Περίεργο καθεστώς και ημίμετρα στις προδιαγραφές, αλλά και τα λειτουργικά αποτελέσματα, καταγγέλλει η Ένωση Πληροφορικών Ελλάδας (ΕΠΕ) σε δύο διαγωνισμούς πολύ μεγάλων έργων πληροφορικής για το Υπουργείο Υγείας.
Συγκεκριμένα με δύο ανακοινώσεις της, η ΕΠΕ αποκαλύπτει με τεκμηριωμένα στοιχεία, ότι οι δύο διαγωνισμοί για τα έργα α) «Εθνικός Ηλεκτρονικός Φάκελος Υγείας» και β) «Έλεγχος και Βελτιστοποίηση Κανόνων Συνταγογράφησης μέσω Τεχνητής Νοημοσύνης», περιλαμβάνουν στην διακήρυξή τους ιδιαίτερα ασαφείς και μη ρητούς όρους, ειδικά σε θέμα ποιοτικής ολοκλήρωσης των δύο έργων πληροφορικής, προστασίας ευαίσθητων προσωπικών δεδομένων, -ασθενών, νοσηλευτών και ιατρικού προσωπικού-, και λειτουργικής ποιοτικής απόδοσης τους συνολικά, με ασφάλεια και προστασία τους από διαδικτυακές ή άλλου είδους επιθέσεις (χακάρισμα, κλοπή προσωπικών δεδομένων, κλπ). Ειδικότερα η ΕΠΕ τεκμηριωμένα καταγγέλλει α) Προχειρότητα και μη τεχνική περιγραφή έργων ΤΠΕ, β) Απουσία συγκεκριμένου θεσμικού πλαισίου διασφάλισης ποιότητας σε έργα ΤΠΕ και γ) πρακτικές “Απορρόφησης” κονδυλίων σε έργα ΤΠΕ ως αυτοσκοπό, χωρίς στρατηγικό πλάνο και στόχο, και χωρίς έλεγχο αποτελέσματος με αντικειμενικούς ποσοτικούς δείκτες.
Παρά την ιδιαίτερη σοβαρότητα των καταγγελιών της ΕΠΕ, δεν έχουν μέχρι σήμερα υπάρξει απαντήσεις σε αυτές, από τους φορείς υλοποίησης των δύο πολύ υψηλού προϋπολογισμού έργων Πληροφορικής, στα πλαίσια του ψηφιακού μετασχηματισμού των υπηρεσιών υγείας.
Δείτε στην συνέχεια, τις δύο ανακοινώσεις-Καταγγελίες της Ένωσης Πληροφορικών Ελλάδας
————-
Ζητήματα προστασίας Προσωπικών Δεδομένων στον νέο Εθνικό Ηλεκτρονικό Φάκελο Υγείας
Στις 11 Μαρτίου 2025 ανακοινώθηκε επίσημα η έναρξη λειτουργίας του Εθνικού Ηλεκτρονικού Φακέλου Υγείας (https://greece20.gov.gr/nehr/). Εκείνο που δεν αναφέρεται στην ανακοίνωση των Υπουργείων Υγείας και Ψηφιακής Διακυβέρνησης, είναι αν στη νέα αυτή ψηφιακή υπηρεσία του Εθνικού Σχεδίου Ανάκαμψης και Ανθεκτικότητας Ελλάδα 2.0, έχει ληφθεί υπόψη η γνωμοδότηση του υπεύθυνου Προστασίας Δεδομένων (ΥΠΔ) του υπουργείου Υγείας, κ. Δημήτρη Ζωγραφόπουλου για παραβίαση της εθνικής και κοινοτικής νομοθεσίας σε ό,τι αφορά στην προστασία των προσωπικών δεδομένων και συγκεκριμένα τη Γνωμοδότηση (https://hiu.gr/s/13) η οποία εκδόθηκε στις 26 Φεβρουαρίου 2025, δηλαδή λιγότερο από έναν μήνα πριν.
Ο Φάκελος Υγείας, που ανακοινώθηκε παραπάνω και είναι ήδη ενεργός ως υπηρεσία, βασίζεται ακριβώς στην ψηφιοποίηση ιατρικών φακέλων και αρχείων από τις υποδομές του ΕΣΥ. Έτσι, σε περίπτωση που -όπως δυστυχώς φοβόμαστε- δεν εφαρμόστηκε τίποτε από όσα ζητούσε ο κος Ζωγραφόπουλος ως προς την πλήρη και υποχρεωτική συμμόρφωση με το ΓΚΠΔ (GDPR), τα ευαίσθητα προσωπικά δεδομένα των πολιτών που αφορούν στην υγεία τους (γνωματεύσεις εξετάσεων, καταγραφή ιατρικών πράξεων, συνταγογραφήσεις, κλπ) είναι απροστάτευτα και μη σύννομα ψηφιοποιημένα, σύμφωνα με τις παρατηρήσεις του ΥΠΔ.
Σύμφωνα με δημοσιεύματα ήδη από τις 26 Φεβρουαρίου 2025 (https://hiu.gr/s/18, https://hiu.gr/s/19), στη γνωμοδότηση του YΠΔ αναφέρεται ότι τόσο η ίδια η Διακήρυξη του έργου όσο και ο τρόπος υλοποίησής του είναι άκρως προβληματική με βάση το κοινοτικό και εθνικό νομικό πλαίσιο που ρυθμίζει την προστασία των προσωπικών δεδομένων. Όπως επισημαίνεται, ο σχεδιασμός του έργου, όχι μόνον δεν διασφαλίζει το «μηδενικό σφάλμα» σε ένα σύστημα τόσο μεγάλης σημασίας, αλλά δεν αποκλείεται, με το τρόπο σχεδιασμού και υλοποίησης του, ιατρικά δεδομένα ενός προσώπου να βρεθούν στο Ατομικό Ηλεκτρονικό Φάκελο Υγείας (ΑΗΦΥ) άλλου προσώπου.
Περαιτέρω αναφέρεται: «Με βάση τη Διακήρυξη, όχι μόνον δεν κατοχυρώνεται η αρχή του μηδενικού λάθους στο παραγόμενο προϊόν των ψηφιοποιημένων φακέλων των ασθενών, αλλά αντίθετα επιτρέπεται η ύπαρξη σφαλμάτων με βάση στατιστικούς υπολογισμούς, της τάξεως του 1%. Πρακτικά αυτό σημαίνει ότι όχι μόνον δεν αποκλείεται η πιθανότητα κάποιος ασθενής ως τελικός χρήστης, να μην παραλάβει το σύνολο των δεδομένων του ή ακόμα να ανακαλύψει στον φάκελό του δεδομένα άλλου ασθενή, αλλά το ότι τα ενδεχόμενα αυτά αναγνωρίζονται από την υλοποίηση του έργου ως εξαιρετικά πιθανά και ανεκτά από στατιστικής απόψεως».
Στη γνωμοδότηση επίσης αναφέρεται ότι από νομικής άποψης σε τέτοιες περιπτώσεις συντρέχουν παραβιάσεις ρητών διατάξεων του GDPR και ότι παραβιάζονται από κοινού οι θεμελιώδεις αρχές της ακρίβειας των δεδομένων και της ακεραιότητας, εμπιστευτικότητας και διαθεσιμότητας των δεδομένων. Επίσης, αναφέρονται πέντε επιπλέον λόγοι για τους οποίους «πάσχει», ο σχεδιασμός και η υλοποίηση του έργου με βάση την Διακήρυξη που υλοποίησε η Κοινωνία της Πληροφορίας για λογαριασμό του χρηματοδότη του έργου, που είναι το υπουργείο Ψηφιακής Διακυβέρνησης.
Ως Ένωση Πληροφορικών είμαστε υποχρεωμένοι να καταδεικνύουμε όσο νωρίτερα μπορούμε τέτοια ζητήματα, ώστε να διορθώνονται εγκαίρως και -αν μη τι άλλο- να προλαμβάνονται σκάνδαλα. Τέτοιες άκρως προβληματικές καταστάσεις, όπως η περίπτωση με τα φορολογικά δεδομένα Ελλήνων πολιτών το 2013 (https://hiu.gr/s/14) το οποίο και πάλι είχαμε αναδείξει (https://hiu.gr/s/15), ή το ίσως ακόμη πιο σοβαρό περιστατικό σε ΗΠΑ και Ευρώπη, γνωστό ως υπόθεση Cambridge-Analytica (https://hiu.gr/s/16).
Η ΕΠΕ δεσμεύεται να συνεχίσει να παρακολουθεί αυτά τα ζητήματα και να ενημερώνει τους πολίτες, όπως είναι υποχρεωμένη να πράττει βάσει του Καταστατικού της και του Κώδικα Δεοντολογίας για την Πληροφορική.
——————-
Σοβαρά προβλήματα στο έργο του υπουργείου Υγείας: «Έλεγχος και Βελτιστοποίηση Κανόνων Συνταγογράφησης μέσω Τεχνητής Νοημοσύνης»
Στις 2 Απριλίου 2025 ανακοινώθηκε από το υπουργείο Υγείας η υπουργική απόφαση με τίτλο:
Ένταξη της Πράξης «Έλεγχος και Βελτιστοποίηση Κανόνων Συνταγογράφησης μέσω Τεχνητής Νοημοσύνης» με Κωδικό ΟΠΣ 5225536 στο «ΤΠΑ ΥΓΕΙΑΣ 2021-2025»
Η απόφαση αφορά στην ανάπτυξη λογισμικού και υπηρεσιών με σκοπό την “…αναπτυχθεί μηχανισμός τεχνητής νοημοσύνης με εφαρμογή στην ηλεκτρονική συνταγογράφηση.” Συγκεκριμένα, αναφέρονται οι λειτουργίες / “μηχανισμοί” για την “ανάκτηση”, “ανάλυση”, “διακυβέρνηση”, “διάθεση” των δεδομένων, καθώς και μια σειρά σχετικές συνοδευτικές υπηρεσίες.
Η Ένωση Πληροφορικών Ελλάδας (ΕΠΕ) αποτελεί τον κατεξοχήν αρμόδιο φορέα ικανό να διατυπώσει παρατηρήσεις ως εμπειρογνώμονας και στα δύο αντικείμενα (έργα ΤΠΕ και μέθοδοι ΤΝ), με σκοπό πάντα το δημόσιο συμφέρον και το κοινωνικό όφελος από κάθε τέτοια δράση.
Παρότι τόσο ο τομέας των Τεχνολογιών Πληροφορικής και Επικοινωνιών (ΤΠΕ), όσο και αυτός της Τεχνητής Νοημοσύνης (ΤΝ), είναι εδώ και δεκαετίες ώριμοι και βασίζονται σε σαφείς μεθοδολογίες και διεθνείς πρακτικές, η παραπάνω υπουργική απόφαση εμφανίζει σοβαρότατες ανεπάρκειες ως προς τη διατύπωση του έργου, τα αναμενόμενα παραδοτέα και τον τρόπο αξιολόγησής τους.
Συγκεκριμένα, οφείλουμε να επισημάνουμε τα εξής:
- Πρόκειται για ένα έργο ΤΠΕ αξίας 5,58 εκατ. ευρώ, όμως ονομάζεται “πιλοτικό”.
- Η ανακοίνωση για ένα τόσο τεχνικό έργο είναι μόλις 4,5 σελίδες, κάτι που παραπέμπει σε μόνο γενικές περιγραφές και όχι σε συγκεκριμένες προδιαγραφές απαιτήσεων.
- Ενώ το κεντρικό αντικείμενο είναι (α) διαχείριση δεδομένων και (β) Τεχνητή Νοημοσύνη, σε κανένα από τα δύο δεν υπάρχει τεχνική περιγραφή των προδιαγραφών-απαιτήσεων.
- Δεν υπάρχει πουθενά τεχνική περιγραφή και κριτήρια αξιολόγησης KPIs (Key Performance Indicators) των παραδοτέων.
Δεν υπάρχει αναλυτική περιγραφή τι ακριβώς διερευνά-αξιολογεί το συγκεκριμένο πρωτότυπο, ώστε σε δεύτερο στάδιο να υπάρξει σχετική απόφαση για κάτι, όπως συμβαίνει με κάθε “πιλοτικό” έργο. Για παράδειγμα, την ανάπτυξη ενός μεγαλύτερου συστήματος με περαιτέρω λειτουργίες και δυνατότητες ή, αντίθετα, την τεκμηριωμένη απόρριψη μιας τέτοιας απόφασης.
Ενώ υπάρχει μια πολύ γενική έστω αναφορά ελέγχου συμμόρφωσης ως προς το EU AI Act, δεν υπάρχει τίποτα αντίστοιχο για συμμόρφωση με τον κανονισμό GDPR, που φυσικά είναι εξίσου σημαντικό ζήτημα. Το δεύτερο παραδοτέο στη λίστα αναφέρεται γενικά σε “μελέτη”, όχι συγκεκριμένα σε σύμφωνο επεξεργασίας δεδομένων DPA (Data Processing Agreement) με νομική ισχύ-δέσμευση, συνεπώς καμία δέσμευση-πρόβλεψη ούτε για ορισμό DPO (Data Protection Officer) σύμφωνα με όσα απαιτούνται στο GDPR.
Δεν ορίζεται ο αποδέκτης-χρήσης των δεδομένων και των υπηρεσιών που θα αναπτυχθούν (data consumer), ούτε καν αν πρόκειται για δημόσιο ή μη φορέα.
Σχετικά με τις γενικές απαιτήσεις, ονομάζονται κάποιοι “μηχανισμοί” αλλά όχι συγκεκριμένες λειτουργίες (functionalities) που πρέπει να υλοποιεί το σύστημα. Αυτό πρακτικά σημαίνει ότι όλα μπορούν τελικά να είναι απλά SQL queries σε βάσεις δεδομένων, αρκούντως “έξυπνα” ώστε να θεωρηθούν “μηχανισμοί ΤΝ”.
Αντίστοιχα, αναφέρονται “Υπηρεσίες Εκπαίδευσης”, αλλά όχι και παράδοση σχετικού εκπαιδευτικού υλικού. Οι “αναφορές εκπαίδευσης” που αναφέρονται εκεί αφορούν τη διαδικασία ανάπτυξης και όχι το αποτέλεσμα-παραδοτέο της συγκεκριμένης υπηρεσίας που κανονικά θα έπρεπε να προβλέπεται ως αυτόνομο παραδοτέο και να περιγράφεται με ακρίβεια.
Υπάρχει αναφορά απαίτησης “Υπηρεσίες εγγύησης για κατ’ ελάχιστο δύο (2) έτη”, χωρίς να διευκρινίζει τι ακριβώς θα εγγυάται. Δηλαδή, μπορεί τελικά να είναι τίποτα παραπάνω από κάποιο τυπικό server χωρίς καμία ενημέρωση ασφάλειας ή εγγυημένη διαθεσιμότητα για αυτό το διάστημα.
Δυστυχώς, οι παραπάνω σημαντικές παραλείψεις δεν αποτελούν εξαίρεση σε παρόμοια έργα-δράσεις ΤΠΕ και καταδεικνύουν χρόνια προβλήματα:
- Προχειρότητα και μη τεχνική περιγραφή έργων ΤΠΕ.
- Απουσία συγκεκριμένου θεσμικού πλαισίου διασφάλισης ποιότητας σε έργα ΤΠΕ.
- “Απορρόφηση” κονδυλίων σε έργα ΤΠΕ ως αυτοσκοπός, χωρίς στρατηγικό πλάνο και στόχο, χωρίς έλεγχο αποτελέσματος με αντικειμενικούς ποσοτικούς δείκτες.
Εδώ και δεκαετίες, από την εποχή των πρώτων σταδίων υλοποίησης και εφαρμογής του TAXIS, θυμόμαστε τις ίδιες ακριβώς εξαγγελίες για “ψηφιοποίηση” και “κομπιούτερς” που με κάποιο μαγικό τρόπο θα διασφάλιζαν την εξάλειψη της φοροδιαφυγής και τον εκσυγχρονισμό των υποδομών του Δημοσίου. Στα χρόνια που μεσολάβησαν “απορροφήθηκαν” εκατοντάδες εκατομμύρια ευρώ για παρόμοια έργα ΤΠΕ, τόσο σε σχέση με το TAXIS, όσο και σε πολλά ακόμα πληροφοριακά συστήματα και πλατφόρμες. Σήμερα συνεχίζουν να “απορροφώνται” κονδύλια με τον ίδιο τρόπο, για τον ίδιο σκοπό, με τα ίδια απροσδιόριστα αποτελέσματα.
Επιπλέον, παρατηρούμε ότι τόσο σε αυτή, όσο και σε άλλες ανάλογες πράξεις όπως ο ενιαίος ψηφιακός φάκελος και η ψηφιοποίηση των αρχείων των υποδομών του ΕΣΥ, υπάρχει τεράστια δυστοκία και παράλειψη συγκεκριμένης περιγραφής ως προς το πλάνο DMP (Data Management Plan) ως προς τη διαχείριση αυτών των δεδομένων. Πρόκειται για τεράστιο και υπερ-πολύτιμο όγκο δεδομένων των πολιτών, για τον οποίο δεν αρκεί απλώς η διασφάλιση τυπικών μηχανισμών όπως η ανωνομοποίηση (anonymization) και τα πρωτόκολλα διαλειτουργικότητας (interoperability). Απαιτείται σαφής περιγραφή, σε τεχνικό και νομικό επίπεδο, ως προς τη δημόσια διάθεσή τους για ερευνητικούς σκοπούς και τη δέσμευση δημοσίευσης, ανοικτής πρόσβασης για όλους, των σχετικών δεδομένων και των αποτελεσμάτων ως αντιστάθμισμα, όπως ισχύει σε κάθε άλλο μέσο και μέθοδο χρηματοδότησης της Έρευνας & Ανάπτυξης (R&D) σύμφωνα με το σχετικό κανονιστικό πλαίσιο της ΕΕ. Είναι αδιανόητο όλος αυτός ο όγκος των δεδομένων των πολιτών να διατεθεί σε οργανισμούς για την ανάπτυξη ιδίων προϊόντων και υπηρεσιών, χωρίς κανένα απολύτως όφελος για τους πολίτες στους οποίους ανήκουν τα δεδομένα αυτά και που έχουν κάθε δικαίωμα να επιλέξουν ρητά τη συμμετοχή ή την εξαίρεσή τους από τέτοια δράση.
Καλούμε το υπουργείο Υγείας, την ΗΔΙΚΑ ως ανάδοχο της συγκεκριμένης πράξης, καθώς και κάθε άλλο οργανισμό, φορέα του Δημοσίου και υπουργείου, να θεσμοθετήσουν επιτέλους ένα σοβαρό και σύγχρονο πλαίσιο ανάπτυξης έργων ΤΠΕ. Επιπλέον, την ένταξη σε αυτό όλων των σύγχρονων εξελίξεων, συμπεριλαμβανομένων και υπηρεσιών όπως η ΤΝ και η αξιοποίηση του τεράστιου πλούτου δεδομένων του Δημοσίου, πάντοτε με βασικό άξονα το δημόσιο συμφέρον, το κοινωνικό όφελος προς τους πολίτες και την υποστήριξη ανάλογων στρατηγικών για το μέλλον.
