De NHS verleent personeel van bedrijven, waaronder Palantir, ‘onbeperkte toegang’ tot identificeerbare patiëntgegevens terwijl ze werken aan haar federatieve dataplatform (FDP), zo meldt de Financial Times (FT).
De verandering, beschreven in een interne briefingnota van de FT, heeft betrekking op de National Data Integration Tenant (NDIT), beschreven als een ‘veilige haven voor gegevens’ voordat deze ‘gepseudonimiseerd’ wordt en gedeeld met andere systemen, aldus het rapport.
NHS Engeland zal een ‘admin’-rol creëren, waardoor het personeel van Palantir ‘onbeperkte toegang’ krijgt tot de NDIT en identificeerbare patiëntgegevens, voegde de FT eraan toe.
Naast werknemers van Palantir kan dit ook personeel van adviesbureaus zijn die zijn opgeroepen om aan het FDP te werken. De verandering markeert een duidelijke verschuiving ten opzichte van de huidige praktijk, die vereist dat elk individu dat met de NDIT werkt, duidelijke gegevenstoegang voor specifieke datasets aanvraagt.
Dat heeft een woordvoerder van de NHS Engeland gezegd Digitaal gezondheidsnieuws: “De NHS heeft een strikt beleid voor het beheren van de toegang tot patiëntgegevens en voert regelmatig audits uit om naleving te garanderen – inclusief het monitoren van het werk van ingenieurs die helpen bij het opzetten van het centrale platform voor gegevensverzameling dat de NHS-prestaties zal volgen en de zorg voor patiënten zal helpen verbeteren.
“Iedereen van buitenaf die toegang nodig heeft, moet een veiligheidsmachtiging van de overheid hebben en worden goedgekeurd door een lid van de NHS Engeland-staf op directeursniveau of hoger.”
Het briefingdocument, geschreven door een hoge NHS-datafunctionaris in april 2026, erkent dat het verlenen van verbeterde toestemmingen zou kunnen betekenen dat er een “risico bestaat op verlies van vertrouwen bij het publiek” als het gaat om “het beschermen van patiëntgegevens en het garanderen van passend gebruik en toegang daartoe”.
Hoewel brede toegang oorspronkelijk alleen bedoeld was voor NHSE-werknemers met een veiligheidsmachtiging, meldde de FT dat in de briefing werd opgemerkt dat externe werknemers om dezelfde toestemming hadden gevraagd “omdat het te lastig is om alle noodzakelijke individuele CDA’s aan te vragen”.
Een woordvoerder van Palantir zei tegen de FT: “Voor de NHS en al onze klanten zijn wij door de wet aangewezen als ‘gegevensverwerker’, terwijl onze klanten ‘gegevensbeheerders’ zijn.
“Dat betekent dat de software van Palantir alleen gebruikt kan worden om data precies volgens de instructie van de klant te verwerken.
“Het gebruik van de gegevens voor iets anders zou niet alleen illegaal zijn, maar ook technisch onmogelijk vanwege de gedetailleerde toegangscontroles onder toezicht van de NHS.”
“Dit gaat niet alleen over Palantir, daarom hebben we verwezen naar niet-NHSE-personeel, maar er bestaat momenteel aanzienlijke publieke belangstelling en bezorgdheid over de mate waarin Palantir/Palantir-personeel toegang heeft tot patiëntgegevens”, aldus de briefing.
In de nota wordt aanbevolen dat er een limiet wordt gesteld aan het aantal externe beheerders met toegang tot de NDIT, dat ook in de tijd beperkt moet zijn en regelmatig moet worden herzien.
Saif Abed, oprichter van cybersecurityadviesdiensten bij The AbedGraham Group, vertelde dit Digitaal gezondheidsnieuws: “Ik vrees dat er geen lessen zijn getrokken uit het recente incident met de Britse Biobank, dat op zichzelf een nationaal schandaal is.
“Het verlenen van beheerderstoegang mag nooit lichtvaardig worden gedaan en zeker niet op grote schaal. We zijn één beheerderscompromis, zoals met een Infostealer-malware, of insider-dreiging, weg van een datalek van ongeziene proporties in termen van Britse patiëntgegevens.”
Het Amerikaanse data-analysebedrijf Palantir tekende in 2023 een contract van £ 330 miljoen voor de levering van de FDP, die gegevens tussen NHS-organisaties met elkaar verbindt.
De betrokkenheid van het bedrijf was zeer controversieel, met ethische zorgen rond de banden met de Amerikaanse Immigration and Customs Enforcement (ICE), wat ertoe leidde dat de regering toegaf dat zij alternatieven voor Palantir’s FDP zou kunnen overwegen wanneer het contract de ontbindingsclausule bereikt.
