O NHS England concedeu a funcionários externos de empresas, incluindo a Palantir, acesso ilimitado a dados identificáveis ​​de pacientes enquanto trabalhavam em alguns módulos de sua principal plataforma de dados. Um briefing interno mostrou que envolveu o National Data Integration Tenant (NDIT) – um módulo definido como um “paraíso de dados” para dados antes de serem “pseudonimizados” e transferidos para outros sistemas.

NDIT faz parte da Plataforma de Dados Federados (FDP). O FDP pretende integrar os dados dispersos do SNS num sistema unificado; em 2023, a Palantir ganhou um contrato no valor de 330 milhões de libras para construir a plataforma.

De acordo com o plano, o NHS England concordou em criar uma função de “administrador”. O documento reconhece que esta função “permite que funcionários não pertencentes ao NHS England tenham acesso irrestrito ao NDIT e às informações identificáveis ​​dos pacientes que ele armazena”.

Além dos funcionários da Palantir, funcionários de consultorias envolvidas em projetos do FDP também poderão receber esse acesso.

A mudança representa um afastamento significativo da prática atual: anteriormente, qualquer pessoa que precisasse de acesso ao NDIT tinha que solicitar permissões explícitas de acesso a dados para conjuntos de dados específicos.

A nota informativa, escrita por responsáveis ​​seniores de dados do NHS em Abril, reconheceu que a concessão de maiores permissões poderia levar a uma perda de confiança do público na “protecção dos dados dos pacientes, na utilização adequada dos dados e nos controlos de acesso”.

Inicialmente, o acesso total estará disponível apenas para funcionários internos do NHS England que tenham passado pela autorização de segurança. Mas o documento observou que funcionários externos também solicitaram as mesmas permissões porque “seria muito complicado solicitar cada uma das autorizações independentes de acesso a dados (CDAs) necessárias, uma por uma”.

O briefing acrescenta: "Esta questão não envolve apenas a Palantir, por isso nos referimos a ela como 'funcionários não pertencentes ao NHS England'. No entanto, há atualmente uma preocupação pública crescente e preocupação sobre a extensão do acesso aos dados dos pacientes pela Palantir e seus funcionários".

O briefing sugere que seja estabelecido um limite para o número de administradores externos que podem aceder ao NDIT e que as permissões devem ser válidas por um tempo limitado e revistas regularmente.

As autoridades confirmaram que a proposta foi aprovada recentemente, mas enfatizaram que tais permissões só seriam abertas a um número muito pequeno de funcionários não pertencentes ao NHS.

Martin Wrigley, membro do Partido Liberal Democrata do Comitê de Tecnologia da Câmara dos Comuns, disse: "Esta atitude descuidada em relação à segurança de dados mostra que todo o projeto do FDP não foi concebido tendo a segurança em seu núcleo. O público tem motivos para se preocupar que a privacidade dos dados não seja considerada uma consideração primária".

O NHS England prometeu cumprir cinco “compromissos de dados”, incluindo a divulgação das identidades dos visitantes dos dados e o conteúdo das suas visitas.

“Saber exatamente quem acessou quais dados identificáveis ​​do paciente a qualquer momento é uma prioridade central”, a nota informativa alerta sobre esse compromisso. “Quanto mais aberto for o acesso, mais difícil será atingir esse objetivo”.

Um porta-voz do NHS England respondeu: "O NHS estabeleceu políticas rigorosas de gestão de acesso aos dados dos pacientes e realiza auditorias regulares para garantir a conformidade - incluindo a supervisão do trabalho dos engenheiros que ajudam a construir uma plataforma central de recolha de dados. Esta plataforma é utilizada para monitorizar o desempenho operacional do NHS e optimizar o diagnóstico dos pacientes e os serviços de tratamento. Todo o pessoal de acesso externo deve passar por análises de segurança do governo e ser aprovado pelos directores do NHS England e superiores".

O envolvimento da Palantir na construção do FDP tornou-se cada vez mais controverso devido ao longo serviço da empresa nas áreas de defesa e aplicação da lei de imigração dos EUA.

Seu cofundador e CEO, Alex Karp, é um apoiador público de Donald Trump; alguns funcionários do NHS recusaram-se a participar no projecto FDP devido a preocupações éticas sobre a empresa.

Os apoiantes do FDP elogiam a sua capacidade de integrar dados operacionais, tais como listas de espera e horários das salas de operações, para ajudar a melhorar o diagnóstico e o tratamento dos pacientes.

Um porta-voz da Palantir disse: "De acordo com as disposições legais, somos apenas um 'processador de dados' para o NHS e todos os clientes, e os clientes são 'controladores de dados'. Isso significa que o software Palantir só pode processar dados estritamente de acordo com as instruções do cliente. O uso não autorizado de dados não é apenas ilegal, mas também tecnicamente impossível - porque o NHS implementou um controle de acesso refinado."