodziną i ew. planów sterylizacji oraz pobieranych przez daną osobę zapomóg społecznych.

System stworzyło ministerstwo zdrowia i dobrostanu rodziny w Indiach, a jego testy odbyły się w 2009 roku. Do powszechnego wdrożenia trafił dwa lata później.

Dane, które do niego trafiają są gromadzone manualnie przez pracowników placówek medycznych, a wpisywane - przez specjalnych operatorów, którzy odpowiadają później za ich dystrybucję do kolejnych "trybików" w maszynie systemu opieki zdrowotnej w Indiach.

Głównym problemem MCTS są opóźnienia w cyfryzacji danych, które gromadzone są wpierw tradycyjnymi metodami - jak czytamy w opracowaniu PI, mogą one wynosić nawet 72 dni. To czas dostatecznie długi, by odbić się negatywnie na zdrowiu pacjentek, a także by informacje mogły zostać wykorzystane niezgodnie z ich przeznaczeniem. Dane, które czekają na ucyfrowienie, mogą nie być dostatecznie zabezpieczone - wskazuje organizacja. Niewiele wiadomo również o samym procesie ich cyfryzowania, który może nie być obwarowany dostatecznymi ograniczeniami w kwestii ochrony danych zdrowotnych pacjentek.

Wielka Brytania. Porażka śledzenia kontaktów w pandemii

Privacy International zwraca uwagę, że kiedy proponowane są cyfrowe rozwiązania dla ochrony zdrowia, z automatu towarzyszy im przekonanie, że gromadzenie danych osobowych jest koniecznością. Tak było również w przypadku systemu śledzenia kontaktów społecznych Test & Trace w Wielkiej Brytanii, który miał być ważnym orężem w walce z pandemią koronawirusa.

W pewnym momencie w obiegu pojawiła się publiczna aplikacja zawierająca kod QR, który miał upoważniać posiadacza do wejścia do różnych miejsc - od pubów, przez galerie i muzea, kina i teatry, aż po centra handlowe. Wiele miejsc publicznych zostało zobowiązanych do gromadzenia danych o swoich gościach i klientach.

Jak się okazało - rządowy system śledzenia kontaktów wcale ich jednak nie wykorzystał. Nie wdrożył również skutecznie systemu alertowego opartego na kodach QR, które miały wysyłać wiadomość ostrzegawczą każdej osobie, która odwiedziła miejsce, gdzie wcześniej pojawiło się ognisko zakażeń koronawirusem.

Cyfryzacja zdrowia publicznego bez prostych rozwiązań

Procesy towarzyszące cyfryzacji ochrony zdrowia są bardzo często złożone i obejmują wiele podmiotów, które mają różne role i zobowiązania.

Nie oznacza to, że ochrona danych osobowych i prywatności, szczególnie w kontekście przetwarzania danych zdrowotnych, może być lekceważona - wprost przeciwnie, powinna być brana pod uwagę jako priorytet na każdym etapie działań.

O tym, że tak nie jest, świadczy m.in. opisywany w naszym serwisie przypadek wykorzystania wrażliwych danych o statusie szczepienia w materiałach dziennikarskich dwóch dużych portali horyzontalnych. Dane te nie powinny być publicznie dostępne, a do ich pozyskania doszło m.in. w wyniku wykorzystania luki bezpieczeństwa w jednym z systemów.

Długofalowe skutki przyspieszonej cyfryzacji pozostają kwestią marginalną dla decydentów nie tylko w Polsce, ale i w innych krajach, co uwidacznia praca PI.

Czas na zmianę optyki

Tymczasem, cyfryzacja zmienia optykę tego, jak powinniśmy postrzegać kwestie ochrony prywatności i danych osobowych dotyczących nas wszystkich - obywateli korzystających z systemów opieki zdrowotnej.

Wielokrotnie opisywaliśmy na łamach CyberDefence24.pl kontrowersje towarzyszące cyfryzacji publicznej służby zdrowia w Wielkiej Brytanii, gdzie dane pacjentów podstawowej ochrony zdrowia wykorzystywane są nie tylko w celach usprawnienia badań medycznych i postępu nauki, ale i trafiają do wielkich firm technologicznych, a sami pacjenci nie mają na to najmniejszego wpływu (z systemu nie można się wypisać).

W naszym serwisie rozmawialiśmy również z ekspertami, którzy tłumaczyli, jakie mechanizmy powinny towarzyszyć cyfryzującej się opiece zdrowia w zakresie przetwarzania danych i pracy z nimi, a także, jakim ograniczeniom powinny podlegać dostęp do nich i możliwość ingerencji w tego rodzaju informacje.

Prywatność i dostęp do opieki zdrowotnej to prawa człowieka - warto je ze sobą połączyć nie tylko w teorii, ale i w praktycznych rozwiązaniach, które stają się udziałem nas wszystkich.

Chcemy być także bliżej Państwa - czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać - zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.