وفقًا لصحيفة فايننشال تايمز (FT)، تمنح هيئة الخدمات الصحية الوطنية الموظفين في شركات مثل Palantir “وصولاً غير مقيد” إلى بيانات المرضى الشخصية أثناء العمل على منصة البيانات الموحدة (FDP).
كما هو مذكور في التقرير، فإن التغيير المشار إليه في مذكرة الإحاطة الداخلية التي اطلعت عليها “فاينانشيال تايمز” يتعلق بمستأجر البيانات الوطنية (NDIT)، الذي يوصف بأنه “ملاذ آمن للبيانات” قبل أن يتم “اسم مستعار” ومشاركتها مع أنظمة أخرى.
وأضافت صحيفة فايننشال تايمز أن هيئة الخدمات الصحية الوطنية في إنجلترا ستنشئ دورًا “إداريًا”، مما يمنح موظفي شركة Palantir “وصولاً غير مقيد” إلى NDIT والبيانات التي تحدد هوية المريض.
بالإضافة إلى موظفي Palantir، قد يشمل ذلك موظفين من الشركات الاستشارية المعينة للعمل في FDP. يمثل هذا التغيير خروجًا واضحًا عن الممارسة الحالية، والتي تتطلب من أي شخص يعمل مع NDIT تقديم طلب للوصول الشفاف إلى مجموعات بيانات معينة.
أعلن ذلك المتحدث باسم هيئة الخدمات الصحية الوطنية في إنجلترا أخبار الصحة الرقمية: “تطبق NHS سياسات صارمة لإدارة الوصول إلى بيانات المرضى وتجري عمليات تدقيق منتظمة لضمان الامتثال – بما في ذلك مراقبة عمل المهندسين الذين يساعدون في إنشاء منصة مركزية لجمع البيانات من شأنها تتبع أداء NHS وتساعد على تحسين رعاية المرضى.
“أي شخص خارجي يحتاج إلى الوصول يجب أن يكون لديه تصريح أمني حكومي وأن يتم تصريحه من قبل أحد موظفي NHS England على مستوى المدير أو أعلى.”
واعترفت وثيقة الإحاطة، التي كتبها كبير مسؤولي البيانات في هيئة الخدمات الصحية الوطنية في أبريل 2026، بأن منح التراخيص الموسعة قد يعني “خطر فقدان ثقة الجمهور” عندما يتعلق الأمر “بحماية بيانات المرضى وضمان استخدامها بشكل مناسب والوصول إليها”.
في حين أن الوصول الواسع كان مخصصًا في الأصل فقط لموظفي هيئة الخدمات الصحية الوطنية الذين يحملون تصريحًا أمنيًا، فقد ذكرت صحيفة فايننشال تايمز أن الإحاطة أشارت إلى أن العمال الخارجيين طلبوا نفس الامتيازات “لأنه من غير الملائم للغاية التقدم بطلب للحصول على جميع تصاريح العمل الفردية الضرورية”.
وقال متحدث باسم شركة Palantir لـ FT: “من وجهة نظر هيئة الخدمات الصحية الوطنية وجميع عملائنا، فإننا مُصنفون قانونًا على أننا “معالجو بيانات” وعملاؤنا على أنهم “مراقبو بيانات”.
“وهذا يعني أنه لا يمكن استخدام برنامج Palantir إلا لمعالجة البيانات وفقًا لتعليمات العميل تمامًا.
“إن استخدام البيانات لأي غرض آخر لن يكون غير قانوني فحسب، بل سيكون أيضًا مستحيلًا من الناحية الفنية بسبب ضوابط الوصول التفصيلية التي تشرف عليها هيئة الخدمات الصحية الوطنية.”
وجاء في الإحاطة: “لا يتعلق الأمر بشركة Palantir فقط، ولهذا السبب ذكرنا الموظفين غير العاملين في NHSE، ولكن هناك حاليًا اهتمام عام كبير ومخاوف بشأن مدى الوصول إلى بيانات مرضى Palantir/Palantir”.
توصي المذكرة بوضع حد أقصى لعدد المسؤولين الخارجيين الذين لديهم حق الوصول إلى NDIT، والذي يجب أيضًا أن يكون محدودًا بالوقت ومراجعته بانتظام.
قال سيف عابد، الشريك المؤسس لخدمات استشارات الأمن السيبراني في مجموعة AbedGraham Group أخبار الصحة الرقمية“أخشى أنه لم يتم تعلم أي دروس من حادثة البنك الحيوي الأخيرة في المملكة المتحدة، والتي تمثل في حد ذاتها فضيحة وطنية.
“لا ينبغي أبدًا أن يتم منح وصول المسؤول باستخفاف، وبالتأكيد ليس على نطاق واسع. نحن إحدى مقايضة المسؤولين، على سبيل المثال في حالة البرامج الضارة Infostealer أو التهديد الداخلي، بعيدًا عن خرق البيانات بنسب غير مرئية في حالة بيانات المرضى في المملكة المتحدة.”
وقعت شركة تحليل البيانات الأمريكية Palantir عقدًا بقيمة 330 مليون جنيه إسترليني في عام 2023 لتوفير FDP، الذي يربط البيانات بين مؤسسات NHS.
كان تورط الشركة مثيرًا للجدل إلى حد كبير وأثارت علاقاتها مع إدارة الهجرة والجمارك الأمريكية (ICE) أسئلة أخلاقية، مما دفع الحكومة إلى الاعتراف بأنها يمكن أن تفكر في بدائل لبرنامج FDP الخاص بشركة Palantir بمجرد وصول الصفقة إلى شرط الإلغاء.
