NHS England đã cho phép nhân viên bên ngoài công ty, bao gồm cả Palantir, có quyền truy cập không hạn chế vào dữ liệu có thể nhận dạng bệnh nhân trong khi làm việc trên một số mô-đun của nền tảng dữ liệu hàng đầu của mình. Một cuộc họp ngắn nội bộ cho thấy nó liên quan đến National Data Integration Tenant (NDIT) - một mô-đun được định nghĩa là "thiên đường dữ liệu" cho dữ liệu trước khi được "bí danh" và chuyển sang các hệ thống khác.
NDIT là một phần của Nền tảng dữ liệu liên kết (FDP). FDP nhằm mục đích tích hợp dữ liệu phân tán của NHS vào một hệ thống thống nhất; vào năm 2023, Palantir đã giành được hợp đồng trị giá 330 triệu bảng để xây dựng nền tảng này.
Theo kế hoạch, NHS England đã đồng ý tạo ra vai trò "quản trị viên". Bản tóm tắt thừa nhận rằng vai trò này "cho phép nhân viên không thuộc NHS England có quyền truy cập không hạn chế vào NDIT và thông tin nhận dạng bệnh nhân mà nó lưu trữ".
Ngoài nhân viên của Palantir, nhân viên của các công ty tư vấn tham gia vào các dự án FDP cũng có thể có được các quyền đó.
Đây là một sự khác biệt đáng kể so với thông lệ hiện tại: trước đây, bất kỳ ai cần quyền truy cập vào NDIT đều phải đăng ký quyền truy cập dữ liệu rõ ràng cho các tập dữ liệu cụ thể.
Bài báo tóm tắt do các quan chức dữ liệu cấp cao của NHS viết vào tháng 4, thừa nhận rằng việc cấp các quyền cao hơn có thể dẫn đến mất niềm tin của công chúng vào "bảo vệ dữ liệu bệnh nhân, sử dụng dữ liệu phù hợp và kiểm soát truy cập".
Ban đầu, quyền truy cập đầy đủ sẽ chỉ dành cho nhân viên nội bộ NHS England đã vượt qua kiểm tra an ninh. Nhưng bản tóm tắt lưu ý rằng các nhân viên bên ngoài cũng yêu cầu các quyền tương tự vì "sẽ quá cồng kềnh nếu đăng ký từng giấy phép truy cập dữ liệu độc lập cần thiết (CDA) từng cái một."
Bản tóm tắt cho biết thêm: "Vấn đề này không chỉ liên quan đến Palantir, vì vậy chúng tôi mô tả nó là 'nhân viên không thuộc NHS ở Anh'. Tuy nhiên, công chúng hiện đang rất lo ngại và lo lắng về phạm vi truy cập của Palantir và các nhân viên của họ đối với dữ liệu của bệnh nhân."
Bản tóm tắt khuyến nghị nên có giới hạn về số lượng quản trị viên bên ngoài có thể truy cập NDIT và các quyền đó cần phải có giới hạn thời gian và được xem xét thường xuyên.
Chính thức xác nhận rằng đề xuất đã được phê duyệt gần đây, nhưng nhấn mạnh rằng các quyền đó sẽ chỉ được cấp cho một số rất nhỏ nhân viên không thuộc NHS.
Martin Wrigley, thành viên Đảng Dân chủ Tự do thuộc Ủy ban Công nghệ Hạ viện Anh, cho biết: "Thái độ bất cẩn này đối với bảo mật dữ liệu cho thấy toàn bộ dự án FDP chưa được thiết kế chú trọng đến bảo mật. Công chúng có lý do để lo ngại rằng quyền riêng tư dữ liệu không được coi là ưu tiên hàng đầu. NHS England đã hứa sẽ thực hiện năm "cam kết dữ liệu", bao gồm tiết lộ danh tính của những người truy cập dữ liệu và nội dung của họ quyền truy cập
Bản tóm tắt về cam kết đã cảnh báo: "Biết chính xác ai đã truy cập dữ liệu nhận dạng bệnh nhân nào vào mọi lúc là ưu tiên cốt lõi. Càng truy cập mở thì điều này càng khó đạt được."
Một phát ngôn viên của NHS England đã trả lời: "NHS có chính sách quản lý truy cập dữ liệu bệnh nhân nghiêm ngặt và được kiểm tra thường xuyên để đảm bảo tuân thủ - bao gồm cả các Kỹ sư hỗ trợ giám sát đang làm việc để xây dựng nền tảng thu thập dữ liệu trung tâm. Nền tảng này được sử dụng để theo dõi hiệu suất hoạt động của NHS và tối ưu hóa việc chăm sóc bệnh nhân. Tất cả du khách bên ngoài phải vượt qua quy trình kiểm tra an ninh của chính phủ và được sự chấp thuận của các quan chức cấp Giám đốc NHS trở lên ở Anh.”
Sự tham gia của Palantir vào việc xây dựng FDP ngày càng gây tranh cãi vì công ty này đã phục vụ từ lâu trong lĩnh vực quốc phòng và thực thi nhập cư của Hoa Kỳ.
Người đồng sáng lập và Giám đốc điều hành Alex Karp là người công khai ủng hộ Donald Trump; một số nhân viên NHS đã từ chối tham gia dự án FDP do lo ngại về đạo đức đối với công ty.
Những người ủng hộ FDP ca ngợi khả năng tích hợp dữ liệu hoạt động như danh sách chờ và lịch trình phòng mổ để giúp cải thiện chẩn đoán và điều trị bệnh nhân.
Người phát ngôn của Palantir cho biết: "Theo quy định pháp luật, chúng tôi chỉ là 'người xử lý dữ liệu' cho NHS và tất cả khách hàng, còn khách hàng là 'người kiểm soát dữ liệu'. Điều này có nghĩa là phần mềm Palantir chỉ có thể xử lý dữ liệu theo đúng hướng dẫn của khách hàng. Việc sử dụng dữ liệu trái phép không chỉ là bất hợp pháp mà còn là không thể về mặt kỹ thuật - vì NHS đã thực hiện kiểm soát quyền truy cập tinh tế."