Повече от 22 000 пациенти на NHS Foundation Trust на университетските болници в Кеймбридж бяха засегнати от изтичане на данни, което се случи между 2020 и 2021 г.
И в двата случая беше автогол, когато организацията сама предаде данните, докато отговаряше на искания, направени съгласно Закона за свобода на информацията (FoI) от 2000 г. Също така и в двата случая външната информация беше оставена видима в обобщените таблици на електронните таблици на Excel в отговорите.
По-голямата част от пациентите, чиито данни бяха оповестени публично (22 073), са били пациенти по майчинство на болницата Rosie на сайта на болница Addenbrooke. Разкритата информация включва имена, болнични номера и медицинска информация като резултати от раждане и дати на зачеване.
Индивидите, резервирани за грижи в The Rosie Hospital между 2 януари 2016 г. и 31 декември 2019 г., бяха повлияни от отговора, който беше публикуван на онлайн уебсайта на FoI WhatDoTheyKnow .
Уебсайтът предупреди доверието, че може да види данните и незабавно премахна информацията, когато научи за нейното излагане. Беше достъпен в WhatDoTheyKnow между 18 ноември 2020 г. и 1 ноември 2023 г.
Националният екип по киберсигурност на NHS England също помогна на тръста да гарантира, че данните не са достъпни никъде в интернет.
„Въпреки че няма доказателства и в двата случая, че информацията е била достъпна или споделяна извън първоначалните получатели, ние признаваме, че подобни грешки са неприемливи, като се има предвид ясното ни задължение да поддържаме поверителността на информацията за пациентите“, каза тръстът.
Самото искане на FoI търси информация по редица въпроси, включително броя на бременните жени, за които се смята, че имат бременност с висок или нисък риск, и въпроси относно нивата на преждевременни раждания и смъртни случаи на бебета.
Тръстът заяви, че след като е разбрал за нарушението, е одитирал всеки отговор на FoI от последните 10 години за подобни грешки – около 8000 отговора – и е открил допълнителен случай от 2021 г., в който са били разкрити данните на 373 пациенти с рак в клинични изпитвания.
Вместо информацията да бъде изложена публично на уебсайт като WhatDoTheyKnow, в този случай отговорът е бил издаден частно на Wilmington PLC, компания, която притежава марки в издателския, информационния и обучителния сектор, съсредоточена върху съответствието, правните и здравните грижи.
В отговорите бяха включени имена, болнични номера и медицинска информация. Тръстът е писал на Wilmington PLC с молба тези данни да бъдат изтрити.
Искането на FoI търси подробности, свързани с лечението на пациенти със специфични видове рак през предходните шест месеца от подаването на искането.
„Въпреки че няма доказателства и в двата случая за достъп до информацията или споделяне извън първоначалните получатели, ние признаваме, че подобни грешки са неприемливи, като се има предвид ясното ни задължение да поддържаме поверителността на информацията за пациентите“, се казва в изявление на тръста, публикувано до неговия уебсайт.
„Искаме да се извиним безрезервно на нашите пациенти за безпокойството и загрижеността, които тази новина може да предизвика.“
Обърнато е специално внимание и на решението дали да се свържат директно със засегнатите пациенти, потвърди тръстът.
Като се има предвид, че данните, свързани с пациентките по майчинство, също включват информация относно резултатите от раждането, тръстът взе решение да не се свързва директно със засегнатите лица, в случай че биха искали да избегнат членовете на семейството да научат за бременност, например.
„Също така е лесно за тази група пациенти да се идентифицират въз основа на периода от време по-горе“, се казва в съобщението. „Затова решихме да не пишем директно на тези пациенти.
„Това не е така за пациентите с рак, за които самоидентификацията би била по-малко лесна въз основа на същото ниво на информация, и затова ние писахме директно на тези пациенти.“
Всички лица, които се притесняват, че могат да бъдат засегнати, могат да получат достъп до поддръжка чрез безплатен телефон или имейл, подробности за които могат да бъдат намерени на уебсайта на тръста.
„Това е сериозно нарушение на данните, което не трябваше да се случва“, каза Даниел Зийхнер, депутат от Кеймбридж. „Радвам се, че след като са наясно, тръстът е действал бързо и отговорно, в консултация с пациентските групи, и е въвел разумни мерки в подкрепа на засегнатите.
„Всеки засегнат трябва да се свърже с тръста за поддръжка. Сега трябва да има пълен преглед, за да се гарантира, че това няма да се случи отново.“
В отговор тръстът също така засили контрола на своя процес на FoI, като забрани отговорите в електронни таблици и възложи външен преглед на процеса.
Службата на комисаря по информацията (ICO) е уведомена за инцидентите и говорител каза пред The Register , че пазачът оценява предоставената информация.
„По-рано издадохме консултативно известие до публичните органи, призовавайки за незабавно прекратяване на използването на електронни таблици в Excel с оригинален източник, когато отговаряме публично на искания за достъп до информация“, каза говорителят. „Това следва редица скорошни пробиви на данни, при които лична информация беше включена по невнимание в електронни таблици, които бяха споделени като част от отговор на FoI.
„Обществените органи трябва да въведат стабилни мерки за защита на личните данни, когато отговарят на искания за достъп до информация, и да уверят хората, които обслужват, и техния персонал, че тяхната информация е в сигурни ръце.“
Както беше подчертано от ICO, инцидентът в болницата Addenbrooke бележи последния в дългата поредица от нарушения на данните в организации от публичния сектор на Обединеното кралство тази година.
Полицейската служба на Северна Ирландия (PSNI) беше един такъв пример , където онлайн беше изтекла електронна таблица, съдържаща широки подробности за всички действащи служители и цивилни служители. Инцидентът предизвика опасения за безопасността на служителите поради продължаващия екстремизъм от сектантското разделение в региона, въпреки че Споразумението от Разпети петък беше подписано през 1998 г.
Полицейските сили на Норфолк и Съфолк признаха за нарушения на данни, включващи електронни таблици през август, през същата седмица полицията на Камбрия също несъзнателно изтече информация за служители онлайн.
Пробивите при доставчици трети страни бяха обвинени за изтичането на данни, засягащо столичната полиция на Лондон и полицията на Голям Манчестър . И в двата случая бяха разкрити данни на служителите.
Въпреки че не са в Обединеното кралство, данните на служители от ирландската национална полиция (An Garda Síochána) също бяха разкрити , след като трета страна изпълнител управляваше нейната база данни без защита с парола. ®
