In August, the Conservative Party published its independent review of NHS and social care IT, examining the future of the controversial £12.7bn NHS National Programme for IT.

Taking their statements at face value, it seemed the Tories’ plan consisted merely of “dismantling Labour’s central NHS IT infrastructure”, and replacing it with a Google or Microsoft alternative, but the review covers much more than this.

The focus on Google and Microsoft was in relation to the alternatives to the HealthSpace programme. HealthSpace, which was introduced in October 2005, gives patients online access to their “summary care record”, where they can track basic health information, such as height, weight and blood pressure. It is still only in trial, accessible by fewer than 35,000 patients.

The report does not propose the replacement of HealthSpace by Google Health or Microsoft HealthVault. In fact, it was rather cold about Google Health. However, it recognised that these systems could act as replacements or alternatives, provided they are adapted to fit the NHS.

Assuming that the Conservatives’ investigation into the Google and Microsoft alternatives continues, what will need to be done to make it a reality?

In terms of data security, there is no reason to think that Google or Microsoft are more exposed to data security breaches or data loss than the NHS. Indeed, if the Information Commissioner’s recent run of enforcement action against the NHS is anything to go by, people might be forgiven for thinking that outsourcing to Google and Microsoft cannot come quickly enough. Thus, data security concerns are not in themselves barriers to the alternative vision.

The area where the Conservatives will need to improve performance is regulation. Since 2007, when HM Revenue & Customs (HMRC) lost two data discs containing almost an entire copy of the child benefit database, there has been a considerable investment in improving the regulatory framework for data security in the public sector.

This has been accompanied by massive progress in theories for best practice in data handling, as illustrated by the Data Handling Review and the development of the government’s Security Policy Framework. Likewise, the work of GCHQ’s CESG
security operation has contributed significantly to the improvement of the regulatory framework for the public sector. This is not the case for the private sector, where Google and Microsoft operate.

The best illustration of this point is found within the Coroners and Justice Bill, which was introduced in the House of Commons in January 2009. Among other things, the Bill contains a power for the Information Commissioner’s Office (ICO) to carry out compulsory inspections of government departments. The intention behind this power is to codify a non-statutory right of inspection that was given to the ICO by the prime minister immediately after the HMRC debacle.

From January to July, the ICO and many parliamentarians consistently argued for a comparable right of inspection for the private sector, but this was rejected. However, during the Bill’s committee reading in the House of Lords, the government made limited concessions that will allow the secretary of state to designate categories of private sector data controllers as liable to inspections. This limited extension could result
in a much-needed improvement to the regulatory framework for data security in the private sector.

If the Conservatives form the next government, they will need to designate controllers such as Google and Microsoft for the inspection regime. This will be essential if the public is to embrace private sector suppliers in the NHS.

Stewart Room is a partner at Field Fisher Waterhouse’s Privacy and Information Law Group. His new book, Data Security Law and Practice, will be published in November

================================

英 국립 전자의료기록의 민영화

지난 8월, 영국 보수당은 국민건강보험과 사회정보기술과 관련된 자체 독립보고서를 내놓았는데, 여기엔 향후 30조원 이상이 투자될 미래 국립정보기술 건강관리프로그램에 대한 평가가 수록되어있다.

이 보고서를 두고 토리당 측에선 `노동당의 중앙집중형 국민건강보험 정보기술 구조의 해체`를 목적으로 두고, 이를 대체하기 위해 Google社와 Microsoft社를 대체사업자로 선정하였다고 주장하고 있다.

대체사업자로서의 Google社와 Microsoft社는 HealthSpace라 불리는 프로그램을 그 대안으로 개발해놓은 것으로 보인다. HealthSpace는 2005년 10월에 소개된 의료프로그램으로서 환자들에게 온라인 상으로 본인의 건강기록을 확인할 수 있도록 해주며, 건강기록을 요약하여 제공해주는 기본 건강정보추적 시스템이라 할 수 있는 것이다.

현재 상기 프로그램은 테스트를 완료한 상태이며 3만 5천명의 환자 내에서 동시접속이 가능하게 구축된 상태라고 한다.

물론 이번 자체보고서에는 상기 프로그램을 현행 전자의료기록의 대체수단으로 사용하자는 직접적인 언급은 이루어지지 않은 것으로 알려졌지만, 현재까지 개발된 시스템들이 상기 프로그램을 대체수단으로 사용할 가능성은 매우 높은 것으로 전망되고 있는 상황이라고 한다.

데이터보안성 측면에서는 두말할 것도 없이 개인사업자 (Google, Microsoft)에게 국민건강기록을 맡긴다는 것은 보안위협과 데이터손실에 더 많은 위험요인이 뒤따를 것이 분명하다. 하지만 시민들이 국가 주도에서 외부 개인사업자 주도로 전환되는 시일에 다소 시간이 걸린다는 점에 관대할 것이라는 정보위원회의 보고서가 발표된 이래 데이터보안과 관련된 근심거리는 현재로선 문제선상에서 제외된 듯 보인다.

그렇기에 보수당의 입장에서는 규제법안을 종전보다 강화시키는 작업이 신속히 이루어져야 할 것으로 보인다. 2007년 이래로 전자건강기록과 관련된 무수한 데이터유출 및 분실사고가 언론에 의해 국민에게 공개된 이후 공공부문에 있어 데이터보안을 위한 정책적 프레임워크의 필요성이 크게 대두되고 있기 때문으로 해석된다.

이번 사안에 대한 정확한 묘사가 이루어진 것이 바로 검시와 정의구현 법안 (Coroners and Justice Bill)이라 할 수 있겠는데, 2009년 1월 하원에서 소개된 상기 법안은 정보위원회에 보다 많은 조사권한을 내주어 각 정부부처에 대한 강압적인 수사를 가능케 만든 법안이기도 하다.

이후로 정보위원회와 무수한 의원들 사이에서 조사권한의 적법성 논란이 끊임없이 벌어졌고 민간부문에도 상기 권한을 넘겨야 한다는 의견까지 나왔으나 이는 결국 무산되었다고 한다.

만일 보수당이 다음정권을 차지하게 된다면, 대체 전자의료기록 프로그램이 민간사업자로 넘어갈 가능성이 매우 큰 상황이라 할 수 있겠다.