كشف تحقيق أجرته صحيفة "الغارديان" عن تسريب بيانات صحية سرية على الإنترنت في عشرات المناسبات، مما يثير تساؤلات بشأن حماية سجلات المرضى في أحد أبرز مشاريع البحوث الطبية في المملكة المتحدة.
ويُعدّ بنك البيانات الحيوية البريطاني، الذي يضم السجلات الطبية لنحو 500 ألف متطوع بريطاني، أحد أضخم قواعد البيانات الصحية في العالم.
ويُنسب إلى هذا البنك الفضل في تحقيق إنجازات رائدة في أبحاث السرطان والخرف والسكري، إلا أن العلماء الذين مُنحوا صلاحية الوصول إلى بيانات البنك الحساسة يبدو أنهم استهانوا أحيانًا بأمنها.
تشخيصات طبية لنحو 400 ألف شخص
ولا تتضمن الملفات، التي يبدو أنها نُشرت عن غير قصد من قِبل باحثين يستخدمون البيانات، أسماءً أو عناوين، لكنها قد تُثير مخاوف بشأن الخصوصية. فقد احتوت إحدى مجموعات البيانات التي عثرت عليها "الغارديان" على ملايين التشخيصات الطبية وتواريخها لأكثر من 400 ألف مشارك.
وبموافقة أحد المتطوعين في بنك المعلومات الحيوية، تمكنت صحيفة "الغارديان" من تحديد ما بدا أنها سجلات تشخيصية واسعة النطاق في المستشفى للمتطوع، باستخدام شهر وسنة ميلاده فقط وتفاصيل عملية جراحية كبرى خضع لها.
ووصف أحد خبراء البيانات حجم المشكلة واستمرارها بأنه "صادم"، لا سيما في ظلّ ما تُسهّله تقنيات الذكاء الاصطناعي ووسائل التواصل الاجتماعي من التحقق من المعلومات عبر الإنترنت.
وقد رفض بنك البيانات الحيوية البريطاني هذه المخاوف، مؤكدًا أنه لم يتم تزويد الباحثين بأي بيانات تعريفية، كالأسماء والعناوين.
ونقلت "الغارديان" عن البروفيسور السير روري كولينز، الرئيس التنفيذي لبنك المملكة المتحدة الحيوي قوله: "لم نرَ قط أي دليل على إعادة تحديد هوية أي مشارك في بنك المملكة المتحدة الحيوي من قِبل جهات أخرى"، مضيفًا: "لقد أكدوا لنا أنهم سيحفظون بياناتنا بأمان".
وتأسس بنك المملكة المتحدة الحيوي عام 2003 من قِبل وزارة الصحة وجمعيات خيرية للبحوث الطبية، ويضم تسلسلات جينومية، وصورًا مجهرية، وعينات دم، ومعلومات عن نمط حياة 500 ألف متطوع. وفي الشهر الماضي، وسّعت الحكومة نطاق وصول البنك الحيوي إلى سجلات الأطباء العامين للمتطوعين.
ويتقدم العلماء في الجامعات والشركات الخاصة حول العالم بطلبات للحصول على بيانات. وكان بإمكانهم، حتى أواخر عام 2024، تنزيل البيانات مباشرةً على أنظمة حواسيبهم الخاصة.
الشفرة البرمجية تتسبب بتسريب البيانات
وقبل هذه المرحلة، نُشرت البيانات عن غير قصد على الإنترنت، ويبدو أن بنك البيانات الحيوية لا يزال يُعاني من هذه المشكلة.
وظهرت هذه المشكلة نتيجةً لتزايد اشتراط المجلات والجهات المُموّلة على الباحثين نشر الشفرة البرمجية التي استخدموها لتحليل مجموعات البيانات الضخمة.
وعند محاولة تحميل الشفرة، قام بعض الباحثين عن طريق الخطأ بنشر أجزاء من مجموعات بيانات بنك البيانات الحيوية أو كلها على منصة GitHub، وهي منصة شائعة لمشاركة الشفرة البرمجية.
ويمنع بنك البيانات الحيوية في المملكة المتحدة الباحثين من مشاركة البيانات خارج أنظمته، ويُشير إلى أنه قدّم تدريبًا إضافيًا لجميع الباحثين.
وفي العام الماضي، يبدو أن تسريبات البيانات قد أصبحت مصدر قلق بالغ لبنك البيانات الحيوية في المملكة المتحدة. فبين شهري يوليو/ تموز وديسمبر/ كانون الأول 2025، وجّه البنك 80 إنذارًا قانونيًا إلى منصة GitHub، التي استجابت لطلبات إزالة البيانات من الإنترنت. ومع ذلك، لا يزال الكثير منها متاحًا.
وتحتوي بعض ملفات البيانات على معرّفات المرضى فقط، أو نتائج فحوصات لعدد قليل منهم، بينما تتضمن ملفات أخرى بيانات أكثر شمولًا.
فقد احتوت إحدى مجموعات البيانات التي عثرت عليها صحيفة "الغارديان" على الإنترنت في يناير/ كانون الثاني على تشخيصات المستشفيات وتواريخ التشخيص المرتبطة بها لحوالي 413,000 مشارك، بالإضافة إلى جنسهم وشهر وسنة ميلادهم.
انتهاك للخصوصية
وقال خبير بيانات، راجع الملف: "أصابني مجرد فتحه بقشعريرة. حذفت الملف فورًا. كان مفصلاً للغاية، وشعرت أنه انتهاك صارخ للخصوصية حتى بمجرد إلقاء نظرة سريعة عليه".
ولتقييم خطر إعادة تحديد الهوية، تواصلت صحيفة "الغارديان" مع عدد من متطوعي بنك البيانات الحيوية، اثنان منهم خضعا لإجراءات طبية خلال الفترة الزمنية التي تشملها البيانات، ووافقا على مشاركة هذه التفاصيل مع عالم بيانات خارجي. وقد تمكنت الصحيفة من تحديد هوية إحدى المرضى.
من جهته، قال بنك المعلومات الحيوية في المملكة المتحدة إن سيناريو إعادة تحديد الهوية الذي اختبرته صحيفة "الغارديان" لم يسلط الضوء على خطر على الخصوصية لأنه بدون معلومات إضافية سيكون من المستحيل تحديد هوية الأفراد.
ونقلت "الغارديان" عن متحدث باسم بنك البيانات الحيوية: "كما أوضحنا للمشاركين، بما في ذلك على موقعنا الإلكتروني: 'إذا قام أي مشارك بنشر معلومات تكشف عن صحته وهويته، مثل بيانات النسب، على موقع إلكتروني عام، فقد يُتيح ذلك إمكانية الكشف عن هويته من خلال الربط ببيانات أبحاث بنك البيانات الحيوية في المملكة المتحدة". وأضاف: 'لقد أثبتم ببساطة سبب تحذيرنا للمشاركين من القيام بذلك.'"
وأوضح المتحدث أن بنك البيانات الحيوية اتخذ إجراءات واسعة النطاق لحماية خصوصية المشاركين، بما في ذلك البحث الاستباقي في منصة GitHub، والتواصل المباشر مع الباحثين، وإصدار إشعارات قانونية لإزالة المحتوى، وهي إجراءات أدت، بحسب قوله، إلى إزالة حوالي 500 مستودع. وأشار إلى أن العديد من هذه المستودعات لم تحتوي إلا على معرفات المرضى، وليس على بيانات صحية.
