NHS Anh xác nhận: Nhân viên Palantir được phép truy cập dữ liệu bệnh nhân

Dịch vụ Y tế Quốc gia Anh (NHS England) vừa xác nhận rằng họ đang cho phép nhân viên từ công ty công nghệ Palantir truy cập vào dữ liệu bệnh nhân sau một thay đổi về chính sách.

Công ty công nghệ Mỹ này cung cấp công nghệ cho Nền tảng Dữ liệu Liên kết (Federated Data Platform - FDP) theo hợp đồng trị giá 330 triệu bảng Anh (446 triệu USD) được ký kết vào năm 2023. Hệ thống này được thiết kế để cải thiện việc chia sẻ dữ liệu trên toàn hệ thống NHS và giúp nhà cung cấp dịch vụ y tế nhà nước khắc phục sự tồn đọng sau đại dịch.

Theo các quy tắc đã thống nhất trước đó, nhân viên Palantir làm việc trên FDP chỉ có thể truy cập Kho lưu trữ Dữ liệu Tích hợp Quốc gia (NDIT) - một kho chứa dữ liệu bệnh nhân trước khi được chuyển sang hệ thống phân tích "giả danh" (pseudonymized) - nếu họ xin cấp quyền truy cập cho các tập dữ liệu cụ thể.

Tuy nhiên, một tài liệu mới được NHS England công bố cho thấy nhân viên Palantir có thể nhận vai trò "quản trị viên" (admin) mới để truy cập trực tiếp vào NDIT cùng với dữ liệu nhận dạng cá nhân của bệnh nhân. Các tư vấn viên khác làm việc trên FDP cũng sẽ được cấp quyền truy cập tương tự.

Tài liệu này, được Financial Times xem xét và The Register xác nhận, chỉ ra rằng việc cấp quyền truy cập dữ liệu cho nhân viên Palantir và các bên khác có thể gây ra "nguy cơ mất niềm tin của công chúng" đối với các cam kết về "bảo vệ dữ liệu bệnh nhân và đảm bảo việc sử dụng, truy cập phù hợp".

The Register hiểu rằng sự thay đổi này được thiết kế để áp dụng cho một số nhỏ người làm việc trên nền tảng thu thập dữ liệu trung tâm mới, nền tảng này dùng NDIT để giám sát hiệu suất của NHS.

Một phát ngôn viên của NHS England cho biết: "NHS có các chính sách nghiêm ngặt để quản lý quyền truy cập vào dữ liệu bệnh nhân và thực hiện các cuộc kiểm toán thường xuyên để đảm bảo tuân thủ - bao gồm cả việc giám sát công việc của các kỹ sư giúp thiết lập nền tảng thu thập dữ liệu trung tâm sẽ theo dõi hiệu suất của NHS và giúp cải thiện việc chăm sóc bệnh nhân."

"Bất kỳ cá nhân bên ngoài nào yêu cầu truy cập đều phải có qua kiểm tra an ninh chính phủ và được phê duyệt bởi một nhân viên cấp giám đốc của NHS England trở lên."

Sam Smith, điều phối viên tại nhóm vận động quyền riêng tư y tế medConfidential, nhận định rằng Palantir và các tư vấn viên khác thực tế đã có thể truy cập dữ liệu bệnh nhân (dù trong một số trường hợp đã được giả danh) trong các khu vực khác của FDP. Tuy nhiên, ông cho rằng NHS England đã vấp phải sự chỉ trích do thiếu minh bạch.

Ông nhận xét: "Điều này tương đương với việc nói với một nhân viên dân sự, 'Chỉ có bạn mới có thể đọc email của mình' và sau đó lại nói, 'À, mà luật tự do thông tin tồn tại'. Đơn giản là sự thiếu minh bạch mà chúng ta phải biết qua một vụ rò rỉ, thay vì họ tuyên bố rõ ràng 'Chúng tôi sẽ làm điều này, đây là ý nghĩa của nó'."

Vào tháng 3, Tạp chí Dịch vụ Y tế (Health Service Journal) đưa tin rằng gần một phần ba các đơn vị NHS kết nối với FDP vào năm 2025 không đáp ứng các tiêu chuẩn bảo mật dữ liệu. Tuy nhiên, một người phát ngôn của NHSE khẳng định nền tảng này có "bảo vệ dữ liệu và an ninh mạng ở trọng tâm".

Bộ trưởng chịu trách nhiệm về FDP, Zubir Ahmed, đã trấn an các nghị sĩ vào tháng trước rằng NHS England và các tổ chức NHS sẽ "giữ lại quyền kiểm soát đầy đủ với tư cách là bộ điều khiển dữ liệu", bao gồm cả quyết định về cách sử dụng dữ liệu và ai được quyền truy cập.

Ông nhấn mạnh: "Palantir không sở hữu dữ liệu, các sản phẩm hay quyền sở hữu trí tuệ, cũng không thể sử dụng dữ liệu của NHS cho mục đích của riêng họ. Palantir hoạt động nghiêm ngặt trong khuôn khổ hợp đồng được quy định tại Anh, nơi NHS kiểm soát toàn bộ dữ liệu, quyền truy cập được quản lý chặt chẽ và thông tin chỉ được sử dụng cho các mục đích đã thống nhất nhằm mang lại lợi ích cho bệnh nhân."