Eski Federal Veri Koruma Komiseri Prof. Ulrich Kelber, Alman sağlık sisteminin ve özellikle elektronik hasta dosyasının (ePA) dijitalleştirilmesini güvensiz ve şeffaf olmayan bir süreç olarak tanımlıyor. Özgür Tabipler Birliği tarafından düzenlenen bir etkinlikte verdiği konferansta, politikacıları yüzeysel reklamlar yoluyla güvenlerini kaybetmekle ve temel güvenlik standartlarını göz ardı etmekle suçladı.
Reklamdan sonra devamını okuyun
Eğitim yerine reklam ve yüksek itiraz oranı
Kelber, Federal Sağlık Bakanlığı'nın ePA'ya yönelik iletişim stratejisini sert bir şekilde eleştirdi. Bakanlık, vatandaşları riskler ve gerekli hususlar hakkında kapsamlı bir şekilde bilgilendirmek yerine, projeyi yalnızca “süper” ve “harika” olarak öven “saf bir reklam kampanyasına” güveniyor. Kelber'e göre “ikna etmek yerine ikna etmeye” çalışan hiç kimse uzun vadede ilerleme sağlayamayacak.
Bu yaklaşım, halihazırda rakamlara da yansıyan bir güven kaybına yol açıyor: ePA'ya yönelik itiraz oranları, bir devre dışı bırakma sistemi için alışılmadık derecede yüksek, yüzde beş ila on arasında. Ayrıca, aktif olarak itiraz eden ikna olmuş muhaliflerin oluşturduğu grup, neredeyse bunları aktif olarak kullanan ikna olmuş destekçilerin oluşturduğu grup kadar, hatta onlardan daha da büyüktür. Resmi kullanım rakamları yüzde üç ila on iki arasında değişmektedir. Kelber'e göre bu durum, araştırma için çok önemli olduğu varsayılan verilerin temsil edilebilirliğini de zayıflatıyor. Ayrıca fatura verileri gibi verilerin kalitesi de çoğu zaman yetersiz oluyor.
Teknik kusurlar ve dengesiz çalışma
Sistem aynı zamanda teknik açıdan da karmaşık değildir. Kelber, resmi olarak belirtilen yüzde 96'lık operasyonel istikrarın “günde bir saatlik kesinti” anlamına geldiğini hesapladı. Bu arızalar büyük olasılıkla geceleri değil, antrenman saatlerinde yük altında meydana gelecektir. Memnun olmasa da özel hizmet sağlayıcıların sorumluluğuna işaret eden Gematik'in tavrını eleştirdi. Bu “sistemde en az bir boşluk”tur. Devlet kontrolündeki bir projede güvenilmez sağlayıcılara karşı etkili yaptırımlar olmalıdır.
Ayrıca sigortalı kişiler için güvenli erişim, yalnızca ilk kurulumun zorluğu nedeniyle değil, sistematik olarak daha da zorlaştırılmaktadır. Bunda siyasetin de payı var. Diğer şeylerin yanı sıra, sağlık sigortası şirketlerinin elektronik sağlık kartı (eGK) için PIN'i göndermeme zorunluluğunu ortadan kaldırmasına olanak tanıyor. Kelber'e göre “Gerçekte her şeyin gitmesine izin veriyor çünkü uzun vadede böyle olmasını istemiyor.” Aynı zamanda, elektronik kimlik kartına yönelik ücretsiz PIN sıfırlama yazısının da maliyet nedeniyle kaldırılması, bu güvenli alternatifi de cazip hale getirmedi. Bunun yerine kullanıcılar biyometrik giriş gibi daha az güvenli yöntemleri kullanmaya zorlanacak.
Reklamdan sonra devamını okuyun
Gerçek test aşamaları olmadan aceleye getirilmiş dağıtım
Kelber ayrıca dijitalleşme projelerinin temel gelişim sürecini de kınadı. Sağlık sistemindeki BT sistemlerinin nihayet profesyonel standartlara göre geliştirilmesi çağrısında bulundu. “Pilotluk yapın, değerlendirin, muhtemelen tekrar geri dönün ve yalnızca değerlendirme süreci tamamlandıktan sonra ölçeklendirin, yani uygulamaya koyun.” Bunun yerine, test olarak ilan edilen ancak öyle olmayan aceleci tanıtımlar var. Örnek olarak ePA'nın model bölgelerdeki test aşamasını gösterdi. Hepsi hemen sonrasında kullanılmalıdır. Böyle bir yaklaşım, “sonuçları kontrol etmek” veya hataları düzeltmek için zaman bırakmaz. Kelber, 25 yıllık başarısızlık göz önüne alındığında, yüksek kaliteli bir tanıtım için bir altı ayın daha önemli olmadığını söylüyor.
Güvenlik açıkları ve “yama işi” zihniyeti
Eleştirinin temelinde büyük güvenlik kaygıları vardı. ePA mevcut durumunda güvenli değildir. Temel olarak güvenlik açıklarını kapatmak yerine, genellikle geçici bir şekilde “doldurulurlar”. Kelber, güvenlik mimarisinin şeffaf hale getirilmediğinden ve “devletin kaynaklarıyla” gerçekleştirilen saldırıların baştan itibaren inceleme kapsamı dışında bırakılmasından şikayetçiydi. Yaklaşık 70 milyon insanın sağlık verilerinin yer aldığı bir veri tabanında bu çok saçma.
Özellikle endişe verici olan, sağlık verilerini şifrelemenin anahtarlarının operatörlerde olmasıdır. Kelber burada sağlayıcıların isimlerini açıkça belirtti: ABD yasalarına tabi olan ve verileri ABD güvenlik yetkililerine teslim etmek zorunda olan IBM ve “Wirecard ve Rus gizli servisleriyle olan ilişkisi nedeniyle artık Avusturya'daki kamu sektöründen emir almayan” Avusturya şirketi RISE. “Bunun gerçekten tamamen durup durmadığı” hala net değil. Bu tür sağlayıcıların anahtarlara erişime sahip olması “hiç de ileri teknoloji değil”.
Kelber ayrıca Avrupa Sağlık Veri Alanının (EHDS) Almanya'da planlanan uygulanmasını da eleştiriyor. Özellikle Federal İlaç ve Tıbbi Cihaz Enstitüsü'nün (BfArM) merkezi “Sağlık Verilerine Erişim Kuruluşu” yapılması kararının “mutlu olmadığını” düşünüyor. Sorun çok büyük bir çıkar çatışmasıdır: BfArM'nin kendi araştırma çıkarları olduğundan, kendi araştırma uygulamalarına da karar verecektir. Kelber, “hiç kimsenin kendi araştırma önerilerini bir evde kanıtlayamayacağı” konusunda uyardı. Denetim ve araştırmanın net bir şekilde ayrılması gereksiz bir bürokrasi değildir ancak güven yaratmak için gereklidir.
Kelber, planlanan AB torba yasasını veri korumanın erozyona uğradığının bir başka kanıtı olarak gösterdi. Bu yasa “daha da tehlikeli” ve aceleci bir mevzuat örneği. Kelber yaratım sürecini sert bir şekilde eleştirdi. Onun bilgisine göre veri koruma kısmı, herhangi bir etki değerlendirmesi yapılmadan, kanıt incelemesi yapılmadan ve paydaşların herhangi bir tartışması veya katılımı olmadan “beş gün içinde” yazıldı. Sonuç, temel tanımları zayıflatan bir yasadır: Bir zamanlar anonimleştirilmiş olan veriler, daha sonra üçüncü taraflarca yeniden tanımlanabilecek olsa bile, artık Genel Veri Koruma Yönetmeliği'ne tabi olmamalıdır.
Ayrıca sağlık verileri kavramı da yumuşatılıyor. Bir onkoloji hastasının tedavi verileri korunmaya devam ederken, onkoloji merkezindeki kalış verileri artık sağlık verileri olarak kabul edilmeyecektir; bu tür veriler, örneğin randevu alırken oluşturulur. Kelber, yapay zeka eğitiminin, son derece hassas veriler için bile daha fazla dikkate alınmaksızın, veri işleme için genel bir yasal temel haline gelmesi gerektiği gerçeğini özellikle eleştirdi.
Almanya'nın “karanlık bir güce” dönüşmesi
Planlanan Avrupa Sağlık Veri Alanı (EHDS), AB ülkelerini ortak bir minimum veri güvenliği düzeyine sahip olmaya zorlarken, Almanya şu anda bu seviyenin altındadır. Kelber, konuşmasını JRR Tolkien'in “Yüzüklerin Efendisi”ne karanlık bir göndermeyle tamamladı: Almanya, eskiden olduğu gibi veri koruma konusunda öncü olmak yerine, aktif olarak Avrupa standartlarını düşürmeye çalışan bu tür projeler aracılığıyla “Orta Dünya'nın karanlık güçlerinden biri” haline geldi. Bilbo Baggins'in izinden giden Kelber'e göre sağlık sisteminin dijitalleşme yolculuğu, ayaklarınızın sizi nereye götürdüğüne dikkat etmeniz gereken “tehlikeli bir şey”.
(mack)
Bir yanıt yazın