Ministerstwo Zdrowia zawiadamia służby w sprawie aptek Gemini. Sieć miała nielegalnie pozyskiwać dane

dodano: 
30.06.2020
komentarzy: 
0

Sieć aptek Gemini nielegalnie pozyskiwała dane z państwowej bazy? Portal gazetaprawna.pl podaje, że Ministerstwo Zdrowia zdecydowało się na zawiadomienie służb. Sprawie ma przyjrzeć się biuro do walki z cyberprzestępczością Komendy Głównej Policji.

Jak wyjaśnia źródło, sieć aptek miała pozyskiwać dane z systemu informacji medycznej P1, w którym przechowywane są informacje o każdym leku na receptę wydanym w polskiej aptece. Czytamy, że na podstawie danych z tego systemu można ustalić m.in. czy ktoś choruje na serce, ma demencję lub czy w jego rodzinie są osoby wykonujące zawód lekarza.

Źródło zwraca uwagę, że o sprawie po raz pierwszy poinformowało 23 czerwca 2020 roku. Opisało wtedy nową aplikację aptek Gemini, stworzoną przez spółkę Gemini Apps (podlegającą pod sieć). W rozmowie z portalem gazetaprawna.pl eksperci wyrazili wątpliwość w sprawie legalności działania spółki – uznali, że niedostatecznie informuje ona, z jakimi konsekwencjami wiąże się profilowanie pacjentów na podstawie danych z ich e-recept oraz jaki jest cel przekazywania tych informacji do firm Microsoft i Amazon. Jak podało wtedy źródło, działania Gemini zaniepokoiły także Naczelną Radę Aptekarską, która wysłała do prezesa Urzędu Ochrony Danych Osobowych wniosek o wszczęcie kontroli.

„Profilowanie w ramach aplikacji ma charakter absolutnie dobrowolny. Każdy użytkownik ma możliwość wyrażenia dobrowolnej, swobodnej, konkretnej i jednoznacznej zgody na profilowanie. W ramach swojego konta może również w każdej chwili samodzielnie taką zgodę wycofać. Obecnie dzięki analizie zachowań użytkowników (którzy wyrazili zgodę) nasz zespół może stale poprawiać jakość serwisu receptagemini.pl i dostosowywać go do potrzeb użytkowników” – źródło cytuje odpowiedź aptek Gemini, jaką uzyskało na pytanie, czy sieć właściwie przetwarza wrażliwe dane klientów.

Czytamy, że wątpliwości w sprawie legalności działań aptek nabrało także Ministerstwo Zdrowia. Okazało się, że właściciel aplikacji nie ma certyfikatu, na podstawie którego można pobierać dane z systemu P1 – tego typu certyfikat mają apteki Gemini, ale zdaniem resortu niedozwolone jest posługiwanie się tymi informacjami na potrzeby działania aplikacji. Ministerstwo ustaliło także, że na potrzeby działania aplikacji posłużono się czyimś certyfikatem (jednej z gdańskich aptek) oraz przesłano pozyskane dane bezpośrednio do chmury Amazona (przez co dane medyczne Polaków trafiły do amerykańskiej korporacji) – dodaje źródło.

„Nie można mówić o wycieku danych z systemu Ministerstwa Zdrowia. To apteka z grupy Gemini nadużyła zaufania pacjentów. Nasza reakcja, gdy tylko dowiedzieliśmy się o sprawie, była błyskawiczna” – źródło cytuje wiceministra zdrowia Janusza Cieszyńskiego. Przedstawiciel resortu dodał rónież, że zadaniem śledczych będzie wyjaśnienie, kto konkretnie odpowiada za nielegalne działania – czy są to szefowie spółki, czy kierowniczka lokalnej apteki, z której wychodziły żądania udostępnienia danych medycznych o pacjentach.

Jak czytamy, system P1 nigdy nie miał służyć takim komercyjnym celom, jak profilowanie klientów aptek. Źródło zaznacza także, że nic nie wskazuje na to, aby o praktykach Gemini Apps wiedział Amazon. Zdaniem ekspertów ds. nowoczesnych technologii, z którymi skonsultowało się źródło, „wiele wskazuje na to, że z punktu widzenia Amazona sytuację można by porównać do przypadku, gdyby ktoś przechowywał w jego chmurze pirackie wersje programów komputerowych – ewentualna odpowiedzialność zależałaby od tego, czy dostawca chmury był świadomy, że nielegalnie przetwarzał dane”.

Zdaniem Ministerstwa Zdrowia mogło dojść do wielu przestępstw. Czytamy, że sprawą zajmą się prokuratura oraz specjalna jednostka ds. walki z cyberprzestępczością w Komendzie Głównej Policji. Urząd Ochrony Danych Osobowych przekazał źródłu, że jego prezes „bardzo zainteresował się” sprawą. Rzeczniczka Głównego Inspektora Farmaceutycznego poinformowała z kolei, że sytuacją zajmą się inspektorzy wojewódzcy.

Źródło zaznacza, że otrzymało oświadczenie od spółki, w której ta twierdzi, że nie pobierała danych z systemu P1, co – jak czytamy – jest prawdą, ponieważ robiła to za nią jedna z aptek siostrzanej firmy.

Gazetaprawna.pl przytacza także wypowiedzi niezależnych ekspertów, którzy uważają, że „mamy właśnie do czynienia z największym skandalem na polskim rynku farmaceutycznym od lat”. „Dane medyczne muszą być bezwzględnie bezpieczne. A cała sytuacja pokazuje, że nawet najlepiej zabezpieczony system może zostać złamany, jeżeli pojawią się osoby uprawnione, które – wiedzione najpewniej korzyściami majątkowymi – przekażą dane zewnętrznemu podmiotowi. Taka osoba powinna zostać odpowiednio ukarana. Postępowanie powinno też objąć całą sieć aptek, aby sprawdzić, czy o sprawie wiedziało kierownictwo” – mówi radca prawny, Andrzej Lewiński, cytowany przez źródło.

„To absolutnie niedopuszczalna sytuacja, żeby podmiot uprawniony przekazywał dane medyczne podmiotom komercyjnym. Odpowiedzialność za takie działanie w pierwszej kolejności ponosi osoba mająca dostęp do systemu P1. Dlatego dziwi mnie, że farmaceuta – osoba wykonująca zawód zaufania publicznego – zezwala na korzystanie ze swojego certyfikatu w sposób zautomatyzowany, nawet po godzinach otwarcia apteki” – uważa dr Dobrawa Biadun, radca prawny i specjalistka od prawa medycznego, cytowana przez źródło. W rozmowie z portalem gazetaprawna.pl dr Biadun dodała także, że organy – takie jak inspekcja farmaceutyczna, policja oraz UODO – powinny pokazać, że „istnieje dotkliwa odpowiedzialność za nielegalne operacje przeprowadzane na danych medycznych Polaków i że niedopuszczalne jest wykorzystywanie ważnego systemu państwowego do własnych interesów”.

Źródło poprosiło o skomentowanie sprawy również mgr. farm. Piotra Rykowskiego, eksperta w zakresie rynku medycznego. Rykowski zaznaczył, że dane z systemu P1 są szczególnie wrażliwe i nie powinny być udostępniane nikomu, kto nie jest wymieniony w przepisach prawa farmaceutycznego. Czytamy, że jego zdaniem nie ma wątpliwości, że podmioty prywatne mogą coraz bardziej interesować się przetwarzaniem danych medycznych: „Poprawianie funkcjonowania aplikacji to najprawdopodobniej mydlenie oczu pacjentom. Chodzi o zwiększanie sprzedaży leków, proponowanie nowych produktów i usług oraz profilowanie użytkowników. Możliwe jest również, że podmioty zaczną oferować np. pakiety medyczne lub ubezpieczeniowe”.

PRoto.pl otrzymało oświadczenie od aptek Gemini, w którym sieć zaprzecza informacjom podawanym przez portal gazetaprawna.pl:

„Gemini Polska oraz wszystkie spółki działające pod marką Gemini działają zgodnie z obowiązującym prawem. Z całą stanowczością zaprzeczamy nieprawdziwym informacjom przedstawionym w artykule Dziennika Gazety Prawnej autorstwa Patryka Słowika i Jakuba Styczyńskiego z 30 czerwca 2020 roku.

Wszystkie hipotetyczne twierdzenia anonimowych »niezależnych ekspertów« oraz komentarze na ich podstawie pozostałych osób zostały zbudowane na podstawie nieprawdziwych założeń i nie opisują funkcjonowania aplikacji i współpracujących z nią aptek.

Deklarujemy pełną współpracę z odpowiednimi organami celem wyjaśnienia wszelkich wątpliwości. Oświadczamy, że z całą stanowczością będziemy bronić dobrego imienia Gemini.

Poniżej fakty dotyczące funkcjonowania aplikacji receptagemini.pl i współpracującej z nią apteki:

1. Aplikacja stanowi system informatyczny, mający na celu wsparcie w uzyskiwaniu informacji o dostępności produktów leczniczych realizowanych na podstawie e-recepty. Stanowi ona przykład zastosowania nowoczesnych technologii w propagowaniu instytucji e-recepty i poprawy dostępności produktów leczniczych dla pacjentów.

2. Apteka nie przekazuje do aplikacji żadnych danych osobowych, w szczególności danych podmiotu leczniczego, osoby wystawiającej e-receptę (np. lekarza), ani pacjenta. Wszystkie te dane zachowane są w pełnej poufności przez system P1 oraz komunikującą się z nim aptekę.

3. Aplikacja otrzymuje od apteki jedynie informację o produktach objętych receptą, jej dacie ważności oraz numerze recepty.

4. Na żadnym etapie funkcjonowania aplikacji, nie dochodzi do udostępnienia certyfikatów apteki umożliwiających dostęp do systemu e-zdrowia (P1) podmiotom trzecim. Apteka jest jedynym i wyłącznym dysponentem certyfikatu służącego komunikacji z systemem P1”.

(ak)

Źródło:

serwisy.gazetaprawna.pl, Sieć aptek nielegalnie pozyskuje dane? Ministerstwo Zdrowia zawiadamia służby, Patryk Słowik i Jakub Styczyński, 30.06.2020/ serwisy.gazetaprawna.pl, E-recepta w służbie sieci aptek. Korporacje poznają najwrażliwsze informacje, Patryk Słowik i Jakub Styczyński, 23.06.2020
X

Zamów newsletter

 

Akceptuję regulamin