نسخه الکترونیکی سوراخ دارد!
علی صولتی - در گزارشهای قبلی همین صفحه گفتیم که طرح صدور الکترونیکی نسخههای پزشکی که قرار بود تسهیلگر خدمات پزشکی باشد، ناقص اجرا شده و هماکنون تنها دو بیمهگر به این سامانه متصل هستند، درنهایت همه پروژههای الکترونیک و اینترنتیشدن امور در ایران به شکست میانجامد؛
اتفاقی تکراری که انگار دیگر برایمان تبدیل به عادت شده است، نمیتوان گفت این طرح شکست خورده است؛ چراکه هماکنون درحال اجراست ولو بهطور ناقص... . از بین سه بیمهگر مهم دولتی، تامیناجتماعی و بیمه سلامت به سامانه نسخههای الکترونیک متصل شدهاند اما بیمه نیروهای مسلح میگوید اطلاعات بیمهگذارانش که اغلب نظامی و از مقامات ردهبالای امنیتی و لشکری هستند را نمیتواند دراختیار این سامانهها قرار دهد، خب سوال اینجاست که چرا بیمه نیروهای مسلح اطلاعاتش را به این سامانهها متصل نمیکند؟ چرا نهادهای نظامی در این طرح وارد نمیشوند؟
پاسخ روشن است، چون این سامانهها امنیت کافی ندارند. پس اگر واقعا این سامانهها امنیت کافی ندارند و نهادهای نظامی از ورود به اینها خودداری میکنند، چرا تامین اجتماعی و بیمه سلامت به آنها متصل شدهاند؟ اگر امنیت نیست، برای همه نیست و این نظر که برای نظامیان امنیت نیست و برای سایر مردم هست، واضح است که نمیتواند درست باشد. در این گزارش سعی میکنیم با گفتوگو و کمک گرفتن از کارشناسان این حوزه، به این سوال پاسخ دهیم که آیا دادهها و اطلاعات کاربران در طرح صدور نسخههای الکترونیک، حفاظت شده و در امنیت هستند یا خیر.
مصداقهای مختلفی برای ناامن بودن شبکه دادهها و اطلاعات وجود دارند که هر روز نمونههایش را از رسانهها یا حتی اطرافیانمان میشنویم. بهتازگی موارد عجیبی از بیمارانی که توسط پزشکان ویزیت میشوند به گوش میرسد. بهعنوان مثال بیماری برای ویزیت به پزشکی مراجعه کرده و نسخهای هم برای تهیه داروهای موردنیاز برایش تجویز میشود. تلفنهمراه بیمار اما بهمحض خروج از مطب پزشک و قبل از آنکه بتواند داروها را تهیه کند، به صدا درآمده و پیامکی تبلیغاتی برایش نمایش داده میشود که بیمار محترم، تشریف بیاورید از فروشگاه اینترنتی ما داروی موردنظرتان را خریداری کنید.
چنین اتفاقی دقیقا یعنی اطلاعاتفروشی، به این معنا که یا پزشک محترم اطلاعات بیمار را بدون اطلاع و رضایت خود بیمار به شرکتهای فروش دارو فروخته یا همزمان با ورود اطلاعات پزشکی بیمار به سامانه صدور نسخههای الکترونیکی، این شرکتها اطلاعات بیمار را از سامانه برداشته و جهت بازاریابی از آنها استفاده میکنند.
کیانوش جهانپور در این رابطه به ما گفت: «متاسفانه چنین امری چه از طریق داروخانهها و چه پزشکان و از طریق پلتفرم ثبت نسخه دارویی انجام میگیرد اما هرگونه فروش این اطلاعات هم از نظر اخلاقی و هم قانونی عملی غیرقابلقبول است و جرم تلقی میشود.» فروش اطلاعات البته امر جدیدی نبوده و نیست و بسیاری از شرکتهای فروش و عرضه کالا و خدمات از این راه بازاریابی میکنند؛ پیامکهای بیشماری که برایتان میآید و هم حاوی نام و مشخصاتتان است و هم علایقتان را میداند، شاهدی بر این مدعاست. سوال مهم آن است که درنهایت چه کسی متولی افشای اطلاعات شخصی کاربران، سوءاستفاده و تجارت با آن است؟
پلتفرمهای خصوصی که اطلاعات بیماران را بدون رضایت خودشان در اختیار دارند
در دنباله همین مورد کاربر دیگری به خبرنگار ما گفته است؛ «سلام، برای من یک نسخه الکترونیک جهت تصویربرداری در سامانه تامین اجتماعی صادر شد، دقیقا بعد از یک ساعت یک پیامک آمد از سامانه اکسون که گویا یک شرکت خصوصی در حوزه سلامت هست که تقریبا پیام بیمحتوایی بود. ولی کد رهگیری نسخه من را داخلش نوشته بودند! تامین اجتماعی این اطلاعات خصوصی افراد و بیماران را چرا دراختیار سامانه دیگری گذاشته است؟» اپلیکیشن اکسون، سایت اکسون و شرکت دانشبنیان اکسون، ما عنوان شرکت را در سایتشان ندیدیم و به اسم اکسون هم آگهی تاسیسی در روزنامه رسمی مشاهده نکردیم که با این شرکت در ارتباط باشد، اما از آنچه در سایت درباره خود و فعالیتهایشان توضیح دادهاند، معلوم است که خدمات آنلاین به پزشکان و بیماران ارائه میکنند و ازجمله این خدمات، ثبت اطلاعات بیماران است.
این البته تنها شرکتی نیست که اقدام به ثبت اطلاعات بیماران در سامانههای بیمه و صدور نسخههای الکترونیک میکند، پیشتر یک پزشک عمومی درباره پلتفرمهای آنلاین فروش دارو و خدمات پزشکی به ما گفته بود: «بهعنوان مثال یک پلتفرمی هست که هنوز به شکل اپلیکیشن درنیامده، یک دانشجوی داروسازی هم آن را راه انداخته است که به احتمال قوی هنوز فارغالتحصیل هم نشده و به پشتوانه فردی که با پلتفرم علیبابا مرتبط است، این کار را انجام داده. این به آن معناست که همان کسانی که پشت پلتفرمهای رایجی مثل علیبابا و اسنپ و... بودند، همینها با توجه به سوابقی که داشتند، رفتهاند قرارداد بستهاند که ما فروش دارو را هم انجام میدهیم و هیچ شفافیتی هم در این خصوص وجود ندارد. فروش اطلاعات هم در همین بستر از طرق گوناگون انجام خواهد شد. بهعنوان مثال همین اپلیکیشنها و پلتفرمها میتوانند اطلاعات بیماران یا آمار فروش داروهایی مثل داروی فشار خون را گرفته و دراختیار شرکتهای تولیدی این دارو قرار دهند و متاسفانه برای جلوگیری از این امور هم هیچ نظارتی وجود ندارد. پزشکان نیز بهنوعی مجبورند نسخه الکترونیک صادر کنند؛ چراکه برای من پزشک اگر نسخه الکترونیک بخواهم صادر کنم ۷۰هزار تومان هزینه ویزیت خواهم گرفت و اگر بخواهم نسخه دستی بنویسم ۶۰هزار تومان خواهد شد.
طبیعتا برای اینکه ۱۰هزار تومان بیشتر بگیرم، نسخه الکترونیک صادر خواهم کرد و اینکه درنهایت چه خواهد شد نیز دیگر برایم مهم نیست. متولی این نظارت هم تنها وزارت بهداشت نیست. نظام پزشکی مثل کودکی است که اگر کار خوبی از آن سر بزند همه میگویند ما پدر و مادرش هستیم، همه مسئولان اعم از دولتیها و مقامات مجلس، آن کارهای خوب را دستاورد خود تلقی میکنند. اما اگر کار بدی از این بچه سر بزند، هیچکس گردن نخواهد گرفت و مسئولیتی نخواهد پذیرفت. بهعنوان مثال در همین بحث نسخههای الکترونیکی، سازمان تامیناجتماعی، وزارت بهداشت و درمان، مجلس و سایر دستگاهها خودشان را در پیروزیها سهیم میدانند اما نوبت شکستها که میرسد نظام پزشکی باید مسئولیت همه ناکامیها را برعهده بگیرد.»
چه نظارتی بر این پلتفرمهای خصوصی میشود؟
این پزشک عمومی همچنین درمورد امنیت این شبکه اطلاعات به ما گفته بود: «همان زمانی که بحث نسخههای الکترونیکی داغ بود ما گفتیم و فریاد زدیم که اپلیکیشنهای مختلف اطلاعات بیمار را بهطور انبوه دریافت میکنند و این خودش مشکل دارد.
بهعنوان مثال این اپلیکیشن ا.د با فلان شرکت دارویی قرارداد میبندد که دکترش داروی آن شرکت را برای بیمار بنویسد و از طرفی پلتفرم هم به مریض پیامک میدهد که داروی فلان شرکت را خریداری کند! اینها مشکلاتی است که در قضیه نسخه الکترونیک وجود دارد و هیچ فکری هم برایش نشده است. بهطور کلی ما سه بیمه مهم داریم؛ بیمه نیروهای مسلح، بیمه تامیناجتماعی و بیمه سلامت. بیمه سلامت میتواند مشمول کارکنان دولت هم باشد. از بین این سه، تامیناجتماعی و بیمه سلامت به سامانه نسخههای الکترونیک متصل شدهاند اما بیمه نیروهای مسلح میگوید اطلاعات بیمهگذارانش که اغلب نظامی و از مقامات ردهبالای امنیتی و لشکری هستند را نمیتواند دراختیار این سامانهها قرار دهد؛ چراکه مشکلات و منافذ امنیتی این سامانهها هنوز مرتفع نشدهاند. مشکلات امنیتی هم در این سامانهها جدی است بهطور مثال خودم چند وقت پیش شماره ملی یکی از سران عالیرتبه کشور را در سامانه وارد کردم و متوجه شدم چه سالی بیمه بوده و چه سالی بیمه درمانیاش تمام شده.
خب اگر بهجای من فرد دیگری بود، میتوانست بهراحتی از این اطلاعات سوءاستفاده کرده و حتی آنها را دراختیار خبرگزاریهای خارجی قرار دهد. اصلا اینکه پزشکان بتوانند با وارد کردن یک کد ملی بهسهولت به همه این اطلاعات دسترسی داشته باشند و پرونده سلامت هرکس را که بخواهند، بتوانند دربیاورند یک مشکل امنیتی جدی است و لازم است همراه این نسخههای الکترونیکی، امضاهای الکترونیکی هم وجود داشته باشد.»
داریوش چیوایی، کارشناس نظام سلامت در پاسخ به این سوال که چه نظارتی روی این پلتفرمها اعمال میشود به «فرهیختگان» گفت: «وزارتها ارتباطات و فناوری اطلاعات و سازمان پدافند غیرعامل بر این پلتفرمها نظارت دارند و باید هرکدام بسته به فعالیت این پلتفرمها مجوزهای لازم را صادر کنند. این پلتفرمها بدون اخذ تاییدیه نمیتوانند به حوزه فعالیت ورود کنند. درمورد سازوکارهای صدور مجوز باید گفت وزارت ارتباطات و سازمان پدافند غیرعامل، مسئولیت نظارت را برعهده دارند، مثلا اپلیکیشنی مانند اسنپ اطلاعات عبور و مرور میلیونها کاربر را دارد، تقریبا همان نظارتی که بر اسنپ میشود، بر این پلتفرمها نیز خواهد شد و این دستگاهها باید اطمینان حاصل کنند که از اطلاعات بکآپ گرفته نمیشود یا اگر گرفته میشود باید با مجوز انجام کارهای بیگدیتا باشد.»
اطلاعات خصوصی بیماران از کجا نشت میکند؟
همچنین یک پزشک داروساز و کارشناس نظام سلامت درباره اطلاعاتفروشی از سامانههای صدور نسخههای الکترونیک طی گفتوگویی به «فرهیختگان» توضیح داد: «به احتمال زیاد این اتفاقات باگ نیست، فساد است. ببینید قدیمترها این داستان همیشه وجود داشته که من بهعنوان مسئول داروخانهای بروم با آقای دکتر صحبت کنم و با او توافق کنم که مریضهایش را به داروخانه من بفرستند، یک حقالعملی هم به آقای دکتر پرداخت میکردم. اگر شما به پزشکان مختلف مراجعه کرده باشید احتمالا بارها مشاهده کردهاید که پزشک به شما خواهد گفت دارویت را از فلان داروخانه مشخص بگیر.
البته این یک بحث فنی است و متخصصان آیتی باید نظر بدهند اما اگر از من بهعنوان یک ناظر بپرسید، باید گفت زمانی که اطلاعات مردم در اپراتورهایی مثل ایرانسل و بانکها که محلهای بهمراتب حفاظتشدهتری هستند، بهراحتی لو میرود احتمالا و شما خیلی بهتر از من این را میدانید، چرا نباید در شبکه نسخهنویسی الکترونیکی اطلاعات لو برود؟ احتمالا این شبکه هم محافظت بهمراتب ضعیفتر و شلتری دارد و قطعا احتمال لورفتن و درزکردن اطلاعات از این شبکه وجود دارد.
با توجه به اینکه دسترسی پزشکان به این شبکه میسر است اگر پزشکی بخواهد تخلف کند، به سادگی میتواند به این اطلاعات دست پیدا کند. هرچند بعید است این کار، کار پزشکان باشد چون برایشان صرفه چندانی ندارد اما در این میان میدانیم که پزشک یا داروساز کنترل این شبکهها را به منشی یا تکنسین خود واگذار میکند یا کسانی دیگر که دستشان برای تخلف و سوءاستفاده باز است.» پزشک و کارشناس دیگری درباره نشت اطلاعات خصوصی و پروندههای پزشکی بیماران از سامانههای صدور نسخههای الکترونیک به ما گفت: «به احتمال قوی خود پزشک زحمتش را میکشد و اطلاعات را میدهد، چنین اقدامی صددرصد غیرمجاز است. بهعبارتی هرگونه تبلیغات برای خدمات درمانی در فضای مجازی حتما نیازمند مجوز است و این دست تبلیغاتی که بر پایه فروش اطلاعات خصوصی کاربران است، حتما غیرمجاز است.»
این پلتفرمها با چه سازوکاری انتخاب شده و چه نفعی دارند؟
داریوش چیوایی، کارشناس نظام سلامت، درباره اینکه این پلتفرمها با چه سازوکاری از سوی سازمان تامین اجتماعی و دستگاههای دولتی برگزیده شدهاند تا به بیماران خدمات بدهند و چه نفعی در قبال این خدمات دریافت خواهند کرد، به «فرهیختگان» گفت: «الان ما حدود ۱۰۰ هزار پزشک داریم که از این سامانهها استفاده میکنند، البته تعداد کاربران این سامانهها خیلی بیشتر است؛ چراکه دندانپزشکان، صاحبان داروخانهها، فیزیوتراپها و... نیز از کاربران این پلتفرمها هستند و اگر همه مراکز را حساب کنیم، تعداد کاربران تا ۴۰۰ هزار نفر هم خواهد رسید. این عدد یعنی یک بازار خیلی خوب و بزرگی که بهازای هرکدام از این کاربران، تراکنش خواهد داشت. طبیعتا هرکجا خدمات بهتر، سریعتر و راحتتر به شما ارائه کنند، سراغ آن گزینه میروید، الان پزشکان ممکن است به جهت اینکه نسخهنویسی الکترونیکی برایشان قدری سخت و مشکل باشد، اقدام به صدور نسخههای الکترونیکی نکنند اما این پلتفرمها میآیند کار را برای پزشکان راحت میکنند، لزوما دیتابیسی هم جمع نمیکنند بلکه درگاهی میشوند برای اتصال پزشکان به سامانهها و اطلاعات بیمه، این امر هم در وقت و هم در زحمت پزشکان صرفهجویی خواهد کرد و به نفع بیمار هم خواهد بود؛ چراکه یک فرآیند تسهیلگر محسوب میشود. هم بسترشان کاربرپسندتر است و هم دسترسیهایی که در سامانههای دیگر مهیا نیست، اینجا مهیا کردهاند، مشکلات و خطاهایشان هم کمتر است.
اما درمورد بخش دولتی، معمولا شرکتهای دولتی برایشان انجام کار اولویت بیشتری نسبت به کیفیت کار دارد، پس برای بالا رفتن کیفیت و بهتر شدن این سامانهها باید گفت راهحل، بخش خصوصی است که میتواند سرویس بهتری ارائه کند و درصد خود را نیز بگیرد.»
چرا دستگاههای دولتی وظایف خود را به این پلتفرمها واگذار میکنند؟
چیوایی در ادامه و در پاسخ به اینکه بهتر نیست دستگاههای دولتی و سازمان تامین اجتماعی به جای تفویض وظایف خود به این پلتفرمهای خصوصی، از سامانههای خود در انجام این امور استفاده کنند، گفت: «خود سازمان تامین اجتماعی و وزارت بهداشت، پلتفرمهای پایه را برای این کار دارند اما این مانعی برای فعالیت بخش خصوصی نیست. خدمات بخش خصوصی بهطورکلی تسهیلگر و ابتکاریتر است و خدمات را باکیفیت و در اشکال بهتر ارائه میکنند. بهعنوان مثال پزشکی که میخواهد برای بیماری نسخه الکترونیک بنویسد، باید یکبار در سامانه تامین اجتماعی وارد شود و با باگها و مشکلات سامانه دستوپنجه نرم کند که فلان خدمت یا فلان ارجاع ثبت نشده است، بعد از مواجهه و حل تمامی اینها برای بیمار بعدی باید از این سامانه خارج شده و وارد سامانه بیمه سلامت شود، خب این پلتفرمها میآیند همیندست کارها را برای پزشکان تسهیل میکنند. اما از بخش دولتی نمیتوان انتظار داشت که در تسهیلگر بودن و به خرج دادن ابتکارات همپای شرکتهای دانشبنیان و بخش خصوصی حرکت کنند. درنهایت تمامی امور باید به بستر آیتی برود. همین الان عمل جراحی دارد از راه دور انجام میشود، حالا سادهترین این خدمات را که ویزیت برخط است، نمیخواهیم اجرا کنیم؟
اگر نیاز به قوانین و زیرساخت دارند باید برایشان مهیا کنیم، نباید که صورتمساله را پاک کنیم! درصورت گسترش این پلتفرمها همه فعالیتها شفاف و دقیق خواهند شد. الان بحث حکمرانی حوزه الکترونیکی نظام سلامت، مهمترین بحث و دغدغه است و این مطالب که بخش خصوصی ورود میکند و اطلاعات را برمیدارد و مساله فضای امنیتی پیرامون اینها و... را قانون و نهادهای حاکمیتی باید حل کنند، همین الان شرکتهایی که تراکنشهای بانکی را ثبت میکنند مثل شاپرک و... ، اینها همه شرکتهای خصوصی بودند که بعدها بانکها سهام آنها را خریداری کردند، خب خدمات بانکی از طریق اینها تسهیل شدهاند، اگر از روز اول بنا بود با آنها برخوردهای امنیتی بشود که به اینجا نمیرسیدیم. درمورد سرویسدهی این پلتفرمها شایان ذکر است که سرویسهایی که از این درگاهها ارائه میشود جزء خدمات تسهیلکننده هستند.»
آیا این پلتفرمها با اطلاعات کلان کاربران تجارت میکنند؟
یک پزشک عمومی در ارتباط با تجارت بیگدیتا و شبکه اطلاعات جامع این پلتفرمها، در گفتوگو با «فرهیختگان» گفت: «از مجرای این سامانه نسخههای الکترونیک، یک دیتابیس ای برای شرکتها ایجاد میشود، بهعبارتی این شرکتها به اطلاعاتی از مریضها دسترسی پیدا میکنند. بهعنوان مثال مشاهده میکنند که در ماه از صد پزشک، ۸۰ نفرشان قرص فشار خون نوشتهاند، چه مارکی نوشتهاند؟ مثلا لوزارتان، بعد میروند با این شرکتها مذاکره میکنند و در ازای اطلاعات پول دریافت میکنند. حتما در این پلتفرمها اینگونه تخلفات هست، هیچ نهاد نظارتی هم روی اینها وجود ندارد.»
به گفته داریوش چیوایی، کارشناس نظام سلامت، هماکنون در سامانه صدور نسخه الکترونیک روزی ۲۰۰، ۳۰۰ هزار نسخه دارد صادر میشود که اگر این عدد را ضرب در روزها کنیم، متوجه بیگدیتای جالبتوجهی که به وجود آمده، میشویم. گفتنی است همین الان داخل خود این سازمانها دعواست که با این اطلاعات چه باید کرد و چطور میشود از این حجم گسترده اطلاعات، بهرهبرداری اقتصادی کرد؟ چیوایی، همچنین در پاسخ به این ادعا و اینکه چرا سازمانهای نظامی به بهانه نبود امنیت به این پلتفرمها متصل نمیشوند، گفت: «اساسا نهادهای نظامی اطلاعاتشان را به جایی نمیدهند و اینکه نهادهای نظامی وارد سامانه صدور نسخههای الکترونیک نشدهاند، نمیتواند دلیل محکمی بر این مدعا باشد که این سامانه امنیت ندارد. بیمه نیروهای مسلح اساسا با بیمههای تامین اجتماعی و بیمه سلامت متفاوت است، بیمه نیروهای مسلح آمار و ارقام اقتصادی و اسامی بیمهشدگان و حتی اطلاعاتی خصوصی و محافظتشده را به جایی نمیدهد، پس از این موضوع نمیشود استدلال کرد که چون بیمه نیروهای مسلح به حوزهای ورود نکردند و اطلاعاتشان را ندادند، پس آنجا خلأ امنیتی است. آیا این پلتفرمها اطلاعاتفروشی کرده و اطلاعات خصوصی کاربران را جابهجا میکنند؟
این مساله تنها گریبانگیر اینها که نیست، سازمانها، شرکتها و نهادهای دیگر نیز همین مشکل را دارند، اصلا این یک مساله کلیدی و جهانشمول است و همان وزارت ارتباطات و سازمان پدافند غیرعامل که بر اینها نظارت میکنند باید ایندست مسائل را هم حل کنند. در کل پزشکان و دستگاههای دولتی زیاد از شفافیت خوششان نمیآید و دوست دارند رقبای بخش خصوصی را از میدان به در کنند.»