因数据泄露导致近2000人的机密医疗信息被自动转发给第三方,斐瑞医院(Farrer Park Hospital)被罚款5万8000元。
新传媒英文新闻网CNA报道,根据个人资料保护委员会上周五(18日)发布的判决书,这起数据泄露事件从2018年3月进行到2019年10月25日,持续将近两年,院方在2019年10月接获投诉,却在2020年7月才通报。
共有3539名患者的个人资料被外泄,其中1923人的医疗信息被泄露,但院方称这些数据没有遭到滥用。
报道指出,共9271则电邮从两名斐瑞医院职员的工作电邮账号被转发至第三方电邮网址。
这两名员工在营销部门工作,通过电邮处理对医院医疗服务的请求。电邮内容包含患者的个人数据,包括他们的姓名、性别、身份证号码、护照信息、联络号码和医疗信息。医疗信息包括健康状况、诊断、病史和医疗报告,如X光片。
当数据泄露在2018年3月首次发生时,院方还没有实施多重身份验证。一直到2019年10月24日,当其中的一名员工无法顺利发送电邮时,技术部才发现这名员工的电邮账号会自动将收到的所有电子邮件转发给第三方。
对此,个人资料保护委员会认为,医院未能实施合理的安全措施,以保护个人数据免受未经授权访问和被外泄的风险。
委员会也说,斐瑞医院应该采取更强有力的措施来管理营销部门的工作电邮账号,因为这个部门每天接收和处理大量敏感个人数据。
斐瑞医院总裁刘森旺医生告诉CNA,院方发现数据被泄露后,就立即通知了所有受影响病患。
“在那之后,我们已经加强了技术安全措施,并增加了内部网络安全培训和演习的频率,我们医院的运营也没有受到影响。”
院方也在2020年2月到4月期间任命了一名私人取证专家,对互联网和暗网进行了监控,并没有发现任何个人数据被外泄。院方还称,没有接获任何来自受影响病患的投诉。
不过,个人资料保护委员会表示,没有个人数据被进一步滥用或外泄的证据,也不应该减轻对医院的处罚。