大曼彻斯特NHS数据泄露事件过去一年:我们所知道的

大曼彻斯特NHS数据泄露影响了2,000多名患者,是2019年最重大的安全漏洞之一。

律师兼董事Aman Johal 您的律师 着眼于违规的后果以及必须教的教训。

2019年9月,据透露,超过2,000名患者是NHS Trust数据泄露的受害者。 Wrightington,Wigan和Leigh NHS基金会信托 告知相关人员其个人信息已被访问-在某些情况下,多次访问–由员工无故或无权这样做。

尽管像这样的孤立事件发生并不少见,但令人震惊的是,在一个单一的NHS信托中,很长时间内发生的本质上看起来像是“大规模侦探”事件。个人和敏感信息的隐私入侵–包括验血结果,用药详细信息和出院信–在该基金会的高级人员在患者投诉后意识到问题之前的18个月内进行。

这些数据泄露影响了许多人,这些人现在拥有索取赔偿的合法权利。一年过去了,从信托的失败中学到了什么?

违规如何发生

数据泄露估计已于2018年1月开始,涉及的员工有权利用该系统合法访问患者记录,并在没有任何理由或授权的情况下窥探患者记录。

违规行为被揭露后,信托基金迅速表示,许多受影响的患者只有一次访问了他们的病历。但是,这恰恰是大多数人想要保持机密的数据,并且使某些人多次查看其个人和敏感的医疗保健信息这一事实进一步令人震惊。

无论犯罪者访问信息多少次,似乎很明显,松散的数据保护方法为轻松发生隐私泄露创造了理想的环境。

在给受害者的信中,信托基金承认 “不良的计算机礼节” 在发现违规行为后被确定。尽管信托基金会没有具体说明“不良计算机礼节”的含义,但它可能包括一种放任自流的数据保护方法,这是近年来太多组织所为。

受大曼彻斯特数据泄露影响的人们的权利

信托机构尚未确认其团队成员为何一直在无理由或无权的情况下访问个人的病历,信托机构也无法正确识别实施违规行为的员工。我们只能估计,我们正在寻找几名NHS员工以违反重要数据保护法规的方式访问个人记录。在医疗保健数据被滥用的情况下,犯罪者更多地了解他们所监视的受害者。

受违约影响的人有权要求赔偿。与 迪恩街56号违规 – 780名患者的HIV感染状况泄漏– Charing Cross Gender Identity Clinic数据泄露 –在暴露患者姓名和电子邮件地址的情况下–大曼彻斯特NHS数据泄露的某些受害者可能有资格获得最高30,000英镑的赔偿。金额将基于对个人信息失去控制所造成的任何困扰的影响,这种影响在某些情况下可能是相当大的。

在医疗保健数据被滥用的情况下,犯罪者更多地了解他们所监视的受害者。

滥用此类敏感且高度个人化的医疗数据可能会对人们造成极大伤害,受到大曼彻斯特NHS数据泄露影响的人可以要求赔偿。

大曼彻斯特NHS数据泄露有哪些教训?

大曼彻斯特NHS数据泄露并非一次性事件,随之而来的是几起引人注目的数据泄露事件。此次违规以及大约在同一时间泄露的查林跨性别认同诊所泄漏事件表明,无论在引入通用数据保护条例(GDPR)之后面临巨额罚款的威胁,都没有汲取教训。

医疗保健部门的组织受委托提供私人和敏感信息,保护它的义务非常重要。任何组织都不应将数据保护视为事后的想法,每个人都必须认识到自己承担的责任。

这种认识的一部分涉及从反应到预防的转变;从事实发生后就不再对数据泄露做出反应,并采取积极措施阻止它们首先发生。这甚至包括基本的事情,例如强密码的实施,访问限制和审核信息的访问,以及适当的网络安全措施,例如加密存储的数据,实施防病毒软件以及使用防火墙保护。如果组织没有采取这些措施,那么根据GDPR的规定,他们可能会面临巨额罚款和赔偿行动成本,因为如果心态正确,这种错误很容易解决。

发表评论