NHS İngiltere’nin Sonuç ve Kayıt Platformu (ORP) için devam eden satın alma süreci, tüm işletmenin kamu sektörü satın alma düzenlemelerine uyum konusunda sert davrandığı iddialarının yanı sıra, projenin veri güvenliği uygulamalarının durumuna ilişkin endişelere yol açmaya devam ediyor.
ORP projesi, klinik hizmetlerin ülke çapında işleyişinde ve yönetiminde NHS’yi desteklemek için bir veri deposu görevi gören, tıbbi uzmanlar ve teknoloji uzmanları tarafından uzun yıllar boyunca oluşturulan, dünyaca ünlü çeşitli klinik cihaz kayıtlarını bir araya getirmek üzere tasarlanmıştır. Hizmetlerin devreye alınmasını, yeni tedavilerin başlatılmasını ve etkili (veya etkisiz) tedavilerin daha iyi tanımlanmasını, çok çeşitli kalite güvence süreçlerini, araştırma ve politika geliştirmeyi mümkün kılar ve hasta güvenliğinin sağlanmasına yardımcı olur.
Bu yılın başlarında Computer Weekly, projenin giriş sayfasına Sağlık ve Sosyal Bakım Ağı (HSCN) yerine internet bağlantısı olan herkesin erişebildiğini ve NHS’ye aykırı çalışan çok faktörlü kimlik doğrulama (MFA) tarafından korunmadığını bildirdi. İngiltere yönetiyor.
O sırada yanıt veren NHS İngiltere, ORP platformunda güvenliği artırmak için harekete geçtiğini ve makalenin yayınlanmasından bu yana MFA’nın uygulandığını söyledi.
Bu, ORP programının gidişatından endişe duyan ve defalarca denetlendiklerini söyleyen bir grup kayıt lideri sağlık profesyoneli ve teknoloji uzmanından oluşan Klinik Kayıtlar Federasyonu (FCR) tarafından daha önce vurgulanan bazı endişelerin hafifletilmesinde biraz yol kat etti. şüphelerini dile getirmeye çalıştıklarında NHS İngiltere tarafından kenara itildi.
FCR’ye göre, iddiaya göre göz ardı edilen çok daha derin veri koruma sorunları da dahil olmak üzere diğer güvenlik sorunları NHS İngiltere tarafından ele alınmıyor.
“MFA’yı getirmiş olmalarına rağmen, bu sisteme hemen hemen herkesin kaydolabilmesi konusunda ne yaptılar? İsminin açıklanmaması kaydıyla Computer Weekly’ye konuşan bir FCR temsilcisi, “E-tablolar üzerinden bir şeyler gönderiliyor ve kullanıcılara sistemde olmak isteyip istemedikleri sorulmadan toplu olarak ön kayıt yaptırılıyor” dedi. FCR’ye verilen yanıtlara göre en az 6.000 kayıtlı kullanıcı bulunuyor ve bunların yalnızca 900’ü “aktif” kullanıcı olarak sınıflandırılıyor.
“Onun [also still] internette oturdu, bu da bulut güvenliği yönergelerine aykırıdır Beşinci Sınıf verileri. FCR, bu güvenlik konularına açıklık getirilmesi için defalarca NHS İngiltere Siber Güvenlik Departmanını takip etti.”
Beşinci Sınıf veriler, NHS kapsamında bulutta barındırılan ve en yüksek düzeyde risk taşıyan veriler olarak tanımlanır. Resmi kılavuz, bu seviyedeki hizmetlerin işletilmesinin “uzman tavsiyesi ve rehberliğinin takip edilmesiyle yönetim kurulu düzeyinde organizasyonel taahhüt” gerektirdiğini belirtmektedir.
FCR temsilcisi, NHS İngiltere’nin çeşitli veri kümelerine yönelik risklerin farkında olması gerektiğini çünkü mevcut kayıtlardan biri olan ve daha önce Travma Denetim ve Araştırma Ağı (TARN) olarak bilinen Ulusal Büyük Travma Kaydı’nın (NMTR) bir başkası tarafından ele geçirildiğini söyledi. 2023’te Manchester Üniversitesi’ne düzenlenen saldırıda fidye yazılımı çetesi. Üniversite artık söz konusu kayıt defterini çalıştırmamaktadır.
Devam eden güvenlik kaygılarıyla ilgili soruları yanıtlayan NHS İngiltere, Computer Weekly’ye sistemin NHS siber güvenlik yönergelerine uygun olduğunu ve HSCN’nin parçası olması için özel bir gereklilik olmadığını söyledi.
Sözleşme ödülü
FCR ayrıca ORP sözleşmesinin ilk etapta nasıl imzalandığına ilişkin süreç konusunda önemli endişeleri olduğunu söyledi. FCR’nin doğuşu, NHS İngiltere tarafından yeni bir sözleşme taslağının yayınlanmasının ardından dünyaca ünlü tescilli kuruluşlara yönelik algılanan bir tehditti; yerleşik kayıt otoriteleri bunu “esasen bir istifa bildirimi” olarak gördüklerini söylediler.
Bunun ardından FCR, kayıt sözleşmesi ödemelerinin alıkonulduğu, önemli kayıtlara veri akışının durdurulduğu, kayıt defteri projelerinin durdurulduğu ve yasal sözleşmelerin süresinin dolmasına izin verildiği için geçmiş verilerin kullanılamadığı veya silindiği durumlar da dahil olmak üzere birçok sorun bulduğunu söyledi. Daha sonra, NHS İngiltere’deki FCR bağlantıları gruba Japon tedarikçi NEC’in daha geniş ORP platformunu ve kapsam dahilindeki çeşitli kayıtları geliştirmek için görevlendirildiğini ve bunun ışığında FCR’nin bu sözleşmenin nasıl gerçekleştiği hakkında daha fazla bilgi edinmek için yola çıktığını söyledi. ödüllendirilmek.
Ortaya çıkardığı şey, doğası gereği “biraz belirsiz” olarak tanımlanan, klinik kayıtlardan ikisinin, damar hastalıklarının ve eklem rahatsızlıklarının platforma entegrasyonu da dahil olmak üzere ORP’nin ilk gelişimini kapsayan Mart 2023 tarihli yaklaşık 1 milyon £ değerinde bir sözleşmeydi. . Bu yazı yazıldığı sırada henüz teslim edilmedi.
Ancak FCR, devletin sözleşme bulma hizmeti aracılığıyla sözleşmenin diğer ayrıntılarını belirleyemedi. Çoğunlukla redakte edilmiş biçimde de olsa normalde yayınlanacakları yerde.
“Sonra öğrendik ki onlar [NEC] sözleşmeyle ilgili görebildiklerimizde hiç bahsi geçmeyen birden fazla kayıt üzerinde çalışıyorduk. Elimizde olan tek şey başlıktı, bu nedenle neyi kapsayıp neyi kapsamadığını bilmek bizim için çok zordu” dedi FCR temsilcisi.
“Onlara her sorduğumuzda, orijinal sözleşmeye işaret edip bunun koklear, göğüs implantları, bağlar ve her şeyle ilgili tüm çalışmaları kapsadığını söylediler. Ancak başlıkta buna dair bir atıf yoktu, dolayısıyla bunun doğru olamayacağını düşündük.”
FCR, bireysel kayıtların geliştirilmesinin ve bunların ORP’ye entegrasyonunun maliyetlerini belirlemeye çalışmak için bilgi edinme özgürlüğü (FoI) talepleri sunmaya başladı, ancak paylaşılacak başka ayrıntı olmadığı söylendi.
Grup, yılmadan, Bilgi Komiserliği Ofisi (ICO) aracılığıyla tırmanmaya devam etti; bu ofis, 2024 yazında NHS İngiltere’nin grubun taleplerine uygun şekilde uymadığını tespit etti.
Bununla birlikte, FCR’nin olay anlatımına göre, NHS İngiltere’deki bağlantıları daha sonra 1,24 milyon £ tutarında başka bir ORP sözleşmesi buldu; bu sözleşme 23 Şubat 2024’te NEC’e verildi ancak 11 Temmuz 2024’e kadar resmi olarak yayınlanmadı, yani hakkında bir soru sorulduktan neredeyse üç ay sonra. Avam Kamarası’nda.
“Parlamentodaki milletvekiline yanıt olarak bunu açıklamadılar, biz tüm FOI’leri yaparken açıklamadılar, tüm sözleşmelerin yayınlanmasının amaçlandığı kamuya açık web sitesinde açıklamadılar. Orada değildi ve FCR kıdemli sorumlu sahibine sorduğunda [SRO] o program için de onu açıklamadılar. Sürekli olarak o orijinal sözleşmeye işaret ediyorlardı.
“Bütün bunların nasıl olduğunu anlayamadık Kayıtlar bu ilk sözleşme kapsamında geliştiriliyordu ve onlar da bunun kapsamına girdiğini söyleyip duruyorlardı. Aslında hepsi ikinci sözleşmede yer alıyor” dedi FCR temsilcisi.
FCR’nin ileri sürdüğü bir başka iddia da, her iki sözleşmenin de uygun süreç izlenmeden ve uygun bir pazar değerlendirmesi yapılmadan doğrudan NEC’e verildiğidir. FCR’nin sorularını yanıtlayan NHS İngiltere ORP SRO, o dönemde bir pazar değerlendirmesi yapıldığını ancak daha sonra NHS İngiltere dönüşüm direktörünün böyle olmadığını söyleyerek bu konudaki tavrını değiştirdiğini söyledi. Bu durum, tıbbi kayıtların sunulmasında NEC yerine kendilerinin kanıtlanmış uzmanlığa sahip olduğunu düşünen FCR üyeleri arasında kızgınlığa yol açtı.
NHS İngiltere, ICO’ya verdiği yanıtın, FCR’nin ilk talebi sırasında yürürlükte olan sözleşmeler ve harcamalarla ilgili olduğunu ve artık “ICO’yu memnun edecek daha fazla ayrıntı” sağladığını söyledi.
Kurallara uymak
Ek olarak FCR, ikinci NEC sözleşmesinin imzalanmasından birkaç ay sonra yayınlanmasının, ihaleden sorumlu olanların bunu geriye dönük olarak uygulamaya çalıştıklarını ve kurallara uyulduğu izlenimini verdiklerini gösterdiğini söyledi.
ORP sözleşmesinin zaman çizelgesi, yeni bir satın alma sürecinin başladığı Ağustos ve Eylül 2024’te daha da karanlık bir hal aldı; bu süreç, bu sefer bir bilgi talebi (RFI), ardından tedarikçilerden bir gösteri ve ardından bir ödül verilmesi şeklini aldı. Başlangıçta ihale sürecini tamamen kesecek gibi görünen sözleşme.
“Tedarikçiler, ‘Sistemin özellikleri nedir?’ diye sordular ve NHS İngiltere, ‘Sistemin özelliklerini yalnızca kazanan teklif sahibine açıklayacağız’ dedi. Bunun ne anlamı var?” dedi FCR temsilcisi.
İkinci NEC sözleşmesinin imzalanmasından birkaç ay sonra yayınlanmasıyla birlikte, doğrudan bir satın alma olması gereken karmaşık süreçler, FCR’nin ORP projesine geriye dönük olarak yeşil ışık yakıldığı yönündeki inancına ilave ağırlık kazandırdı.
“Doğru süreçleri izlemediklerini biliyorlar ve artık mesele sadece kendilerini korumaya çalışmak. FOI’lere verilen tüm bu yanıtsızlıklar, kendilerini bu duruma sokmamak için kitaptaki her türlü numarayı deniyorlar,” dedi FCR’nin ihbarcısı.
NHS İngiltere, sözleşmelerin belirlenmiş çerçeve anlaşmalar kapsamında verildiğini söyledi; her ikisinin ayrıntılarına burada ve burada bulunan Sözleşme Bulucu aracılığıyla ulaşılabilir. Ancak FCR’nin maliyetlerle ilgili kaygılarına yanıt olarak, bunların Bilgi Edinme Özgürlüğü Yasası 2000’in 43(2) bölümü uyarınca ticari gizlilik nedenleriyle alıkonduğunu söyledi.
Kuruluş, şu anda yayında olan yeni sözleşme için tek bir RFI yayınladığını doğruladı ve tüm katılımcıların ilerleme ve katılım zaman çizelgeleri konusunda bilgilendirildiğini söyledi.
Bir NHS İngiltere sözcüsü Computer Weekly’ye şunları söyledi: “Cihazların ve implantların izlenmesi ve izlenmesi hasta güvenliği açısından çok önemlidir ve Sonuç Kayıtları Platformu, siber güvenlik ve veri koruma konusunda tüm uygun standartları karşılamaktadır. Programın bir sonraki aşaması için açık ve şeffaf bir satın alma süreci yürütüyoruz.”