El proceso de adquisiciones en curso para la Plataforma de Registros y Resultados (ORP) del NHS de Inglaterra continúa generando preocupaciones sobre el estado de las prácticas de seguridad de datos del proyecto, en medio de afirmaciones de que toda la empresa puede estar pisoteando el cumplimiento de las regulaciones de adquisiciones del sector público.
El proyecto ORP está diseñado para reunir varios registros de dispositivos clínicos de renombre mundial, establecidos durante muchos años por especialistas médicos y tecnólogos, que actúan como un depósito de datos para apoyar al NHS en la operación y gestión de servicios clínicos a nivel nacional. Permiten la puesta en servicio de servicios, la introducción de nuevos tratamientos y una mejor identificación de tratamientos efectivos (o ineficaces), una amplia gama de procesos de garantía de calidad, investigación y desarrollo de políticas, y ayudan a garantizar la seguridad del paciente.
A principios de este año, Computer Weekly informó cómo la página de inicio de sesión del proyecto era accesible para cualquier persona con una conexión a Internet, en lugar de a través de la Red de Atención Social y de Salud (HSCN), y no estaba protegida por autenticación multifactor (MFA), que va en contra del NHS. Inglaterra gobierna.
En respuesta en ese momento, NHS England dijo que estaba tomando medidas para mejorar la seguridad en la plataforma ORP y que se implementó MFA desde que se publicó ese artículo.
Esto ha contribuido un poco a aliviar algunas de las preocupaciones previamente destacadas por la Federación de Registros Clínicos (FCR), un grupo de tecnólogos y profesionales de la salud líderes en registros que están preocupados por la dirección que tomará el programa ORP y dicen que están siendo repetidamente marginados por el NHS de Inglaterra cuando intentan plantear sus dudas.
Según la FCR, el NHS de Inglaterra no aborda otras preocupaciones de seguridad, que supuestamente incluyen cuestiones de protección de datos mucho más profundas que han sido ignoradas.
“Aunque han introducido MFA, ¿qué han hecho con el hecho de que prácticamente cualquiera puede registrarse en ese sistema? Las cosas se envían en hojas de cálculo y los usuarios se registran previamente en masa sin siquiera preguntar si quieren estar en el sistema”, dijo un representante de FCR, hablando con Computer Weekly bajo condición de anonimato. Según las respuestas proporcionadas a la FCR, hay al menos 6.000 usuarios registrados, y sólo 900 de ellos están clasificados como usuarios “activos”.
“Es [also still] se sentó en Internet, lo que va en contra de las pautas de seguridad de la nube para Datos de clase cinco. La FCR ha perseguido repetidamente al Departamento de Seguridad Cibernética del NHS de Inglaterra para obtener aclaraciones sobre estos problemas de seguridad”.
Los datos de Clase Cinco se definen dentro del NHS como datos alojados en la nube que conllevan el mayor nivel de riesgo. La orientación oficial sostiene que operar servicios a este nivel requiere “un compromiso organizacional a nivel de la junta directiva, siguiendo el asesoramiento y la orientación de especialistas”.
El representante de la FCR dijo que el NHS de Inglaterra debería ser consciente de los riesgos para los diversos conjuntos de datos porque uno de los registros existentes, el Registro Nacional de Traumatismos Mayores (NMTR), anteriormente conocido como Red de Investigación y Auditoría de Trauma (TARN), se vio comprometido por un banda de ransomware en un ataque de 2023 a la Universidad de Manchester. La universidad ya no gestiona el registro en cuestión.
Respondiendo a preguntas sobre las preocupaciones de seguridad actuales, NHS England le dijo a Computer Weekly que el sistema cumplía con las pautas de seguridad cibernética del NHS y que no había ningún requisito específico para que fuera parte del HSCN.
Adjudicación del contrato
La FCR también dijo que tiene importantes preocupaciones sobre el proceso de adjudicación del contrato ORP en primer lugar. La génesis del FCR fue una amenaza percibida para los registros establecidos de renombre mundial tras la emisión de un nuevo borrador de contrato por parte del NHS de Inglaterra, que los registros establecidos dicen que vieron como “esencialmente un aviso de renuncia”.
A raíz de esto, la FCR dijo que encontró muchos problemas, incluidos casos en los que se retuvieron pagos de contratos de registro, se detuvieron los flujos de datos a registros clave, se estancaron proyectos de registro y se dejaron datos históricos no disponibles o eliminados porque se había permitido que los contratos legales expiraran. Posteriormente, los contactos de FCR dentro del NHS de Inglaterra le dijeron al grupo que se había recurrido al proveedor japonés NEC para desarrollar la plataforma ORP más amplia y los diversos registros incluidos, a la luz de lo cual la FCR se propuso tratar de averiguar más sobre cómo se llegó a concretar ese contrato. ser premiado.
Lo que descubrió fue un contrato por valor de alrededor de £ 1 millón que data de marzo de 2023, descrito como “algo vago” en su naturaleza, que cubría el desarrollo inicial de ORP, incluida la integración de dos de los registros clínicos, enfermedades vasculares y afecciones articulares, en la plataforma. . Al momento de escribir este artículo, aún no se ha entregado.
Sin embargo, la FCR no pudo establecer ningún otro detalle del contrato a través del servicio de búsqueda de contratos del gobierno, que es donde normalmente se publicarían, aunque a menudo en forma redactada.
“Entonces nos dimos cuenta de que [NEC] Estabamos trabajando en muchos otros registros que no recibieron ninguna mención en lo que pudimos ver sobre el contrato. Lo único que teníamos era el título, entonces se nos hacía muy difícil saber qué cubría y qué no”, dijo el representante del FCR.
“Cada vez que les preguntamos, seguían señalando el contrato original y diciendo que cubre todo este trabajo en coclear, implantes mamarios, ligamentos, todo. Pero no había ninguna referencia a eso en el título, así que pensamos que esto no puede ser cierto”.
La FCR comenzó a presentar solicitudes de libertad de información (FoI) para tratar de establecer los costos del desarrollo de los registros individuales y su integración en ORP, pero le dijeron que no había más detalles para compartir.
Sin inmutarse, el grupo continuó escalando a través de la Oficina del Comisionado de Información (ICO), que durante el verano de 2024 descubrió que NHS England no había cumplido adecuadamente con las solicitudes del grupo.
Sin embargo, según la versión de los hechos de la FCR, sus contactos dentro del NHS de Inglaterra encontraron posteriormente otro contrato ORP por 1,24 millones de libras, adjudicado a NEC el 23 de febrero de 2024 pero no publicado oficialmente hasta el 11 de julio de 2024, casi tres meses después de que se planteara una pregunta sobre en la Cámara de los Comunes.
“No lo revelaron en respuesta al diputado en el Parlamento, no lo revelaron cuando estábamos haciendo todas las FOI, no lo revelaron en el sitio web público donde se supone que deben publicarse todos los contratos. No estaba allí y cuando el FCR le preguntó al propietario responsable [SRO] para ese programa tampoco lo revelaron. Siguieron señalando ese contrato original.
“No podíamos entender cómo todos estos otros Se estaban desarrollando registros bajo ese contrato inicial y seguían diciendo que está cubierto por eso. Bueno, en realidad están todos en el segundo contrato”, dijo el representante del FCR.
Otra afirmación hecha por la FCR es que ambos contratos fueron adjudicados directamente a NEC sin seguir el proceso adecuado y sin una evaluación de mercado adecuada. En respuesta a las preguntas de la FCR, el NHS England ORP SRO dijo en su momento que se había realizado una evaluación de mercado, pero posteriormente el director de transformación del NHS England cambió de opinión al respecto y dijo que no. Esta situación ha generado resentimiento entre los miembros del FCR que sienten que son ellos –y no NEC– quienes tienen experiencia comprobada en la entrega de registros médicos.
NHS England dijo que su respuesta a la ICO se relacionaba con los contratos y gastos vigentes en el momento de la solicitud inicial del FCR, y que ahora ha proporcionado “más detalles a satisfacción de la ICO”.
Siguiendo las reglas
Además, la FCR dijo que la publicación del segundo contrato NEC algunos meses después de su adjudicación sugiere que aquellos a cargo de la adquisición están tratando de aprobarlo retroactivamente y dar la apariencia de que se han seguido las reglas.
El cronograma del contrato de PRL se volvió aún más confuso en agosto y septiembre de 2024, cuando pareció iniciarse un nuevo proceso de adquisición, que esta vez tomó la forma de una solicitud de información (RFI), seguida de una demostración de los proveedores y luego la adjudicación de un contrato. contrato, lo que inicialmente pareció eliminar por completo el proceso de licitación.
“Los proveedores preguntaron: ‘¿Cuál es la especificación del sistema?’, y el NHS de Inglaterra dijo: ‘Sólo revelaremos la especificación del sistema al postor ganador’. ¿Cómo tiene eso algún sentido? dijo el representante del FCR.
Junto con la publicación del segundo contrato NEC algunos meses después de su adjudicación, los complicados procesos involucrados en lo que debería haber sido una adquisición sencilla han dado peso adicional a la creencia de la FCR de que el proyecto ORP está recibiendo luz verde retroactivamente.
“Saben que no han seguido los procesos correctos y ahora sólo se trata de intentar protegerse. Con todas estas faltas de respuesta a las FOI, están intentando todos los trucos posibles para evitar caer en ellas”, dijo el denunciante de la FCR.
NHS England dijo que los contratos se habían adjudicado según acuerdos marco establecidos; los detalles de ambos están disponibles a través del Buscador de contratos, ubicado aquí y aquí. Sin embargo, respondiendo a las preocupaciones de la FCR sobre los costos, dijo que estos fueron retenidos por razones de confidencialidad comercial bajo la sección 43 (2) de la Ley de Libertad de Información de 2000.
La organización confirmó que había emitido un RFI único para el nuevo contrato, que actualmente está activo, y dijo que todos los encuestados estaban siendo informados sobre el progreso y los plazos para el compromiso.
Un portavoz del NHS de Inglaterra dijo a Computer Weekly: “El seguimiento y monitoreo de dispositivos e implantes es crucial para la seguridad del paciente, y la Plataforma de Registros de Resultados cumple con todos los estándares apropiados en seguridad cibernética y protección de datos. Estamos llevando a cabo un proceso de adquisiciones abierto y transparente para la siguiente fase del programa”.