डेटा, निजता और महामारी: भारत में मेडिकल रिकॉर्ड्स का सबसे बड़ा डेटा उल्लंघन

इस हफ़्ते, आम लोगों के बीच होने वाली बहस में यह मुद्दा छाया रहा कि व्हाट्सएप किस तरह से लोगों के व्यक्तिगत डेटा और उनकी गोपनीयता को ख़तरे में डालता है, और साथ ही उसकी प्रतिद्वंद्वी दूसरी पेशेवर कंपनियां किस तरह के तौर-तरीक़े अपना रही हैं. इस बीच कुछ ऐसा भी हुआ है जो हमारी नज़रों से चूक गया लेकिन वह व्हाट्सएप पर जारी इस बहस जितना ही ज़रूरी है. इस साल पांच जनवरी को, एक टेकनोलॉजी पोर्टल पर एक कहानी साझा की गई जिस में बताया गया था कि किस प्रकार दिल्ली सरकार के कई सरकारी डोमेन और पोर्ट्ल (delhigovt.nic.in/delhi.gov.in/revenue.delhi.gov.in) के माध्यम से इंटरनेट पर कोविड-19 के मरीज़ों से जुड़े परीक्षण नतीजे लीक हुए थे. इस के अलावा निजी परिक्षण लैब में होने वाले चिकित्सीय परीक्षणों की व्यक्तिगत रिपोर्ट भी उपलब्ध थीं. फिर भी, इस मुद्दे पर किसी मीडिया घराने का ध्यान नहीं गया और कहीं कोई और ख़बर नहीं आई.

निजी डेटा के लीक होने को लेकर दिल्ली में दुर्घटनावश जो हुआ, वह काफ़ी हद तक कर्नाटक में महामारी के शुरुआती दिनों के समान है, जब राज्य सरकार ने जानबूझ कर, संपर्क-अनुरेखण यानी कॉन्टेक्ट ट्रेसिंग की प्रक्रिया में सहयोग करने के लिए उन लोगों की जानकारियां और उन के घर के पते प्रकाशित किए जिन्होंने कोविड-19 का परिक्षण कराया था और उनके नतीजे पॉज़िटिव रहे थे. यह सवाल कि क्या महामारी के दौरान निजता के अधिकार को निलंबित किया जा सकता है, कैसे एक महामारी के दौरान डेटा के संरक्षकों के द्वारा मरीज़ों की गोपनीयता व निजता का ख्याल रखा जाता है, और क्या वह इसे एक ज़िम्मेदारी के रूप में निभा पाते हैं, इस बात पर मीडिया में संक्षेप में ही चर्चा हुई है.

यह सवाल कि क्या महामारी के दौरान निजता के अधिकार को निलंबित किया जा सकता है, कैसे एक महामारी के दौरान डेटा के संरक्षकों के द्वारा मरीज़ों की गोपनीयता व निजता का ख्याल रखा जाता है, और क्या वह इसे एक ज़िम्मेदारी के रूप में निभा पाते हैं, इस बात पर मीडिया में संक्षेप में ही चर्चा हुई है.

भारत में मरीज़ों की देखभाल से संबंधित प्रमुख हितधारकों द्वारा मरीज़ों की गोपनीयता और उनकी निजता को ले कर समझ और सामान्य तौर पर अपनाए जाने वाला उनका रवैया, एक समस्या है. राष्ट्रीय डिजिटल स्वास्थ्य मिशन, एनडीएचएम (National Digital Health Mission-NDHM) के तहत स्वास्थ्य को बेहतर बनाने के लिए प्रौद्योगिकी का लाभ उठाने को लेकर एक भव्य दृष्टिकोण अपनाया गया है. अगस्त 2020 में प्रधानमंत्री नरेंद्र मोदी द्वारा स्वतंत्रता दिवस के मौक़े पर दिए गए भाषण के अनुसार, मिशन का उद्देश्य प्रत्येक डायग्नोस्टिक परीक्षण, बीमारी के हर चरण और डॉक्टरों द्वारा दिए जाने वाले हर परामर्श को एक स्वैच्छिक स्वास्थ्य आईडी (health ID) से लिंक करना है, जिसके उपयोग का नियंत्रण मरीज़ के अपने हाथ में होगा. यह माना जा रहा है कि मरीज़ों की जानकारियां त्वरित रूप से उपलब्ध होने और मरीज़ के चिकित्सीय इतिहास और उपचार के विवरण सुलभ होने के साथ, उसकी देखभाल की गुणवत्ता में ज़बरदस्त सुधार होगा.

स्वास्थ्य और परिवार कल्याण मंत्रालय ने कहा है कि राष्ट्रीय डिजिटल स्वास्थ्य मिशन भारतीयों को सही डॉक्टरों को खोजने, उनके साथ समय नियुक्त करने, परामर्श शुल्क का भुगतान करने, डॉक्टरी परामर्श का पर्चा पाने के लिए अस्पताल के कई चक्कर लगाने जैसी चुनौतियों से मुक्त करेगा. वर्तमान में इस परियोजना को केंद्र शासित प्रदेशों में लागू कर इस का परीक्षण किया जा रहा है, जिसके तहत व्यक्तिगत रूप से मरीज़ों, डॉक्टरों और स्वास्थ्य सेवा प्रदाताओं से स्वेच्छा से डेटा के इस केंद्रीकृत भंडार का हिस्सा बनने की उम्मीद की जाती है, क्योंकि यह माना जाता है कि इस सिस्टम की सफलता इस बात पर निर्भर करेगी कि अलग-अलग इकाईयों से जुड़े होने की इस की प्रकृति को ले कर लोगों में विश्वास हो.

यह मामला साफ़ तौर पर इस ओर इशारा करता है कि डिजिटाइज़ेशन ने भले ही अस्पताल के स्तर पर प्रक्रियाओं को आसान बना दिया है, लेकिन मरीज़ों के डेटा की सुरक्षा के लिए पर्याप्त सावधानी नहीं बरती जा रही है.  

हालांकि, बेहतर गुणवत्ता वाली स्वास्थ्य सेवा का यह सराहनीय सपना एक बुरे सपने में बदल जाता है, जब हर परीक्षण, हर बीमारी का विवरण और एक ही स्वास्थ्य आईडी से जुड़ी इस प्रणाली के अंतर्गत मौजूद निजी डेटा, सिस्टम की विफलता के चलते, हर उस व्यक्ति तक पहुंच सकता है, जिसकी इंटरनेट तक पहुंच हो. यह हर मायने में डेटा लीक है. सार्वजनिक क्षेत्र में गोपनीयता भंग होने के कारण एक प्रणाली की विफलता अक्सर संसाधनों या प्रशिक्षित कर्मियों की कमी के कारण होती है, लेकिन इस तरह के उल्लंघन, सार्वजनिक क्षेत्र तक सीमित नहीं हैं.

दिल्ली सरकार के माध्यम से कोविड-19 के मरीज़ों के डेटा और जानकारियों लीक होने के बारे में पड़ताल करते हुए यह पाया गया कि निजी अस्पताल और डायग्नोस्टिक केंद्र दोनों ही मरीज़ों की जानकारियों, उनकी गोपनीयता और निजता के मसले पर चौंकाने वाली उपेक्षा और लापरवाही के साथ काम कर रहे थे. यह मामला साफ़ तौर पर इस ओर इशारा करता है कि डिजिटाइज़ेशन ने भले ही अस्पताल के स्तर पर प्रक्रियाओं को आसान बना दिया है, लेकिन मरीज़ों के डेटा की सुरक्षा के लिए पर्याप्त सावधानी नहीं बरती जा रही है.

केरल का एक मल्टी-स्पेशियलिटी निजी अस्पताल

भारत में अपनी तरह के अलग और बेहद बड़े पैमाने पर अभूतपूर्व रूप से हुए एक डेटा ब्रीच यानी उल्लंघन में केरल के एक बड़े मल्टी-स्पेशियलिटी प्राइवेट अस्पताल में, पिछले पांच सालों के मरीज़ों के सभी रिकॉर्ड, जिसमें सैकड़ों और हजारों की संख्या में मरीज़ों के टेस्ट परिणाम, स्कैन, डॉक्टरी परामर्श के पर्चे शामिल थे, इंटरनेट पर लीक हो गए. यह सभी मरीज़ों के एक विशिष्ट पहचान आईडी द्वारा इंटरनेट पर लीक किए जा सकते थे. यह स्पष्ट नहीं है कि ये रिकॉर्ड कितने हफ़्तों या महीनों (या सालों) तक सार्वजनिक डोमेन में बने रहे. बेहद मज़बूत जन-कल्याण व्यवस्था और सार्वजनिक क्षेत्र होने के बावजूद, केरल भारत के उन कुछेक राज्यों में से एक है, जिसमें एक अच्छी तरह से विकसित निजी स्वास्थ्य सेवा वितरण प्रणाली भी मौजूद है. साल 2017-2018 के ताज़ा आंकड़ों के मुताबिक राज्य के लगभग दो-तिहाई अस्पताल, निजी क्षेत्र में हैं.

केरल में मौजूद एनएबीएल द्वारा मान्यता प्राप्त 101 निजी प्रयोगशालाओं में से एक इसी तरह के एक निजी अस्पताल में है, और इस अस्पताल में हुए डेटा ब्रीच के एक हिस्से के रूप में, यहां भारी संख्या में हुकोविड-19 के टेस्ट परीक्षणों से जुड़ी रिपोर्ट के अलावा, साल 2015 और 2021 के बीच हुए कई डायग्नोस्टिक परीक्षणों, कंसेट फॉर्म और अस्पताल में भर्ती होने से संबंधित दस्तावेज़ भी ऑनलाइन (फ़िगर- 2) उपलब्ध थे.ए कोविड-19 परीक्षणों की रिपोर्ट नेट पर उपलब्ध हैं. (फ़िगर-1). इस डेटा लीक में एंटीजेन (antigen) के साथ साथ कई न्यूक्लिक एसिड प्रवर्धन परीक्षण यानी सीबीएनएएटी (CBNAAT) टेस्ट नतीजे भी इंटरनेट पर पाए गए थे.

 फ़िगर-1: इंटरनेट पर लीक हुआ एक कोविड-19 टेस्ट रिज़ल्ट

तस्वीर का स्रोत: डेटा ब्रीच के हिस्से में से बिना किसी नियोजन के चुना गया एक दस्तावेज़

कोविड-19 के टेस्ट परीक्षणों से जुड़ी रिपोर्ट के अलावा, साल 2015 और 2021 के बीच हुए कई डायग्नोस्टिक परीक्षणों, कंसेट फॉर्म और अस्पताल में भर्ती होने से संबंधित दस्तावेज़ भी ऑनलाइन (फ़िगर- 2) उपलब्ध थे.

फ़िगर- 2: डेटा ब्रीच में उपलब्ध दस्तावेज़ और जानकारियों से भरे मेडिकल रिकॉर्ड का एक नमूना    

तस्वीर का स्रोत: डेटा ब्रीच के हिस्से में से बिना किसी नियोजन के चुना गया एक दस्तावेज़

मामले को बदतर बनाते हुए, मरीज़ों के पहचान आईडी के अनुसार बनाए गए अलग अलग फ़ोल्डर, जिसमें टाइम-स्टैम्प के साथ मरीज़ों की टेस्ट रिपोर्ट, उनके स्कैन के नतीजे और सभी सहायक दस्तावेज़ शामिल हैं, भी इंटरनेट पर सार्वजनिक रूप से जारी हो गए (फ़िगर- 3)

फ़िगर-3: अस्पताल एमआईएस के ज़रिए मरीज़ों से जुड़े एक फ़ोल्डर का नमूना

तस्वीर का स्रोत: डेटा ब्रीच के हिस्से में से बिना किसी नियोजन के चुना गया एक दस्तावेज़

इस डेटा उल्लंघन के क्रम में अंतत: मरीज़ों की आईडी के आधार पर बांटे गए सभी फ़ोल्डरों के लिंक की एक व्यवस्थित सूची भी, एक सिंगल इंडैक्स पेज (फ़िगर- 4) पर उपलब्ध कराई गई थी, जिससे पूरे डेटाबेस को डाउनलोड करने वाले किसी भी व्यक्ति का काम बहुत आसान हो जाता है. इस पेज में लगभग 200,000 मरीज़ों का विवरण था, जो संभवतः पिछले पांच से छह सालों के दौरान अस्पताल में आए हों और इन में इन मरीज़ों के साथ हुई हर बातचीत व व्यवहार का विवरण मौजूद था. मरीज़ों की आईडी में से प्रत्येक एक फ़ोल्डर से जुड़ा था, जिसमें कई मेडिकल रिकॉर्ड मौजूद थे, जैसा कि (फ़िगर-3) में देखा जा सकता है. इस उल्लंघन में संभावित रूप से मरीज़ों का कई गीगाबाइट डेटा शामिल था- जो अलग अलग सैकड़ों व हजारों फ़ाइलों में दर्ज था. इनमें से अधिकांश मेडिकल रिकॉर्ड्स में मरीज़ों के नाम, ईमेल पते और/ या फोन नंबर भी शामिल थे.

फ़िगर- 4: संबंधित फ़ोल्डर से जुड़ी मरीज़ों की आईडी डायरेक्ट्री

तस्वीर का स्रोत: डेटा ब्रीच के हिस्से में से बिना किसी नियोजन के चुना गया एक दस्तावेज़

वन-ऑफ मामला नहीं

यह मल्टी-स्पेशिएलिटी निजी अस्पताल किसी भी तरह से असामान्य नहीं है. इंटरनेट पर दस मिनट की खोज से पता चला कि दिल्ली में एक निजी डायग्नोस्टिक सेंटर ने अपने सभी परीक्षण परिणामों को ऑनलाइन उजागर किया (फ़िगर- 5). ऐसा लग रहा था कि पिछले तीन महीनों में उन्होंने जितने भी परीक्षण किए थे, उनके परिणाम ऑनलाइन उपलब्ध थे. यह संख्या केवल कुछ सौ तक ही सीमित थी, संभवतः क्योंकि पुराने परीक्षणों के नतीजे फ़ोल्डर से हटा दिए गए थे.

फ़िगर-5: डायग्नोस्टिक सेंटर से हुए डेटा उल्लंघन के नमूने

तस्वीर का स्रोत: डेटा ब्रीच के हिस्से में से बिना किसी नियोजन के चुना गया एक दस्तावेज़

जिस दिन शोधकर्ता को अपनी रीसर्च के दौरान डेटा के इस उल्लंघन की जानकारी मिली उसी दिन उन्होंने मरीज़ों की गोपनीयता को बनाए रखने के लिए संस्थानों को सूचित किया और उचित कार्रवाई करने का अनुरोध किया. ईमेल और टेलीफोन कॉल के माध्यम से अस्पताल के मुख्य सूचना अधिकारी (सीआईओ) से संपर्क करने की कोशिश कई प्रयासों के बाद भी असफल रही, लेकिन यह कहा गया कि मरीज़ों से संबंधित यह डेटा जल्द इंटरनेट से हटा लिया जाएगा.

हालांकि, सभी जानकारी उपलब्ध कराए जाने और सतर्क किए जाने के बाद भी, इन संस्थानों ने सार्वजनिक डोमेन से अत्यधिक संवेदनशील और गोपनीय जानकारियों को हटाने के लिए पर्याप्त क़दम नहीं उठाए हैं. इन में से अधिकतर डेटा अब भी इंटरनेट पर उपलब्ध है और सर्च इंजन के माध्यम से खोजा जा सकता है. वास्तव में, दिल्ली के डायग्नोस्टिक सेंटर की वेबसाइट अब सब से ताज़ा आंकड़े, दिनांक 11 जनवरी 2021 के हैं यानी उच्च प्रबंधन को इस बारे में सूचित किए  जाने के चार दिन बाद के. जब तक निजी व सार्वजनिक क्षेत्र में स्वास्थ्य सेवाएं उपलब्ध कराने वाले विभिन्न प्रकार के हितधारकों के बीच मरीज़ों की गोपनीयता से संबंधित चिंताओं को लेकर सजगता नहीं होगी और वह इस मामले में गंभीर नहीं होंगे, और मरीज़ों का विश्वास क़ायम करने के लिए सही क़दम नहीं उठाएंगे, तब तक यह बहुत संभव है कि राष्ट्रीय डिजिटल स्वास्थ्य मिशन अपने शानदार वादों के बावजूद नकाफ़ी ही साबित हो.

• Healthcare
• India
• एनडीएचएम
• कोविड-19
• गोपनीयता आक्रमण
• गोपनीयता और निगरानी
• डेटा गोपनीयता
• भारत
• महामारी
• सार्वजनिक स्वास्थ्य
• स्वास्थ्य देखभाल

The views expressed above belong to the author(s). ORF research and analyses now available on Telegram! Click here to access our curated content — blogs, longforms and interviews.