Bilgi Komiserliği Ofisi (ICO), sağlık hizmetinin yanlışlıkla HIV hizmetlerine erişmesi muhtemel hastaların kişisel bilgilerini ifşa etmesinden sonra NHS Highland’ı “ciddi bir güven ihlali” nedeniyle kınama yayınladı.
Olay, kuruluştan birinin HIV hizmetlerine erişmesi muhtemel 37 kişiye e-posta göndermesi ve e-posta adreslerini yanlışlıkla kör karbon kopyası (BCC) alanı yerine karbon kopyası (CC) alanına kopyalamasıyla ortaya çıktı.
Böyle bir hata, e-posta güvenlik hijyeninin ve görgü kurallarının yaygın bir ihlalidir ve çoğu durumda dikkate alınmaz. Ancak yine de bir veri ihlali olarak kabul edilir çünkü genel bir kural olarak ilgili taraflardan hiçbiri iletişim bilgilerinin başkalarıyla paylaşılmasına izin vermemiştir.
ICO, HIV’i yönetilebilir bir tıbbi durum haline getiren dramatik tıbbi gelişmelere rağmen birçoğu hala utanç ve damgalama ile yaşayan HIV hastalarına ilişkin verilerin hassas doğası ışığında, ihlal için “basitçe hiçbir mazeret” olmadığını söyledi. .
“Burada NHS Highland ile gördüğümüz ciddi bir güven ihlaliydi ve hayati hizmetlere erişenler [were] başarısız oldu,” dedi ICO düzenleyici denetimden sorumlu komiser yardımcısı Stephen Bonner.
Riskler çok yüksek. Araştırmalar, HIV ile yaşayan kişilerin statüleri nedeniyle damgalanmaya veya ayrımcılığa maruz kaldıklarını göstermektedir; bu, bu tür bilgilerle uğraşan kuruluşların kişisel verileri konusunda azami özen göstermesi gerektiği anlamına gelir.
“Ülkedeki her HIV hizmeti sağlayıcısı bu vakaya bakmalı ve bunu çok önemli bir öğrenme deneyimi olarak görmelidir. Kuruluşları veri koruma standartlarını yükseltmeye ve insanları güvende tutmak için uygun önlemleri almaya çağırıyoruz.”
Bu durumda, ICO eylemini para cezası yerine kınama ile sınırlamıştır. Bu, kamu sektörüne verilen para cezalarını azaltmak için gelen bilgi komiseri John Edwards tarafından geçen yıl yapılan değişiklikleri yansıtıyor.
Bu, kamu sektörü kuruluşlarına karşı büyük para cezalarının özel sektörde olduğu gibi yöneticileri ve hissedarları nadiren etkilemesi ve bunun yerine hayati hizmetler için azaltılmış bütçeler şeklinde vergi mükelleflerini etkilemesi temelinde yapıldı.
Medya ile paylaşılan bir açıklamada NHS Highland, ICO’nun bulgularını kabul etti ve olayın tekrarını önlemek için mümkün olan her şeyi yaptığını söyledi. Daha geniş bir ulusal sunumun parçası olarak e-posta etki alanını zaten değiştirdi. Örgüt, etkilenen insanlardan kayıtsız şartsız özür diledi.
Beyond Encryption CEO’su Paul Holland şu yorumu yaptı: “E-posta sürekli olarak veri ihlallerinin önde gelen nedeni olarak bildiriliyor, ancak hem kuruluşların hem de tüketicilerin bu iletişim kanalını kullanmanın güvenlik risklerinin farkında olmadığı açık.
Beyond Encryption tarafından yürütülen son araştırma, tüketicilerin dörtte birinin kişisel bilgilerini e-posta yoluyla yanlışlıkla yanlış alıcıyla paylaştığını gösterdi. Kuruluşların insan hatasını azaltmak ve kişisel verileri korumak için yeterli önlemleri alması hayati önem taşır.
“Değerli kişisel bilgileri paylaşmak ve talep etmek için kuruluşlar tarafından e-postanın yaygın kullanımı da önemli bir endişe kaynağıdır. İşletmeler, tüketicilerin neredeyse dörtte üçünden kişisel bilgilerini e-posta üzerinden paylaşmalarını istedi ve dörtte biri, e-posta doğası gereği güvenli olmamasına rağmen bu bilgileri sağlık uzmanları tarafından talep edildiğini belirtti.
“NHS Highland’dan gelen bu son ihlalin gösterdiği gibi, bu son derece endişe verici bir istatistik ve tüketicilerin kişisel verilerinin nasıl korunduğuna dair ciddi soruları gündeme getiriyor. Giderek daha fazla dijital bir çağa girerken, kuruluşların müşteri ve tüketici verilerini korumak için uygun araçları devreye sokması gerekiyor” dedi.