Sieć Gemini, w ramach której działa prawie 200 aptek, chce ułatwiać rodakom życie. Dlatego stworzyła stronę internetową do bezpłatnego przechowywania list zakupów na podstawie e-recept. Niebawem udostępni pacjentom także aplikację mobilną. Chodzi o to, by klienci trzymali swoje dane w jednym miejscu i mogli być szybko obsłużeni w placówkach sprzedających leki. Jest tylko jedno „ale”: czy rozwiązanie zapewnia bezpieczeństwo danych osobowych?
Na podstawie wielu recept można tworzyć wirtualne profile pacjentów, a następnie udostępniać je np. bankom, towarzystwom ubezpieczeniowym i pracodawcom — nie kryje obaw Naczelna Izba Aptekarska. Przesadny lęk? Niekoniecznie, skoro jedna z brytyjskich aptek sprzedawała informacje o chorych z demencją australijskiemu podmiotowi. Ale czy wolno stosować odpowiedzialność zbiorową? To, że niektóre firmy łamią prawo, nie oznacza, że robią tak wszystkie.
— Nie przekazujemy podmiotom trzecim jakichkolwiek danych znajdujących się na e-recepcie, w szczególności odnoszących się do placówki zdrowia, lekarza i pacjenta. Wszystkie dane zachowane są w pełnej poufności przez państwowy system e-zdrowia noszący nazwę P1 oraz komunikującą się z nim aptekę — wyjaśnia Adam Błażeczek, wiceprezes i dyrektor finansowy Gemini Polska.
Wtóruje mu Tomasz Karwatka, prezes firmy Divante, która dla Gemini stworzyła aplikację receptagemini.pl.
— Dane zdrowotne należą do katalogu danych sensytywnych i są szczególnie chronione przez unijne rozporządzenie o ochronie danych osobowych, bo ich niewłaściwe przetwarzanie mogłoby w istotny sposób naruszyć prawa i wolności pacjentów — tłumaczy ekspert.
Pod specjalnym nadzorem
Wyrażone przez samorząd aptekarski wątpliwości potraktujmy jako pretekst do przyjrzenia się temu, jak powinien wyglądać nowoczesny, sprawny, ale przede wszystkim bezpieczny system obsługi pacjentów przez apteki.
— Profilujemy tylko tych pacjentów, którzy wyrażą na to uprzednio zgodę. Co równie ważne, osoby te zostają dokładnie poinformowane, w jakim celu pozyskiwane są od nich dane i kto ma do nich dostęp — mówi Adam Błażeczek. A Tomasz Karwatka zwraca uwagę, że przetwarzanie danych sensytywnych w związku z zapewnieniem ochrony zdrowia publicznego odbywa się z zachowaniem zasad tajemnicy zawodowej lub za wyraźną zgodą osoby, której dane dotyczą. Za naruszenia grożą wysokie kary. — Wszelkie dane osobowe: imię, e-mail i telefon, wprowadza sam użytkownik aplikacji receptagemini.pl w procesie tworzenia rezerwacji i są one używane tylko i wyłącznie do umożliwienia kontaktu farmaceuty z pacjentem — podkreśla szef Divante.
Wyciek danych nie musi być następstwem działań niezgodnych z prawem. Czasem zawodzą technologie. Czy dostawca systemu e-recept bierze to pod uwagę?
— Ze względu na wrażliwy charakter danych przy projektowaniu i budowaniu aplikacji receptagemini.pl położyliśmy duży nacisk na bezpieczeństwo IT. Narzędzie zawiera kilka warstw niezależnych od siebie zabezpieczeń. Ponadto jest poddawane systematycznym testom bezpieczeństwa i penetracyjnym — uspokaja szef Divante.
Wszystko pięknie — tyle że aplikacja działa w chmurze, a zdaniem niektórych specjalistów największe wycieki danych zdarzają się właśnie z usług chmurowych.
— Pogląd, że dane bezpieczniej jest przechowywać na wewnętrznych serwerach firmy niż w chmurze, jest równie zasadny co twierdzenie, że prywatne oszczędności bezpieczniej jest przechowywać w skarpecie niż w banku — twierdzi Adam Błażeczek.
I precyzuje: tak jak najdoskonalszy domowy sejf nie oferuje choćby części ochrony zapewnianej przez bank, tak najlepiej strzeżony serwer firmy pod względem zabezpieczeń nie może się równać choćby ze średniej klasy zewnętrznym data center. To przekonanie menedżer dzieli z całą branżą. Do 2022 r. światowy rynek chmury obliczeniowej w usługach medycznych osiągnie wartość 35 mld USD — wynika z raportu BCC Research. Prognozy opierają się zarówno na deklaracjach, jak i realizowanych wdrożeniach. Dowód: w ubiegłym roku Johnson & Johnson, amerykański gigant farmaceutyczny i kosmetyczny, przeniósł do chmury 85 proc. swoich aplikacji.
Tu pojawia się kolejna obiekcja: administrator aplikacji Gemini, spółka Gemini Apps, przekazuje dane pacjentów pod opiekę operatorów chmury zza oceanu. Czy to bezpieczne? — Amazon Web Service i Microsoft Azure dostarczają infrastrukturę na potrzeby aplikacji Gemini i nie przetwarzają danych w innym celu. Dzięki szyfrowaniu wymienione firmy nie są w stanie owych danych nawet odczytać, a co dopiero przetwarzać — zapewnia Tomasz Karwatka. Czy nie lepiej byłoby jednak współpracować z centrami danych usytuowanymi w UE?
— Właśnie tak stanowią umowy. Regionem przechowywania danych osobowych jest w naszym przypadku Europejski Obszar Gospodarczy — odpowiada prezes Divante.
Największe kontrowersje wzbudzają jednak nie metody i miejsca przetwarzanie danych, ale sposób ich pozyskiwania. Wymagane do sprzedaży leków dane pochodzą z rejestru P1, do którego dostęp mają tylko apteki. Tymczasem administrator aplikacji nie jest apteką.
— Gemini Apps nie ma dostępu do systemu P1. Z państwową platformą łączy się apteka, która przekazuje do Gemini Apps jedynie dane o produkcie, dacie wystawienia i dacie ważności oraz numerze recepty. Na podstawie danych o produktach możemy sprawdzić dla użytkownika dostępność leków w aptekach współpracujących z aplikacją, dzięki czemu może on dokonać rezerwacji — informuje Adam Błażeczek.
Troska o pacjenta czy lincz
Lepsza podejrzliwość niż niefrasobliwość? Owszem, ale nie wtedy, gdy wprowadzane w dobrej wierze innowacje skutkują nagonkąna podmiot, który chce polepszyć jakość świadczonych usług. Takie jest przynajmniej stanowisko Związku Przedsiębiorców i Pracodawców (ZPP). Sieć aptek Gemini „stanęła w obliczu nie tylko medialnego linczu, lecz również istotnych reperkusji ze strony organów administracji. W przestrzeni publicznej wykreowano obraz spółki włamującej się do państwowego rejestru danych wrażliwych, a następnie udostępniającej pobrane z niego informacje międzynarodowym korporacjom” — czytamy w oświadczeniu ZPP.
Każda technologiczna nowość wywołuje opór — i słusznie. Wątpliwości, rozterki, lęki mogą być dobrym punktem wyjścia do dyskusji nad współczesnym modelem prywatności. Niekiedy strach ma wielkie oczy, innym razem dochodzi do nieprawidłowości i łamania prawa — ale trzeba to sprawdzić, zanim wyda się osąd.
OKIEM EKSPERTA
Atak na Gemini zaszkodzi pacjentom
DR PAWEŁ LITWIŃSKI, adwokat, partner w kancelarii Barta Litwiński
Kampania przeciwko Gemini Polska rozpoczęła się skargą skierowaną przez Naczelną Izbę Aptekarską do prezesa Urzędu Ochrony Danych Osobowych. Zgłoszenie dotyczyło rzekomego naruszenia prawa przez tę sieć placówek farmaceutycznych. Sprawą szybko zainteresowały się media i organy państwa, a do opinii publicznej przedostał się moim zdaniem nieprawdziwy i krzywdzący obraz Gemini jako firmy bezprawnie pozyskującej dane o pacjentach z rządowego rejestru P1 i mogącej przekazywać te informacje międzynarodowym korporacjom. Gdzie widzę źródło problemu? Nikogo nie podejrzewam o złą wolę. Niektóre środowiska zwyczajnie obawiają się nowości, zmiany, postępu. Nie jest tajemnicą, że samorząd aptekarski nie lubi rozwiązań o charakterze technologicznym, bo upatruje w nich zagrożenie dla dochodowości tradycyjnych aptek.
Cyfrowy konserwatyzm Izby od lat przejawia się np. w zwalczaniu sprzedaży leków na odległość. Tym bardziej jej opór wzmaga się teraz, gdy branżowi liderzy innowacji wdrażają zaawansowane, niespotykane wcześniej narzędzia informatyczne, mobilne czy chmurowe. Bezprecedensowy atak na sieć Gemini najbardziej uderzy w pacjentów. W czasie pandemii technologie pomogły wielu tysiącom osób w Polsce realizować recepty. Po serii artykułów prasowych o tym, że systemy w rodzaju e-recepty zagrażają prywatności Kowalskich, czytelnicy zastanowią się dwa razy, zanim skorzystają z podobnych aplikacji. Została zasiana bezpodstawna nieufność, której wyplenienie może zająć firmom aptekarskim i technologicznym całe lata.