نسخه الکترونیکی سوراخ دارد!

طرح صدور الکترونیکی نسخه‌های پزشکی که قرار بود تسهیل‌گر خدمات پزشکی باشد، ناقص اجرا شده و هم‌اکنون تنها دو بیمه‌گر به این سامانه متصل هستند، درنهایت همه پروژه‌های الکترونیک و اینترنتی‌شدن امور در ایران به شکست می‌انجامد؛ اتفاقی تکراری که انگار دیگر برایمان تبدیل به عادت شده است، نمی‌توان گفت این طرح شکست خورده است؛ چراکه هم‌اکنون درحال اجراست ولو به‌طور ناقص... . از بین سه بیمه‌گر مهم دولتی، تامین‌اجتماعی و بیمه سلامت به سامانه نسخه‌های الکترونیک متصل شده‌اند اما بیمه نیروهای مسلح می‌گوید اطلاعات بیمه‌گذارانش که اغلب نظامی و از مقامات رده‌بالای امنیتی و لشکری هستند را نمی‌تواند دراختیار این سامانه‌ها قرار دهد، خب سوال اینجاست که چرا بیمه نیروهای مسلح اطلاعاتش را به این سامانه‌ها متصل نمی‌کند؟ چرا نهاد‌های نظامی در این طرح وارد نمی‌شوند؟ پاسخ روشن است، چون این سامانه‌ها امنیت کافی ندارند. پس اگر واقعا این سامانه‌ها امنیت کافی ندارند و نهاد‌های نظامی از ورود به اینها خودداری می‌کنند، چرا تامین اجتماعی و بیمه سلامت به آنها متصل شده‌اند؟ اگر امنیت نیست، برای همه نیست و این نظر که برای نظامیان امنیت نیست و برای سایر مردم هست، واضح است که نمی‌تواند درست باشد. در این گزارش سعی می‌کنیم با گفت‌وگو و کمک گرفتن از کارشناسان این حوزه، به این سوال پاسخ دهیم که آیا داده‌ها و اطلاعات کاربران در طرح صدور نسخه‌های الکترونیک، حفاظت شده و در امنیت هستند یا خیر.

مصداق‌های مختلفی برای ناامن بودن شبکه داده‌ها و اطلاعات وجود دارند که هر روز نمونه‌هایش را از رسانه‌ها یا حتی اطرافیان‌مان می‌شنویم. به‌تازگی موارد عجیبی از بیمارانی که توسط پزشکان ویزیت می‌شوند به گوش می‌رسد. به‌عنوان مثال بیماری برای ویزیت به پزشکی مراجعه کرده و نسخه‌ای هم برای تهیه داروهای موردنیاز برایش تجویز می‌شود. تلفن‌همراه بیمار اما به‌محض خروج از مطب پزشک و قبل از آنکه بتواند داروها را تهیه کند، به صدا درآمده و پیامکی تبلیغاتی برایش نمایش داده می‌‌شود که بیمار محترم، تشریف بیاورید از فروشگاه اینترنتی ما داروی موردنظرتان را خریداری کنید. چنین اتفاقی دقیقا یعنی اطلاعات‌فروشی، به این معنا که یا پزشک محترم اطلاعات بیمار را بدون اطلاع و رضایت خود بیمار به شرکت‌های فروش دارو فروخته یا همزمان با ورود اطلاعات پزشکی بیمار به سامانه صدور نسخه‌های الکترونیکی، این شرکت‌ها اطلاعات بیمار را از سامانه برداشته و جهت بازاریابی از آنها استفاده می‌کنند. کیانوش جهانپور در این رابطه به ما گفت: «متاسفانه چنین امری چه از طریق داروخانه‌ها و چه پزشکان و از طریق پلتفرم ثبت نسخه دارویی انجام می‌گیرد اما هرگونه فروش این اطلاعات هم از نظر اخلاقی و هم قانونی عملی غیرقابل‌قبول است و جرم تلقی می‌شود.» فروش اطلاعات البته امر جدیدی نبوده و نیست و بسیاری از شرکت‌های فروش و عرضه کالا و خدمات از این راه بازاریابی می‌کنند؛ پیامک‌های بی‌شماری که برایتان می‌آید و هم حاوی نام و مشخصات‌تان است و هم علایق‌تان را می‌داند، شاهدی بر این مدعاست. سوال مهم آن است که درنهایت چه کسی متولی افشای اطلاعات شخصی کاربران، سوءاستفاده و تجارت با آن است؟

پلتفرم‌های خصوصی که اطلاعات بیماران را بدون رضایت خودشان در اختیار دارند
در دنباله همین مورد کاربر دیگری به خبرنگار ما گفته است؛ «سلام، برای من یک نسخه الکترونیک جهت تصویربرداری در سامانه تامین اجتماعی صادر شد، دقیقا بعد از یک ساعت یک پیامک آمد از سامانه اکسون که گویا یک شرکت خصوصی در حوزه سلامت هست که تقریبا پیام بی‌محتوایی بود. ولی کد رهگیری نسخه من را داخلش نوشته بودند! تامین اجتماعی این اطلاعات خصوصی افراد و بیماران را چرا دراختیار سامانه دیگری گذاشته است؟» اپلیکیشن اکسون، سایت اکسون و شرکت دانش‌بنیان اکسون، ما عنوان شرکت را در سایت‌شان ندیدیم و به اسم اکسون هم آگهی تاسیسی در روزنامه رسمی مشاهده نکردیم که با این شرکت در ارتباط باشد، اما از آنچه در سایت درباره خود و فعالیت‌هایشان توضیح داده‌اند، معلوم است که خدمات آنلاین به پزشکان و بیماران ارائه می‌کنند و ازجمله این خدمات، ثبت اطلاعات بیماران است. این البته تنها شرکتی نیست که اقدام به ثبت اطلاعات بیماران در سامانه‌های بیمه و صدور نسخه‌های الکترونیک می‌کند، پیش‌تر یک پزشک عمومی درباره پلتفرم‌های آنلاین فروش دارو و خدمات پزشکی به ما گفته بود: «به‌عنوان مثال یک پلتفرمی هست که هنوز به شکل اپلیکیشن درنیامده،  یک دانشجوی داروسازی هم آن را راه انداخته است که به احتمال قوی هنوز فارغ‌التحصیل هم نشده و به پشتوانه فردی که با پلتفرم علی‌بابا مرتبط است، این کار را انجام داده. این به آن معناست که همان کسانی که پشت پلتفرم‌های رایجی مثل علی‌بابا و اسنپ و... بودند، همین‌ها با توجه به سوابقی که داشتند، رفته‌اند قرارداد بسته‌اند که ما فروش دارو را هم انجام می‌دهیم و هیچ شفافیتی هم در این خصوص وجود ندارد. فروش اطلاعات هم در همین بستر از طرق گوناگون انجام خواهد شد. به‌عنوان مثال همین اپلیکیشن‌ها و پلتفرم‌ها می‌توانند اطلاعات بیماران یا آمار فروش داروهایی مثل داروی فشار خون را گرفته و دراختیار شرکت‌های تولیدی این دارو قرار دهند و متاسفانه برای جلوگیری از این امور هم هیچ نظارتی وجود ندارد. پزشکان نیز به‌نوعی مجبورند نسخه الکترونیک صادر کنند؛ چراکه برای من پزشک اگر نسخه الکترونیک بخواهم صادر کنم ۷۰هزار تومان هزینه ویزیت خواهم گرفت و اگر بخواهم نسخه دستی بنویسم ۶۰هزار تومان خواهد شد. طبیعتا برای اینکه ۱۰هزار تومان بیشتر بگیرم، نسخه الکترونیک صادر خواهم کرد و اینکه درنهایت چه خواهد شد نیز دیگر برایم مهم نیست. متولی این نظارت هم تنها وزارت بهداشت نیست. نظام پزشکی مثل کودکی است که اگر کار خوبی از آن سر بزند همه می‌گویند ما پدر و مادرش هستیم، همه مسئولان اعم از دولتی‌ها و مقامات مجلس، آن کارهای خوب را دستاورد خود تلقی می‌کنند. اما اگر کار بدی از این بچه سر بزند، هیچ‌کس گردن نخواهد گرفت و مسئولیتی نخواهد پذیرفت. به‌عنوان مثال در همین بحث نسخه‌های الکترونیکی، سازمان تامین‌اجتماعی، وزارت بهداشت و درمان، مجلس و سایر دستگاه‌ها خودشان را در پیروزی‌ها سهیم می‌دانند اما نوبت شکست‌ها که می‌رسد نظام پزشکی باید مسئولیت همه ناکامی‌ها را برعهده بگیرد.»

چه نظارتی بر این پلتفرم‌های خصوصی می‌شود؟
این پزشک عمومی همچنین درمورد امنیت این شبکه اطلاعات به ما گفته بود: «همان زمانی که بحث نسخه‌های الکترونیکی داغ بود ما گفتیم و فریاد زدیم که اپلیکیشن‌های مختلف اطلاعات بیمار را به‌طور انبوه دریافت می‌کنند و این خودش مشکل دارد. به‌عنوان مثال این اپلیکیشن ا.د با فلان شرکت دارویی قرارداد می‌بندد که دکترش داروی آن شرکت را برای بیمار بنویسد و از طرفی پلتفرم هم به مریض پیامک می‌دهد که داروی فلان شرکت را خریداری کند! اینها مشکلاتی است که در قضیه نسخه الکترونیک وجود دارد و هیچ فکری هم برایش نشده است. به‌طور کلی ما سه بیمه مهم داریم؛ بیمه نیروهای مسلح، بیمه تامین‌اجتماعی و بیمه سلامت. بیمه سلامت می‌تواند مشمول کارکنان دولت هم باشد. از بین این سه، تامین‌اجتماعی و بیمه سلامت به سامانه نسخه‌های الکترونیک متصل شده‌اند اما بیمه نیروهای مسلح می‌گوید اطلاعات بیمه‌گذارانش که اغلب نظامی و از مقامات رده‌بالای امنیتی و لشکری هستند را نمی‌تواند دراختیار این سامانه‌ها قرار دهد؛ چراکه مشکلات و منافذ امنیتی این سامانه‌ها هنوز مرتفع نشده‌اند. مشکلات امنیتی هم در این سامانه‌ها جدی است به‌طور مثال خودم چند وقت پیش شماره ملی یکی از سران عالی‌رتبه کشور را در سامانه وارد کردم و متوجه شدم چه سالی بیمه بوده و چه سالی بیمه درمانی‌اش تمام شده. خب اگر به‌جای من فرد دیگری بود، می‌توانست به‌راحتی از این اطلاعات سوءاستفاده کرده و حتی آنها را دراختیار خبرگزاری‌های خارجی قرار دهد. اصلا اینکه پزشکان بتوانند با وارد کردن یک کد ملی به‌سهولت به همه این اطلاعات دسترسی داشته باشند و پرونده سلامت هرکس را که بخواهند، بتوانند دربیاورند یک مشکل امنیتی جدی است و لازم است همراه این نسخه‌های الکترونیکی، امضاهای الکترونیکی هم وجود داشته باشد.»
داریوش چیوایی، کارشناس نظام سلامت در پاسخ به این سوال که چه نظارتی روی این پلتفرم‌ها اعمال می‌شود گفت: «وزارت‌ها ارتباطات و فناوری اطلاعات و سازمان پدافند غیرعامل بر این پلتفرم‌ها نظارت دارند و باید هرکدام بسته به فعالیت این پلتفرم‌ها مجوز‌های لازم را صادر کنند. این پلتفرم‌ها بدون اخذ تاییدیه نمی‌توانند به حوزه فعالیت ورود کنند. درمورد سازوکارهای صدور مجوز باید گفت وزارت ارتباطات و سازمان پدافند غیرعامل، مسئولیت نظارت را برعهده دارند، مثلا اپلیکیشنی مانند اسنپ اطلاعات عبور و مرور میلیون‌ها کاربر را دارد، تقریبا همان نظارتی که بر اسنپ می‌شود، بر این پلتفرم‌ها نیز خواهد شد و این دستگاه‌ها باید اطمینان حاصل کنند که از اطلاعات بک‌آپ گرفته نمی‌شود یا اگر گرفته می‌شود باید با مجوز انجام کارهای بیگ‌دیتا باشد.»

اطلاعات خصوصی بیماران از کجا نشت می‌کند؟
همچنین یک پزشک داروساز و کارشناس نظام سلامت درباره اطلاعات‌فروشی از سامانه‌های صدور نسخه‌های الکترونیک طی گفت‌وگویی توضیح داد: «به احتمال زیاد این اتفاقات باگ نیست، فساد است. ببینید قدیم‌ترها این داستان همیشه وجود داشته که من به‌عنوان مسئول داروخانه‌ای بروم با آقای دکتر صحبت کنم و با او توافق کنم که مریض‌هایش را به داروخانه من بفرستند، یک حق‌العملی هم به آقای دکتر پرداخت می‌کردم. اگر شما به پزشکان مختلف مراجعه کرده باشید احتمالا بارها مشاهده کرده‌اید که پزشک به شما خواهد گفت دارویت را از فلان داروخانه مشخص بگیر. البته این یک بحث فنی است و متخصصان ‌آی‌تی باید نظر بدهند اما اگر از من به‌عنوان یک ناظر بپرسید، باید گفت زمانی که اطلاعات مردم در اپراتور‌هایی مثل ایرانسل و بانک‌ها که محل‌های به‌مراتب حفاظت‌شده‌تری هستند، به‌راحتی لو می‌رود احتمالا و شما خیلی بهتر از من این را می‌دانید، چرا نباید در شبکه نسخه‌نویسی الکترونیکی اطلاعات لو برود؟ احتمالا این شبکه هم محافظت به‌مراتب ضعیف‌تر و شل‌تری دارد و قطعا احتمال لورفتن و درز‌کردن اطلاعات از این شبکه وجود دارد. با توجه به اینکه دسترسی پزشکان به این شبکه میسر است اگر پزشکی بخواهد تخلف کند، به سادگی می‌تواند به این اطلاعات دست پیدا کند. هرچند بعید است این کار، کار پزشکان باشد چون برایشان صرفه چندانی ندارد اما در این میان می‌دانیم که پزشک یا داروساز کنترل این شبکه‌ها را به منشی یا تکنسین خود واگذار می‌کند یا کسانی دیگر که دست‌شان برای تخلف و سوءاستفاده باز است.» پزشک و کارشناس دیگری درباره نشت اطلاعات خصوصی و پرونده‌های پزشکی بیماران از سامانه‌های صدور نسخه‌های الکترونیک به ما گفت: «به احتمال قوی خود پزشک زحمتش را می‌کشد و اطلاعات را می‌دهد، چنین اقدامی صددرصد غیرمجاز است. به‌عبارتی هرگونه تبلیغات برای خدمات درمانی در فضای مجازی حتما نیازمند مجوز است و این دست تبلیغاتی که بر پایه فروش اطلاعات خصوصی کاربران است، حتما غیرمجاز است.»

این پلتفرم‌ها با چه سازوکاری انتخاب شده و چه نفعی دارند؟
داریوش چیوایی، کارشناس نظام سلامت، درباره اینکه این پلتفرم‌ها با چه سازوکاری از سوی سازمان تامین اجتماعی و دستگاه‌های دولتی برگزیده شده‌اند تا به بیماران خدمات بدهند و چه نفعی در قبال این خدمات دریافت خواهند کرد، به «فرهیختگان» گفت: «الان ما حدود ۱۰۰ هزار پزشک داریم که از این سامانه‌ها استفاده می‌کنند، البته تعداد کاربران این سامانه‌ها خیلی بیشتر است؛ چراکه دندانپزشکان، صاحبان داروخانه‌ها، فیزیوتراپ‌ها و... نیز از کاربران این پلتفرم‌ها هستند و اگر همه مراکز را حساب کنیم، تعداد کاربران تا ۴۰۰ هزار نفر هم خواهد رسید. این عدد یعنی یک بازار خیلی خوب و بزرگی که به‌ازای هرکدام از این کاربران، تراکنش خواهد داشت. طبیعتا هرکجا خدمات بهتر، سریع‌تر و راحت‌تر به شما ارائه کنند، سراغ آن گزینه می‌روید، الان پزشکان ممکن است به جهت اینکه نسخه‌نویسی الکترونیکی برایشان قدری سخت و مشکل باشد، اقدام به صدور نسخه‌های الکترونیکی نکنند اما این پلتفرم‌ها می‌آیند کار را برای پزشکان راحت می‌کنند، لزوما دیتابیسی هم جمع نمی‌کنند بلکه درگاهی می‌شوند برای اتصال پزشکان به سامانه‌ها و اطلاعات بیمه، این امر هم در وقت و هم در زحمت پزشکان صرفه‌جویی خواهد کرد و به نفع بیمار هم خواهد بود؛ چراکه یک فرآیند تسهیلگر محسوب می‌شود. هم بسترشان کاربرپسندتر است و هم دسترسی‌هایی که در سامانه‌های دیگر مهیا نیست، اینجا مهیا کرده‌اند، مشکلات و خطاهایشان هم کمتر است. اما درمورد بخش دولتی، معمولا شرکت‌های دولتی برایشان انجام کار اولویت بیشتری نسبت به کیفیت کار دارد، پس برای بالا رفتن کیفیت و بهتر شدن این سامانه‌ها باید گفت راه‌حل، بخش خصوصی است که می‌تواند سرویس بهتری ارائه کند و درصد خود را نیز بگیرد.»

چرا دستگاه‌های دولتی وظایف خود را به این پلتفرم‌ها واگذار می‌کنند؟
چیوایی در ادامه و در پاسخ به اینکه بهتر نیست دستگاه‌های دولتی و سازمان تامین اجتماعی به جای تفویض وظایف خود به این پلتفرم‌های خصوصی، از سامانه‌های خود در انجام این امور استفاده کنند، گفت: «خود سازمان تامین اجتماعی و وزارت بهداشت، پلتفرم‌های پایه را برای این کار دارند اما این مانعی برای فعالیت بخش خصوصی نیست. خدمات بخش خصوصی به‌طورکلی تسهیلگر و ابتکاری‌تر است و خدمات را باکیفیت و در اشکال بهتر ارائه می‌کنند. به‌عنوان مثال پزشکی که می‌خواهد برای بیماری نسخه الکترونیک بنویسد، باید یک‌بار در سامانه تامین اجتماعی وارد شود و با باگ‌ها و مشکلات سامانه دست‌وپنجه نرم کند که فلان خدمت یا فلان ارجاع ثبت نشده است، بعد از مواجهه و حل تمامی اینها برای بیمار بعدی باید از این سامانه خارج شده و وارد سامانه بیمه سلامت شود، خب این پلتفرم‌ها می‌آیند همین‌دست کارها را برای پزشکان تسهیل می‌کنند. اما از بخش دولتی نمی‌توان انتظار داشت که در تسهیلگر بودن و به خرج دادن ابتکارات همپای شرکت‌های دانش‌بنیان و بخش خصوصی حرکت کنند. درنهایت تمامی امور باید به بستر آی‌تی برود. همین الان عمل جراحی دارد از راه دور انجام می‌شود، حالا ساده‌ترین این خدمات را که ویزیت برخط است، نمی‌خواهیم اجرا کنیم؟ اگر نیاز به قوانین و زیرساخت دارند باید برایشان مهیا کنیم، نباید که صورت‌مساله را پاک کنیم! درصورت گسترش این پلتفرم‌ها همه فعالیت‌ها شفاف و دقیق خواهند شد. الان بحث حکمرانی حوزه الکترونیکی نظام سلامت، مهم‌ترین بحث و دغدغه است و این مطالب که بخش خصوصی ورود می‌کند و اطلاعات را برمی‌دارد و مساله فضای امنیتی پیرامون اینها و... را قانون و نهادهای حاکمیتی باید حل کنند، همین الان شرکت‌هایی که تراکنش‌های بانکی را ثبت می‌کنند مثل شاپرک و... ، اینها همه شرکت‌های خصوصی بودند که بعدها بانک‌ها سهام آنها را خریداری کردند، خب خدمات بانکی از طریق اینها تسهیل شده‌اند، اگر از روز اول بنا بود با آنها برخوردهای امنیتی بشود که به اینجا نمی‌رسیدیم. درمورد سرویس‌دهی این پلتفرم‌ها شایان ذکر است که سرویس‌هایی که از این درگاه‌ها ارائه می‌شود جزء خدمات تسهیل‌کننده هستند.»

آیا این پلتفرم‌ها با اطلاعات کلان کاربران تجارت می‌کنند؟
یک پزشک عمومی در ارتباط با تجارت بیگ‌دیتا و شبکه اطلاعات جامع این پلتفرم‌ها، در گفت‌وگو با «فرهیختگان» گفت: «از مجرای این سامانه نسخه‌های الکترونیک، یک دیتابیس ای برای شرکت‌ها ایجاد می‌شود، به‌عبارتی این شرکت‌ها به اطلاعاتی از مریض‌ها دسترسی پیدا می‌کنند. به‌عنوان مثال مشاهده می‌کنند که در ماه از صد پزشک، ۸۰ نفرشان قرص فشار خون نوشته‌اند، چه مارکی نوشته‌اند؟ مثلا لوزارتان، بعد می‌روند با این شرکت‌ها مذاکره می‌کنند و در ازای اطلاعات پول دریافت می‌کنند. حتما در این پلتفرم‌ها این‌گونه تخلفات هست، هیچ نهاد نظارتی هم روی اینها وجود ندارد.» به گفته داریوش چیوایی، کارشناس نظام سلامت، هم‌اکنون در سامانه صدور نسخه الکترونیک روزی ۲۰۰، ۳۰۰ هزار نسخه دارد صادر می‌شود که اگر این عدد را ضرب در روزها کنیم، متوجه بیگ‌دیتای جالب‌توجهی که به وجود آمده، می‌شویم. گفتنی است همین الان داخل خود این سازمان‌ها دعواست که با این اطلاعات چه باید کرد و چطور می‌شود از این حجم گسترده اطلاعات، بهره‌برداری اقتصادی کرد؟ چیوایی، همچنین در پاسخ به این ادعا و اینکه چرا سازمان‌های نظامی به بهانه نبود امنیت به این پلتفرم‌ها متصل نمی‌شوند، گفت: «اساسا نهادهای نظامی اطلاعات‌شان را به جایی نمی‌دهند و اینکه نهادهای نظامی وارد سامانه صدور نسخه‌های الکترونیک نشده‌اند، نمی‌تواند دلیل محکمی بر این مدعا باشد که این سامانه امنیت ندارد. بیمه نیروهای مسلح اساسا با بیمه‌های تامین اجتماعی و بیمه سلامت متفاوت است، بیمه نیروهای مسلح آمار و ارقام اقتصادی و اسامی بیمه‌شدگان و حتی اطلاعاتی خصوصی و محافظت‌شده را به جایی نمی‌دهد، پس از این موضوع نمی‌شود استدلال کرد که چون بیمه نیروهای مسلح به حوزه‌ای ورود نکردند و اطلاعات‌شان را ندادند، پس آنجا خلأ امنیتی است. آیا این پلتفرم‌ها اطلاعات‌فروشی کرده و اطلاعات خصوصی کاربران را جابه‌جا می‌کنند؟ این مساله تنها گریبانگیر اینها که نیست، سازمان‌ها، شرکت‌ها و نهادهای دیگر نیز همین مشکل را دارند، اصلا این یک مساله کلیدی و جهانشمول است و همان وزارت ارتباطات و سازمان پدافند غیرعامل که بر اینها نظارت می‌کنند باید این‌دست مسائل را هم حل کنند. در کل پزشکان و دستگاه‌های دولتی زیاد از شفافیت خوش‌شان نمی‌آید و دوست دارند رقبای بخش خصوصی را از میدان به در کنند.»