عملية الشراء المستمرة لهيئة الخدمات الصحية الوطنية في إنجلترا منصة النتائج والسجلات (ORP) تواصل إثارة المخاوف بشأن حالة ممارسات أمن بيانات المشروع، وسط ادعاءات بأن المؤسسة بأكملها قد تتجاهل الامتثال للوائح المشتريات في القطاع العام.
تم تصميم مشروع ORP ليجمع بين مختلف سجلات الأجهزة السريرية ذات الشهرة العالمية، والتي تم إنشاؤها على مدار سنوات عديدة من قبل متخصصين طبيين وتقنيين، والتي تعمل بمثابة مستودع للبيانات لدعم NHS في تشغيل وإدارة الخدمات السريرية على الصعيد الوطني. فهي تمكن من التكليف بالخدمات، وإدخال علاجات جديدة وتحديد أفضل للعلاجات الفعالة (أو غير الفعالة)، ومجموعة كبيرة من عمليات ضمان الجودة، والبحث وتطوير السياسات، وتساعد على ضمان سلامة المرضى.
في وقت سابق من هذا العام، ذكرت مجلة كمبيوتر ويكلي كيف يمكن لأي شخص لديه اتصال بالإنترنت الوصول إلى صفحة تسجيل الدخول الخاصة بالمشروع، وليس عبر شبكة الرعاية الصحية والاجتماعية (HSCN)، ولم تكن محمية بواسطة المصادقة متعددة العوامل (MFA)، والتي تتعارض مع قواعد NHS England.
ردًا على ذلك في ذلك الوقت، قالت هيئة الخدمات الصحية الوطنية في إنجلترا إنها تتحرك لتعزيز الأمان على منصة ORP وتم تنفيذ MFA منذ نشر هذا المقال.
لقد قطع هذا شوطًا كبيرًا في تخفيف بعض المخاوف التي أبرزها سابقًا اتحاد السجلات السريرية (FCR)، وهي مجموعة من المتخصصين في مجال الرعاية الصحية والتقنيين الذين يهتمون باتجاه سفر برنامج ORP، ويقولون إنهم يتعرضون بشكل متكرر تم تهميشهم من قبل NHS England عندما حاولوا إثارة شكوكهم.
وفقًا لـ FCR، فإن المخاوف الأمنية الأخرى لم تتم معالجتها من قبل NHS England، بما في ذلك قضايا حماية البيانات الأعمق التي تم تجاهلها.
“على الرغم من أنهم قدموا برنامج MFA، ماذا فعلوا حيال حقيقة أنه يمكن لأي شخص عمليًا التسجيل في هذا النظام؟ قال أحد ممثلي FCR، متحدثًا إلى Computer Weekly بشرط عدم الكشف عن هويته: “يتم إرسال الأشياء في جداول بيانات ويتم تسجيل المستخدمين مسبقًا بكميات كبيرة دون أن يسألوا عما إذا كانوا يريدون أن يكونوا على النظام”. وفقًا للردود المقدمة إلى FCR، هناك ما لا يقل عن 6000 مستخدم مسجل، وتم تصنيف 900 منهم فقط كمستخدمين “نشطين”.
“إنه [also still] جلس على شبكة الإنترنت، وهو ما يتعارض مع إرشادات الأمان السحابية ل الدرجة الخامسة داتأ. لقد طاردت FCR مرارًا وتكرارًا إدارة الأمن السيبراني في NHS England للحصول على توضيحات بشأن هذه القضايا الأمنية.
يتم تعريف بيانات الفئة الخامسة داخل NHS على أنها بيانات مستضافة على السحابة الذي يحمل أعلى مستوى من المخاطر. تشير التوجيهات الرسمية إلى أن تشغيل الخدمات على هذا المستوى يتطلب “التزامًا تنظيميًا على مستوى مجلس الإدارة، بعد اتباع النصائح والإرشادات المتخصصة”.
قال ممثل FCR إن هيئة الخدمات الصحية الوطنية في إنجلترا يجب أن تكون على دراية بالمخاطر التي تتعرض لها مجموعات البيانات المختلفة لأن أحد السجلات الموجودة، السجل الوطني للصدمات الكبرى (NMTR)، كانت تُعرف سابقًا باسم شبكة تدقيق وأبحاث الصدمات (TARN)، وقد تم اختراقها من قبل عصابة برامج الفدية في هجوم عام 2023 على جامعة مانشستر. لم تعد الجامعة تدير السجل المعني.
ردًا على الأسئلة المتعلقة بالمخاوف الأمنية المستمرة، أخبرت NHS England مجلة Computer Weekly أن النظام يتوافق مع إرشادات الأمن السيبراني الخاصة بـ NHS وأنه لا يوجد شرط محدد ليكون جزءًا من HSCN.
منح العقد
قالت FCR أيضًا أن لديها مخاوف كبيرة بشأن عملية كيفية منح عقد ORP في المقام الأول. كان نشأة FCR بمثابة تهديد محسوس للسجلات القائمة ذات الشهرة العالمية في أعقاب إصدار مسودة عقد جديدة من قبل هيئة الخدمات الصحية الوطنية في إنجلترا، والتي تقول السجلات القائمة إنها تعتبرها “في الأساس إشعارًا بالانسحاب”.
في أعقاب ذلك، قالت FCR إنها وجدت العديد من المشكلات، بما في ذلك الحالات التي تم فيها حجب مدفوعات عقود التسجيل، وتوقف تدفق البيانات إلى السجلات الرئيسية، وتوقفت مشاريع التسجيل، وتركت البيانات التاريخية غير متاحة أو تم حذفها بسبب السماح للعقود القانونية بانتهاء صلاحيتها. بعد ذلك، أخبرت جهات اتصال FCR داخل NHS England المجموعة أنه تم استغلال المورد الياباني NEC لتطوير منصة ORP الأوسع والسجلات المختلفة في النطاق، وفي ضوء ذلك شرعت FCR في محاولة معرفة المزيد حول كيفية وصول هذا العقد إلى يتم منحها.
ما كشفت عنه هو عقد بقيمة مليون جنيه إسترليني تقريبًا يعود تاريخه إلى مارس 2023، وُصِف بأنه “غامض إلى حد ما” في طبيعته، والذي غطى التطوير الأولي لـ ORP بما في ذلك دمج اثنين من السجلات السريرية وأمراض الأوعية الدموية وحالات المفاصل في المنصة. . وفي وقت كتابة هذا التقرير، لم يتم تسليم هذا بعد.
ومع ذلك، لم يتمكن FCR من تحديد أي تفاصيل أخرى للعقد عبر خدمة البحث عن العقود الحكومية – وهي أين وعادة ما يتم نشرها، وإن كان ذلك في كثير من الأحيان في شكل منقح.
“ثم علمنا أنهم [NEC] كنا نعمل على العديد من السجلات الأخرى التي لم يتم ذكر أي شيء فيما يمكن أن نراه بشأن العقد. قال ممثل FCR: “كل ما كان لدينا هو العنوان، لذلك كان من الصعب جدًا علينا معرفة ما كان يغطيه وما لا يغطيه”.
“في كل مرة سألناهم فيها، ظلوا يشيرون إلى العقد الأصلي ويقولون إنه يغطي كل هذا العمل المتعلق بالقوقعة، وزراعة الثدي، والأربطة، وكل شيء. ولكن لم تكن هناك إشارة إلى ذلك في العنوان، لذلك اعتقدنا أن هذا لا يمكن أن يكون صحيحًا.
بدأت FCR في تقديم طلبات حرية المعلومات (FoI) لمحاولة تحديد تكاليف تطوير السجلات الفردية ودمجها في ORP، ولكن تم إخبارها بأنه لا توجد تفاصيل أخرى لمشاركتها.
استمرت المجموعة في التصعيد دون رادع من خلال مكتب مفوض المعلومات (ICO)، الذي وجد خلال صيف عام 2024 أن هيئة الخدمات الصحية الوطنية في إنجلترا فشلت في الامتثال لطلبات المجموعة بشكل مناسب.
ومع ذلك، وفقًا لنسخة FCR للأحداث، عثرت اتصالاتها داخل NHS England لاحقًا على عقد ORP آخر بقيمة 1.24 مليون جنيه إسترليني، تم منحه لشركة NEC في 23 فبراير 2024 ولكن غير منشور رسميًا حتى 11 يوليو 2024، بعد مرور ما يقرب من ثلاثة أشهر على طرح سؤال حول هذا الموضوع في مجلس العموم.
“لم يكشفوا عنها ردًا على النائب في البرلمان، ولم يكشفوا عنها عندما كنا نجري جميع حرية المعلومات، ولم يكشفوا عنها على الموقع العام حيث من المفترض نشر جميع العقود. لم يكن موجودًا وعندما سأل FCR المالك المسؤول الأول [SRO] بالنسبة لهذا البرنامج، لم يكشفوا عنه أيضًا. لقد استمروا في الإشارة إلى هذا العقد الأصلي.
“لم نتمكن من فهم كيفية عمل كل هذه الأمور الأخرى السجلات تم تطويرها بموجب هذا العقد الأولي، وظلوا يقولون، إنها مشمولة بذلك. “حسنًا، في الواقع، كلهم في العقد الثاني،” قال ممثل FCR.
هناك مطالبة أخرى قدمتها FCR وهي أن كلا العقدين تم منحهما مباشرة لشركة NEC دون اتباع العملية المناسبة ودون تقييم مناسب للسوق. ردًا على أسئلة FCR، قال NHS England ORP SRO في ذلك الوقت أنه تم إجراء تقييم للسوق، ولكن بعد ذلك قام مدير التحول في NHS England بتغيير مساره بشأن هذا، قائلاً إنهم لم يفعلوا ذلك. وقد أدى هذا الوضع إلى الاستياء بين أعضاء FCR الذين يشعرون أنهم – وليس اللجنة الوطنية للانتخابات – هم الذين أثبتوا خبرتهم في تسليم السجلات الطبية.
قالت NHS England أن ردها على ICO يتعلق بالعقود والنفقات المعمول بها في وقت الطلب الأولي لـ FCR، وأنها قدمت الآن “مزيد من التفاصيل بما يرضي ICO”.
اتباع القواعد
بالإضافة إلى ذلك، قالت FCR إن نشر عقد NEC الثاني بعد بضعة أشهر من منحه يشير إلى أن المسؤولين عن المشتريات يحاولون التلويح به بأثر رجعي وإعطاء المظهر بأنه تم اتباع القواعد.
أصبح الجدول الزمني لعقد ORP أكثر غموضًا في أغسطس وسبتمبر 2024، عندما بدا أن عملية شراء جديدة قد بدأت، والتي اتخذت هذه المرة شكل طلب للحصول على معلومات (RFI)، يليه عرض توضيحي من الموردين ثم منح العقد، ويبدو في البداية أنه يقطع عملية المناقصة بالكامل.
“سأل الموردون: “ما هي مواصفات النظام؟”، وقالت هيئة الخدمات الصحية الوطنية في إنجلترا: “سنكشف فقط عن مواصفات النظام لمقدم العرض الفائز”. كيف يكون لذلك أي معنى؟” قال ممثل FCR.
إلى جانب نشر عقد NEC الثاني بعد بضعة أشهر من منحه، فإن العمليات المعقدة المتضمنة في ما كان ينبغي أن يكون عملية شراء مباشرة قد أعطت وزنًا إضافيًا لاعتقاد FCR بأن مشروع ORP يُعطى الضوء الأخضر بأثر رجعي.
“إنهم يعلمون أنهم لم يتبعوا العمليات الصحيحة والآن يتعلق الأمر فقط بمحاولة حماية أنفسهم. قال المبلغ عن مخالفات FCR: “كل حالات عدم الاستجابة هذه لمعلومات حرية المعلومات، يحاولون كل الحيل لتجنب الوقوع فيها”.
قالت هيئة الخدمات الصحية الوطنية في إنجلترا إن العقود تم منحها بموجب اتفاقيات إطارية ثابتة – وتتوفر تفاصيل كليهما عبر موقع Contracts Finder، الموجود هنا و هنا. ومع ذلك، ردًا على مخاوف FCR بشأن التكاليف، قالت إنه تم حجب هذه التكاليف لأسباب تتعلق بالسرية التجارية بموجب المادة 43 (2) من قانون حرية المعلومات لعام 2000.
وأكدت المنظمة أنها أصدرت طلب معلومات واحدًا للعقد الجديد، والذي أصبح ساريًا حاليًا، وقالت إنه تم إطلاع جميع المشاركين على التقدم والجداول الزمنية للمشاركة.
وقال متحدث باسم هيئة الخدمات الصحية الوطنية في إنجلترا لموقع Computer Weekly: “إن تتبع ومراقبة الأجهزة والمزروعات أمر بالغ الأهمية لسلامة المرضى، وتفي منصة سجلات النتائج بجميع المعايير المناسبة في مجال الأمن السيبراني وحماية البيانات. نحن ندير عملية شراء مفتوحة وشفافة للمرحلة التالية من البرنامج.
