Kanunen en önemli Fransız sağlık veritabanlarını toplamakla görevlendirilen kamu aktörü olan GIP PDS, veri korumasını iyileştirme ve Avrupa’nın teknolojik arzını teşvik etme yönünde yeni bir fırsatı kaçırdı.
CNIL’in, kamu yararına çalışan ‘Sağlık Veri Platformu’ grubuna Microsoft ile bir veri ambarı kurma yetkisi veren ve geniş çapta yorumlanan kararda üzüntü duyduğu şey budur. Bu projenin adı: EMC2.
Microsoft bulutunda yeni bir veri ambarı
PDS adının arkasında, yabancı bir hizmet sağlayıcı seçimi nedeniyle kökenlerinden beri eleştirilen ve ülke dışı yasalara tabi olan, çok tartışmalı Sağlık Veri Merkezi gizlenmektedir. Bu orijinal karar artık Fransa’yı “SecNumCloud sertifikasyonundan yararlanamayan” bir ana bilgisayarın seçimini onaylamaya zorluyor.
Eğer CNIL pişmanlık, yalnızca Sağlık Veri Merkezinin oluşturduğu istisnayı not edebilir. Düzenleyici kurum, SNDS (Ulusal Sağlık Veri Sistemi) ile eşleşen sağlık veri ambarları için “her zaman proje liderlerinden (…) veri barındırıcısının Avrupa dışı mevzuata tabi olmadığından emin olmalarını istemiştir.”
Komisyon, “Bu tavsiye şimdiye kadar her zaman kabul edilmişti” diye anımsıyor. Bu nedenle, CNIL’in Avrupa EMC2 projesi aracılığıyla yeni sağlık verilerinin işlenmesine üç yıl süreyle izin vermeye karar vermesi nedeniyle Sağlık Veri Merkezi’nin bu sektördeki özelliği korunacaktır.
EMC2 araştırma, çalışma ve değerlendirmelerin yapılabilmesini amaçlayan bir sağlık veri ambarıdır. Bu, Avrupa İlaç Ajansı’nın (EMA) farmakoepidemiyoloji çalışmalarının yürütülmesi amacıyla bir veri tabanı oluşturulmasına yönelik ihale çağrısının sonucudur.
Uzman bir misyonla motive edilen bakım
CNIL, deponun “verilerin yabancı devletlere iletilmesi riskinden korunmasını” isteyerek çekincelerini dile getirmişti. Buna yanıt olarak Devlet bir uzman misyonu kurdu. Sonuçları Microsoft’u sürdürme seçimini açıklıyor.
Misyon özellikle “hiçbir potansiyel hizmet sağlayıcının” EMC2 projesinin “gereksinimleriyle uyumlu bir zaman çerçevesi içinde” GIP PDS’nin teknik ve işlevsel gerekliliklerine uyum sağlayamayacağını değerlendirdi. Ayrıca, belirli bir deponun oluşturulması, GIP’in tüm görevleri için “barındırma çözümünün geçişini geciktirebilir”.
Uzmanlar ayrıca gelecekte Sağlık Veri Merkezi’ne uygulanması muhtemel “güvenilir bulut” göstericisinin geliştirilmesinin “önümüzdeki yıllarda da devam etmesi gerektiğini” belirtiyor. Bu çeşitli nedenlerden dolayı misyon, geçişe kadar mevcut teknik çözümün, yani Microsoft’un korunmasını önerdi.
Bu nedenle CNIL, Devlet tarafından görevlendirilen misyonun sonuçlarının arkasında durmaktadır. Yine de bundan üzüntü duyuyor ve birden fazla açıdan. Araştırmacıların sağlık verilerine erişim stratejisi, “bu ihtiyacı karşılayabilecek bir Avrupa teklifini teşvik etme” fırsatı olabilirdi.
Avrupa teklifi için kaçırılan fırsat
Ancak asıl günah, sağlık veri platformunun kuruluşundan itibaren kamu sektörünün bulutu tercih etmesidir. Bu politika, “egemen tedarikçilerin kademeli olarak ortaya çıkmasına rağmen, kısa vadede ayrılmanın artık zor olduğu Amerikalı oyuncuların tekliflerini tercih etmesine yol açtı.”
CNIL, “EMC2 projesi, geçiş yapması gereken egemen çözümün habercisi olmak için GIP PDS tarafından tutulabilirdi” diye altını çiziyor. Bu kaçırılmış bir fırsat. Ve “EMA’ya verilen taahhütler” şüpheli bir tercihin düzeltilmesini anında engelliyor.
Örnekler başka bir politikanın mümkün olduğunu gösteriyor. AP-HP, 2023 yılında OVHcloud ile sağlık veri ambarları konusunda teknolojik bir ortaklık imzaladı. Amacı: Avrupa ekosistemi için açık kaynaklı yapı taşları geliştirmek.
Yeni bir paylaşılan ve bölgesel sağlık verisi DataHub olan HOURAA, inşaatı için dört Fransız üniversite hastanesini ve Thales ve Docaposte adlı iki teknoloji şirketini bir araya getiriyor. La Poste grubunun bir yan kuruluşu olan yayıncı aynı zamanda egemen bir bulut sağlayıcısı olan Numspot’un arkasındaki konsorsiyumun da üyesidir.
Egemen bulutçular hazır
Docaposte, Dassault Systèmes, Bouygues Telecom ve Banque des Territoires’ın yanı sıra Numspot’un Microsoft’un yerine Sağlık Veri Merkezi’ni barındırabileceğini düşünüyor. Konsorsiyumun liderleri, Kasım 2023’te basına yapılan ilerleme güncellemesi sırasında bu konuyu çok net bir şekilde açıkladılar.
“HDS büyük bir tartışma. Çoğu kişi gibi ben de sağlık verilerinin en kritik veriler arasında olduğunu düşünüyorum. Ve eğer sonuna gelmiş olsaydık iyi olurdu, SecNumCloud’a yakın bir HDS’ye sahip olmanın zor olduğunu hemen anlıyorum, hangisinin SecNumCloud’da olduğunu söylemeye bile gerek yok”, diye tepki gösterdi yönetim başkanı Alain Issarni.
Docaposte genel müdür yardımcısı ve Anssi’nin eski müdürü Guillaume Poupard, sağlık ve eğitimde teklif eksikliğiyle karşı karşıya olduğunun farkında. Bulutta, bu oyuncuların “başlangıçta belki başka seçeneği yoktu ve biz varsayılan olarak bir seçim yapıyoruz.”
SecNumCloud, Sağlık Veri Merkezi için bir zorunluluktur
Güvenlik uzmanı, stratejilerini ve “Kuzey Amerika bulut sağlayıcıları” seçimini gözden geçirerek bu oyuncuları “sağlam bir güven teklifi olduğuna göre soruyu tekrar sormaya” teşvik ediyor. Alain Issarni’ye göre sağlık gibi hassas bir sektörde, hiperscalers’ın hakim olduğu bir alanda karar sadece işlevselliğe dayandırılamaz.
“Karmaşık bir durumu teşvik etmemeliyiz (…) Yalnızca işlevler hakkında konuşmak aynı zamanda güvenliği unutmanın en iyi yoludur. Özellikler ve güvenlik [juridique] aynı seviyeye yerleştirilmelidir,” diye beyan ediyor Numspot’un patronu.
Fransız SecNumCloud ve HDS onaylı bulut sağlayıcısı Cloud Temple’ın halkla ilişkiler direktörü Laure Martin-Tervonen, Sağlık Veri Merkezi tarafından sunulan teknik ve işlevsel gereksinimlere uygunluğun 2024 baharında %95’e ulaşacağını belirtiyor.
Ayrıca 5 Aralık 2023 tarihli IGAS raporunun “SNDS’nin ana veri tabanından veri sağlanmasını hızlandırmak için mevcut durumda en uygun egemen geçiş çözümünün altı ay içinde tanımlanmasını” önerdiğini de hatırlatıyor. Microsoft kesinlikle son sözü söylemeyebilir.