בריטניה: "ההסכם בין DeepMind לשירות הבריאות – לא חוקי"

משרד נציב המידע הבריטי, ה-ICO (ר"ת The Information Commissioner's Office) קבע אתמול (ב') כי ההסכם לשיתוף נתונים בין Google DeepMind לבין שירות הבריאות הלאומי הבריטי (National Health Service) – הידוע בקיצור כ-NHS, והכולל בחובו את ארבע מערכות שירותי הבריאות הציבוריות בממלכה המאוחדת – היה בלתי חוקי.

החברה הבריטית לפיתוח בינה מלאכותית DeepMind, הוקמה בספטמבר 2010 ונרכשה על ידי גוגל (Google) בשנת 2014. בשנים האחרונות שקדה החברה על פיתוחים חדשניים מהתחום המתקדם, שהעניין בו וביכולתו לתרום לאנושות הולך ותפס תאוצה. בין השאר התפרסם עד כה פיתוח של החברה המכונה בשם WaveNet, שיאפשר לצ'אט-בוטים לשוחח עם בני אדם בדרך קרובה במיוחד לדרכם של בני האנוש.

כחלק מפועלה של DeepMind רקמה באחרונה גוגל עסקה עם ה-NHS, שבמסגרתה היה אמור שירות הבריאות הלאומי לספק לגוגל את פרטיהם של 1.6 מיליון מטופלים בשירות, וזאת ללא ידיעתם. אלא שכעת קבע ה-ICO כי העסקה "לא עמדה בדרישות חוק הגנת הנתונים".

בהודעה בבלוג החברה כתבה DeepMind כי היא "מברכת על ההחלטה המהירה של ה-ICO בגין המקרה, אשר אנו מקווים שתבטיח את הטיפול המתמשך והבטוח של נתוני המטופלים ב-Streams". החברה ציינה גם כי היא "העריכה שלא כראוי את המורכבות של NHS והכללים סביב נתוני המטופל", והוסיפה ואמרה: "לא הבנו זאת כראוי, ואנחנו צריכים לנהוג טוב יותר".

הניחו שקיימת הסכמה מרומזת

במסגרת העסקה, השתמשה DeepMind במערכות ה-AI שלה בכדי לנתח את הנתונים הרפואיים שסופקו לה על ידי ארגון הבריאות הלאומי, בתקווה לספק אבחון מהיר יותר וטיפול יעיל יותר וזאת באמצעות יישום שנקרא Streams, אשר שולח התראות לטלפון החכם של המטפל אם מצבו של חולה הידרדר. כבר קודם לפסיקה זו ניסו גוגל ו-NHS להגן על העסקה, באומרן כי הם יצאו מהנחה שקיימת "הסכמה מרומזת" (implied consent) של המטופלים למסירת נתוניהם, משום שאפליקציית Streams מספקת "טיפול ישיר" לחולים, שמסכימים לשימוש בה.

אלא שמשרד המידע הבריטי חשב אחרת. בדצמבר השנה טענה פיונה קאלדיקוט, המשמשת כאפוטרופוס הלאומי של משרד הבריאות וכיועצת הגנת הנתונים הבכירה במשרד הבריאות האמריקני, כי שיתוף הפעולה נמצא מעבר לתחום "הטיפול הישיר" בחולה, ולכן אין הסכמה משתמעת שניתן לקחת כמובנת מאליה לפני העברת רשומות רפואיות לצד שלישי.

ה-ICO החל לחקור את השותפות בחודש מאי, לאור תלונות מהציבור הרחב. אחת מהתלונות האלה שאלה למשל אם DeepMind "צפויה להצפין את נתוני המטופלים שהיא תקבל בעת מנוחה".

"בעוד שהסכם שיתוף המידע מתעקש שמידע המאפשר זיהוי אישי – כגון שם, כתובת, מיקוד, מספר NHS, תאריך לידה, מספר טלפון, כתובות דוא"ל ודומה – חייב להיות מוצפן בעודו מועבר לגוגל, הוא אינו אוסר במפורש על כך שהנתונים יהיו מוצפנים במיקום שאינו ה-NHS", נכתב בתלונה.

לא כך צריכים הדברים לעבוד

נציבת המידע, אליזבת דנהאם, אמרה אתמול (ב') כי בעקבות חקירת משרדה התבקשו הגורמים לחתום על התחייבות שתבטיח שההסכם ביניהם פועל בהתאם לחוק הגנת המידע של המדינה. דנהאם אמרה כי החקירה חשפה כי ה-NHS ביצעה הערכת השפעה על הפרטיות, אבל רק לאחר של-Google DeepMind כבר ניתנו נתוני המטופלים, וציינה כי "לא כך צריכים הדברים לעבוד".

"מחיר החדשנות לא צריך להיות שחיקה של זכויות הפרטיות הבסיסיות המובטחות", ציינה דנהאם, שהוסיפה ואמרה כי היא אינה סבורה שזהו סוף העסקה ומאמינה שהגופים יוכלו לעמוד בשינויים שביקש משרדה ועדיין להמשיך בעבודתם החשובה.