Το Εθνικό Σύστημα Υγείας (ΕΣΥ-NHS) έχει αναφέρει το μεγαλύτερο αριθμό σοβαρών παραβάσεων των δεδομένων του από κάθε άλλο οργανισμό του Ηνωμένου Βασιλείου από το τέλος του 2007 (δηλ σε μια περίοδο 2,5 ετών), αναφέρει το Γραφείο του Επιτρόπου Πληροφοριών.

Ο David Smith, αναπληρωτής επίτροπος του ICO δήλωσε στο Συνέδριο Infosec ότι το ΕΣΥ είχε διαπιστώσει 287 παραβάσεις σε αυτήν την περίοδο.

Αυτές οι παραβιάσεις αντιπροσωπεύουν περισσότερο από το 30% του συνολικού αριθμού των παραβιάσεων που αναφέρθηκαν.

Το NHS - ο μεγαλύτερος εργοδότης της Βρετανίας με 1,7 εκατ. υπαλλήλους – έχει την αρμοδιότητα να αναπτύσσει το ψηφιακό (ηλεκτρονικό) φάκελο των ασθενών.

Οι περισσότερες από τις παραβάσεις (113) αφορούσαν κλοπή δεδομένων ή υλικού, και σε 82 περιπτώσεις διαπιστώθηκε απώλεια δεδομένων ή υλικού.

Μεγάλα πρόστιμα

 Ο κ. Σμιθ είπε ότι τα προβλήματα δεν περιορίζονται μόνο στο δημόσιο τομέα και ότι τα αποτελέσματα μπορεί να μην δίνουν την πλήρη εικόνα, επειδή ο δημόσιος τομέας έχει την συνήθεια να αναφέρει όλες τις παραβιάσεις δεδομένων, λαμβάνοντας υπόψη ότι την ίδια στιγμή δεν κάνουν το ίδιο όλες οι εταιρείες του ιδιωτικού τομέα.

Ο κ. Richard Vautrey, αναπληρωτής πρόεδρος του Βρετανικού Ιατρικού Συλλόγου θωρεί ότι ο αριθμός των παραβάσεων αντικατοπτρίζει το μέγεθος και την πολυπλοκότητα του ΕΣΥ, καθώς και τον πολιτισμό της διαφάνειας.

«Τόσοι πολλοί άνθρωποι έχουν πρόσβαση στα δεδομένα και, συχνά, γίνονται ανθρώπινα λάθη. Υπάρχει αυξημένη προσπάθεια να είναι ανοιχτοί και ειλικρινείς για το τι συμβαίνει στα δεδομένα», είπε.

Πρόσθεσε ότι δεν ήταν ενήμερος κάποιας ειδικής περίπτωσης παραβίασης δεδομένων των ασθενών που να επηρέασε την προστασία της ιδιωτικής τους ζωής ή την ιατρική τους  περίθαλψη.

Επίσης είπε: «Πρέπει να έχουμε αυτές τις παραβιάσεις δεδομένων in perspective (?)».

Στο πλαίσιο των σχεδίων του για την ψηφιοποίηση των ιατρικών φακέλων των ασθενών, το NHS ρωτά τους ασθενείς, αν θέλουν τα δεδομένα τους να αποθηκεύονται σε εθνικές βάσεις δεδομένων. Είναι σημαντικό ότι οι άνθρωποι έχουν την ευκαιρία να εξαιρεθούν (opt out), είπε ο κ. Vautrey.

Προς το παρόν η διαδικασία υποβολής εκθέσεων για τις παραβιάσεις δεδομένων στο Ηνωμένο Βασίλειο είναι εθελοντική αν και το ICO κινείται προς την κατεύθυνση να κάνει υποχρεωτικές αυτές τις αναφορές.

Τον Απρίλιο το ICO θεσμοθέτησε πρόστιμα ύψους μέχρι και £ 500.000 για τις σοβαρές παραβιάσεις των δεδομένων.

..............................




Το άρθρο στα Αγγλικά από το BBC:

NHS worst for data breaches - Information Commissioner

Doctor writing prescriptions Most of the breaches related to stolen data or hardware
The NHS has reported the highest number of serious data breaches of any UK organisation since the end of 2007, the Information Commissioner's Office says.

David Smith, deputy commissioner at the ICO told the Infosec security conference the NHS had highlighted 287 breaches to it in the period.

That accounts for more than 30% of the total number reported.
The NHS - the UK's largest employer with 1.7m staff - is in the process of rolling out digital patient records.

Most of the breaches (113) were the result of stolen data or hardware, followed by 82 cases of lost data or hardware.
Big fines

Mr Smith said the problems were not confined to the public sector and that results could be skewed because the public sector has a culture of reporting all breaches whereas not all private sector firms did.

Richard Vautrey, the deputy chair of the British Medical Association's GPs committee thinks the number of breaches reflect the size and complexity of the NHS as well as its culture of openness.

"So many people have access to data and often human error is to blame. There is an increased attempt to be open and honest about what happens to data," he said.

He added that he was not aware of a specific case where a data breach had affected patient privacy or care.

"We need to keep their breaches in perspective," he said.

As part of its plans to digitise patient records, the NHS is asking patients if they want their data stored on national databases. It is important that people are given the chance to opt out, said Mr Vautrey.

Currently the reporting procedure for data breaches in the UK is voluntary although the ICO is "moving towards" a compulsory system.

In April the ICO introduced fines of up to £500,000 for serious data breaches.
Warning signs
The European Union's Telecoms Package requires telecom firms to report data breaches and Mr Smith said he expected this requirement to expand beyond telcos.

Data encryption firm PGP welcomed the tough new approach to data security.

"Finally the ICO, which has long demanded greater powers, will be able to severely punish those in serious breach of the Data Protection Act. For too long, organisations have continued to ignore the warning signs - risking both the privacy of their customers and the reputations of their brands," said Jamie Cowper, European marketing director at PGP.

He anticipates "severe fines" for the next private sector company to be involved in a serious data breach although he does not imagine the ICO will pursue the NHS.

PGP calculated that data breaches cost companies, on average, £67 per piece of data lost.



0 σχόλια:

Δημοσίευση σχολίου

top