Hospital Farrer Park didenda S$58,000 langgar data, jejas maklumat perubatan 2,000 orang

SINGAPURA: Hospital Farrer Park didenda S$58,000 atas pelanggaran data yang menyebabkan maklumat sulit perubatan hampir 2,000 orang dihantarkan kepada pihak ketiga.

Dalam penghakiman bertarikh 15 September dan dikeluarkan pada Jumaat (18 Nov), Suruhanjaya Perlindungan Data Peribadi (PDPC) memberikan butiran lanjut mengenai pelanggaran itu dan keputusan mereka untuk mengenakan denda kewangan ke atas hospital privet itu.

Kebocoran maklumat berlaku dalam tempoh hampir dua tahun antara 8 Mac 2018 dengan 25 Oktober 2019.

Pihak hospital memaklumkan kepada suruhanjaya mengenai pelanggaran itu pada Julai 2020 selepas menerima aduan pada Oktober 2019.

Di antara 3,539 pesakit lama, sekarang atau bakal pesakit yang data peribadinya dibocorkan, 1,923 orang menyatakan maklumat perubatan mereka didedahkan.

Hospital Farrer Park mendakwa bahawa tiada data disalahgunakan, tetapi PDPC tidak menerima alasan itu sebagai faktor untuk mengurangkan denda.

APA TERJADI

Sebanyak 9,271 emel dihantarkan secara automatik daripada dua akaun emel kerja Microsoft Office 365 pekerja Farrer Park Hospital ke alamat emel pihak ketiga.

Mereka adalah kakitangan bahagian pemasaran yang memproses permintaan bagi perkhidmatan perubatan hospital melalui emel. Mereka boleh log masuk ke emel mereka melalui pelayar web.

Permintaan itu mengandungi data peribadi yang berkaitan dengan rawatan perubatan bakal pesakit termasuk nama, jantina, nombor Kad Pengenalan, butiran pasport, nombor hubungan dan maklumat perubatan mereka.

Maklumat perubatan termasuk keadaan kesihatan, diagnosis, sejarah perubatan dan laporan perubatan seperti X-ray.

Kejadian pertama berlaku pada Mac 2018 ketika hospital itu tidak melaksanakan pengesahan berbilang faktor.

Ia memerlukan kakitangan untuk memasukkan kata laluan sekali sahaja yang dihantar ke nombor telefon bimbit berdaftar mereka apabila mengakses akaun emel kerja daripada peranti baru.

Siasatan lanjut mengesahkan bahawa akaun emel diubah untuk menghantarkan semua emel diterima secara automatik kepada pihak ketiga yang tidak dikenal pasti dalam penghakiman pada Jumaat (18 Nov).

PDPC mendapati hospital gagal melaksanakan pengaturan keselamatan yang sewajarnya untuk melindungi data peribadi yang bocor daripada risiko akses dan pendedahan yang tidak dibenarkan.

Dalam memutuskan denda kewangan yang akan dikenakan, PDPC mempertimbangkan beberapa faktor yang boleh mengelak daripada perkara berulang lagi.

Selepas pelanggaran itu diketahui, pihak hospital mengambil tindakan pemulihan segera dan memberi kerjasama sepenuhnya semasa siasatan.

Hospital itu juga mempunyai pelbagai langkah keselamatan sebelum data dibocorkan dan melaksanakan perlindungan data dan latihan keselamatan siber untuk kakitangan.

Dalam menjawab pertanyaan Mediacorp, Dr Timothy Low, Ketua Pegawai Eksekutif Hospital Farrer Park, berkata hospital itu dengan segera menangani pelanggaran data pada 2019 dan memaklumkan semua pesakit yang terjejas.

Beliau menambah bahawa "Privasi, keselamatan dan kesejahteraan pesakit kami terus menjadi keutamaan kami. Kami komited untuk melindungi data peribadi pesakit di Hospital Farrer Park.

"Kami sudah memperkukuhkan langkah keselamatan IT kami dan meningkatkan kekerapan latihan keselamatan siber dan latihan secara dalaman.

"Percayalah bahawa tiada kesan buruk terhadap operasi hospital kami. Kami memandang serius kejadian ini dan amat kesal atas kesulitan yang dialami oleh pesakit yang terjejas."