स्वास्थ्य डेटा सुरक्षित रखें

लगभग 3-4 करोड़ लोगों का स्वास्थ्य डेटा ख़तरे में पड़ गया था जब दिल्ली में अखिल भारतीय आयुर्विज्ञान संस्थान को क्रिप्टोकरंसी में 200 करोड़ रुपये की फिरौती के रूप में साइबर हमले का सामना करना पड़ा था। यह हमला 2022 में स्वास्थ्य सेवा उद्योग द्वारा सामना किए गए 1.9 मिलियन साइबर हमलों में से एक था। यह न केवल हैकरों से बल्कि सरकार और कॉर्पोरेट जगत से भी स्वास्थ्य डेटा की सुरक्षा से संबंधित प्रासंगिक प्रश्न उठाता है।

स्वास्थ्य डेटा में चल रहे उपचारों, पिछली प्रक्रियाओं, प्रजनन स्वास्थ्य, बायोमेट्रिक डेटा, आनुवंशिक डेटा आदि पर संवेदनशील व्यक्तिगत जानकारी शामिल है। जबकि इस डेटा का भंडारण रिकॉर्ड बनाए रखने और उपचार के भविष्य के पाठ्यक्रम को तय करने में सहायक हो सकता है, अन्य अपराधों के बीच स्वास्थ्य डेटा और डीएनए प्रोफाइलिंग के व्यावसायीकरण के माध्यम से इसके दुरुपयोग की संभावना है।

भारत सरकार ने लोगों के इलेक्ट्रॉनिक स्वास्थ्य डेटा की सुरक्षा और गोपनीयता के चिकित्सा सिद्धांत को बनाए रखने के लिए हेल्थकेयर अधिनियम, 2018 में डिजिटल सूचना सुरक्षा का प्रस्ताव रखा। अधिनियम सूचित सहमति के सिद्धांत को लागू करने का प्रयास करता है जिसमें डेटा एकत्र करने, संग्रहीत करने और उन्हें प्रसारित करने के तरीकों के लिए रोगी की सहमति लेनी पड़ती है। अधिनियम की धारा 28 डेटा के मालिक को किसी भी समय सहमति से इनकार करने या वापस लेने का अधिकार देती है। हालांकि, मना करने से स्वास्थ्य सेवा प्राप्त करने का अधिकार बाधित नहीं होगा। यह मालिक को यह सूचित करने का भी अधिकार देता है कि कौन से प्रतिष्ठान डेटा का उपयोग और किस उद्देश्य के लिए करेंगे। दुर्भाग्य से, अधिनियम को पारित किया जाना अभी बाकी है।

स्वास्थ्य डेटा की सुरक्षा को प्रभावित करने वाला एक और कानून - डिजिटल डेटा सुरक्षा बिल - संसद में पेश किया गया। डेटा संरक्षण के लिए कानून बनाने का सरकार का यह चौथा प्रयास था। हालाँकि, यह कमजोरियों से भरा हुआ था। स्वास्थ्य डेटा, आनुवंशिक डेटा और जीवनी संबंधी डेटा सहित संवेदनशील व्यक्तिगत डेटा की एक अलग श्रेणी प्रदान करने में विधेयक विफल रहा। डेटा सुरक्षा और गोपनीयता पर यूरोपीय संघ का सामान्य डेटा संरक्षण विनियमन, 'व्यक्तिगत डेटा' और 'संवेदनशील व्यक्तिगत डेटा' के बीच अंतर करता है, जिसमें संवेदनशील व्यक्तिगत डेटा में डेटा की विशेष श्रेणियां शामिल होती हैं जिन्हें अतिरिक्त सुरक्षा की आवश्यकता होती है। बिल में ऐसे किसी भेद का प्रावधान नहीं था; नतीजतन, स्वास्थ्य डेटा में उच्च स्तर की सुरक्षा नहीं थी। इसके अलावा, इसने 2018 के पुट्टास्वामी फैसले में ओईसीडी और न्यायमूर्ति ए.पी. शाह समिति द्वारा प्रदान किए गए डेटा संरक्षण के विभिन्न सिद्धांतों का उल्लंघन किया। बिल मालिक द्वारा सहमति देने के बाद एकत्र किए जा सकने वाले डेटा की मात्रा और प्रकार पर कोई सीमा नहीं रखता है। इसका मतलब यह है कि स्वास्थ्य डेटा का उपयोग और भंडारण किया जा सकता है चाहे वे किसी विशेष गतिविधि के लिए आवश्यक हों या नहीं। यह संग्रह सीमा के सिद्धांत का उल्लंघन करता है, जिसमें कहा गया है कि एकत्र किए गए डेटा पर सीमाएं निर्धारित की जानी चाहिए, साथ ही डेटा गुणवत्ता सिद्धांत, जो बताता है कि एकत्र किए गए डेटा को उस उद्देश्य के लिए प्रासंगिक होना चाहिए जिसके लिए उनका उपयोग किया जाना है। स्वास्थ्य बीमा पोर्टेबिलिटी और जवाबदेही अधिनियम, स्वास्थ्य डेटा की सुरक्षा और गोपनीयता पर अमेरिकी कानून, इन दोनों सिद्धांतों का पालन करता है।

नागरिकों के स्वास्थ्य डेटा की सुरक्षा पर भारतीय स्थिति अस्पष्ट है। यह चिंताजनक है क्योंकि भारत का ई-हेल्थकेयर उद्योग 2025 तक 10.6 बिलियन डॉलर का होने की उम्मीद है। नागरिकों की संवेदनशील जानकारी को सुरक्षित रखने और उन्हें उनके स्वास्थ्य डेटा का पूर्ण स्वामित्व देने के लिए एक रूपरेखा की आवश्यकता है।