اطلاعات فردی، هویتی و بیمهای وزیر بهداشت توسط یک پزشک آنکولوژیست در شبکههای اجتماعی منتشر شده است. این اطلاعات از سامانه نسخه الکترونیک بیمه سلامت ایران واکشی شده و ادعا شده که چرا اطلاعات شخصی میلیونها ایرانی حفاظت نمیشود؟ این در حالی است که قبلا کارت واکسن وزیر بهداشت منتشر شده بود. در متن منتشر شده توسط این پزشک، نتیجه گیری شده که با در دسترس قراردادن این اطلاعات، دل کلاهبرداران شاد میشود.
در این یادداشت کوتاه سعی میشود تحلیل شخصی از چیستی موضوع، چگونگی دسترسی و انتشار این اطلاعات و نهایتا چرایی انتشار این گونه موارد با دو رویکرد خوشبینانه و بدبینانه بیان شود.
۱. مسئله اصلی چیست؟
یک پزشک، کد ملی بیماری به نام دکتر عین الهی را در سامانه نسخه نویسی الکترونیکی وارد کرده و آن را به صورت عمومی منتشر کرده است. ایشان به عنوان یک پزشک معتمد اجازه دارد به دادههای هر بیمار از جمله وزیر محترم بهداشت، مثل وضعیت تاهل و شماره موبایل و آدرس دسترسی داشته باشد، اما آیا ایشان اجازه انتشار و سوء استفاده اقتصادی و رسانهای از اطلاعات بیمه شدگان را نیز دارد؟
سوال دیگر این است که کد ملی بیمار چگونه به دست ایشان رسیده است؟ قائدتا یا باید بیمار به ایشان مراجعه کرده باشد یا از جای دیگر میدانست که شماره ملی شخص چیست. در این مورد خاص، اطلاعات آقای دکتر عین الهی به واسطه انتشار کارت واکسیناسیون پیش از این منتشر شده بود.
نکته جالب اینکه طی سه رو اخیر و بعد از انتشار شماره ملی وزیر بهداشت، نزدیک به ۱۰۰ بار توسط ۴۴ نفر از پزشکان و داروخانهها این اطلاعات از سامانه نسخه الکترونیک واکشی شد که یکی از این موارد توسط همین پزشک آنکولوژیست انجام شده که احتمالا یکی از دلایل را میتوان کنجکاوی یا بهره برداری و سوء استفاده دانست.
سوال مهم بعدی این است که آیا کد ملی همه مردم در دسترس است؟ در تمام سامانههای عمومی مانند مراکز پلیس+۱۰ و بانکها و دفاتر خدمات الکترونیک دولت و ادارات ثبت، اطلاعات بر اساس کد ملی وجود دارد و هزاران کاربر هم با نام کاربری و رمز عبور، به اطلاعات دسترسی دارند. سوال اینجاست که آیا باید همه سامانهها را به دلیل امکان واکشی اطلاعات و احیانا سوء استفاده کاربرانی که متعهد به حفظ اطلاعات مردم هستند تعطیل کنیم؟
بنابراین دسترسی به این اطلاعات برای ارائه خدمات به مردم ضروری است. به طور مثال، شماره موبایل بیماری که آزمایش او نیاز به تکرار دارد یا کسی که بیماری خاص دارد و برای مراقبت باید با او تماس گرفت، ضروری است. حتی ممکن است یک فروشگاه یا تعمیرگاه هم از افراد شماره موبایل بخواهند تا در سامانه خود ثبت کنند. افراد در اغلب موارد، به راحتی شماره تلفن همراه خود را ارائه کرده و در سامانههای مختلف ثبت میشود.
۲. چه راهکارهای امنیتی برای مدیریت و حفظ اطلاعات تدارک دیده شده است؟
دسترسی برای کلیه پزشکان و داروخانهها و موسسات طرف قرارداد سازمانهای بیمه گر مانند سازمان بیمه سلامت و بیمه تامین اجتماعی به دلیل ارائه خدمات به بیمه شدگان فراهم شده است. قاعدتا کارشناسان این سازمانها هم به خاطر شغلشان به برخی از اطلاعات دسترسی دارند. نکته اینجاست که اتفاق جدیدی در زمینه دسترسی به اطلاعات نیفتاده و قبلا اطلاعات در قالب دفترچه بود و الان الکترونیکی شده است. ضمن اینکه فقط پزشک میتواند تنها و صرفا با استفاده از کد ملی دسترسی به این دادهها داشته باشد و سایر موسسات مانند داروخانهها و آزمایشگاهها باید کد رهگیری منحصر به فرد بیمه شده را در اختیار داشته باشند تا اجازه دسترسی به آنها داده شود.
آیا پزشک معالج و ارائه دهنده خدمت مانند داروخانه نباید به این اطلاعات دسترسی داشته باشد یا بهتر است اطلاعات را در سایت پنهان کنیم تا حتی پزشک مشاهده نکند؟ پاسخ به این سوال راحت نیست و ابعاد گستردهای دارد. خیلیها به این اطلاعات نیاز دارند و اساسا برای همین نیاز، اطلاعات در دسترس پزشک قرار گرفته است؛ بنابراین باید کاری کرد که مورد سوء استفاده قرار نگیرد و در این موضوع، پزشکی که اطلاعات بیمه شده را در فضای مجازی منتشر کرده، از این دسترسی که قانونی و برای درمان بیمار است، بدون مراجعه ایشان، سوء استفاده کرده است.
برای رعایت جوانب امنیتی و جلوگیری از سوء استفاده معمولا با تعریف نام کاربری و رمز عبور و ارسال رمز دوم با پیامک (رمز دو مرحلهای یا otp) آن را مدیریت میکنیم تا غیر از فرد مورد نظر و پزشک، شخصی به اطلاعات بیمار دسترسی نداشته باشد و در عین حال از کاربر و پزشک، تعهد عدم افشای اطلاعات و ارائه رمز به دیگران نیز اخذ میشود.
میتوان تصور کرد که پزشک نام کاربری و رمز خود را به دیگری داده که این اقدام، غیر متعارف و غیرقانونی است و خود پزشک خواسته که با رمز دوم به علت سهولت کار نکند که در اینجا باید مسئولیت حقوقی آن را بپذیرد. به هر صورت پزشک باید یا سختی کار کردن با سامانه با استفاده از رمز دوم را بپذیرد یا مسئولیت در اختیار قرار دادن اطلاعات رمز را به دیگری، این راه حل حفظ اطلاعات مردم است که البته راهکارهای دیگری را برای بهبود کاربری در برنامه داریم. در این مورد خاص پزشک خودش اطلاعات را منتشر کرده است که قطعا این اقدام غیرقانونی است.
۳. چرا این اطلاعات منتشر شده است؟
دلیل انتشار اطلاعات توسط این پزشک را از دو رویکرد خوش بینانه و بد بینانه میتوان ارزیابی کرد.
در رویکرد خوشبینانه، پزشکی که اطلاعات را منتشر کرده، دغدغه مردم را داشته و نگران است که این سامانه باعث سوء استفاده کلاهبرداران و شیادان شود. باید از تذکری که در این زمینه داده میشود، به این نحو استفاده کرد که مواظب باشیم همه کاربران از رمز دو مرحلهای استفاده کرده و آن را برای آسانی کار برخی کاربران تعطیل نکنیم و سخت گیری بیشتری کنیم که پزشک دیگر نام کاربری و رمز عبور خود را به کسی ندهد. همچنان که رمز حسابهای بانکی و رمز درب ورودی منازل و گاو صندوق خود را به کسی نمیدهند. ضمن اینکه با رویکرد دسترسی حداقل اطلاعات ضروری این اطلاعات با نظر بیمار در اختیار پزشک قرار گیرد که در سامانه بیمه سلامت این گونه طراحی شده است.
در رویکرد بدبینانه با در نظر گرفتن واقعیت تعارض منافع و مخالفت با طرح نسخه الکترونیک میتوان گفت که در گذشته، دفترچه بیمه سلامت در ابعاد گسترده و با فراوانی تقریبی ۵۰۰ میلیون نسخه در سال در دسترس مردم و همه موسسات و مطبها قرار داشت، به طوری که توان ردیابی و مدیریت هیچ مسئلهای وجود نداشت. در حال حاضر با اجرا و استقرار پروژه نسخه الکترونیکی میتوانیم همه را رصد کنیم. اینکه هر بیمار چه خدمتی را از کجا و با چه مکانیزم و تعرفهای دریافت کرده و از آن طرف، هر بیمار یا پزشک چه رفتار و اقدامی را در ارتباط با بیمه داشته است. بیمار میتواند نظر و شکایت را از موسسه در سامانه خدمات شهروندی بیمه سلامت اعلام کند. بر آن اساس میتوان نظارت کرد و در نهایت کل فرآیند را بهبود داد.
به هر حال به نظر میرسد که منافع برخی افراد در حفظ وضع موجود است و اجرا نشدن پروژه نسخه الکترونیکی، به نفع برخی تمام میشود. با تمام این اوصاف، انتقاد از یک طرح در راستای بهبود عملکرد، پذیرفتنی است، اما اینکه انتقاد با چه رویکردی و در چه بستری مطرح شود، جای بحث و بررسی دارد.
*کارشناس بیمه سلامت - مجری طرح نسخه الکترونیک در سازمان بیمه سلامت