İngiltere'nin veri koruma otoritesi Bilgi Komiserliği Ofisi (ICO), Galler Prensesi Kate Middleton'ın özel tıbbi kayıtlarına erişmeye ve bu kayıtları satmaya çalışan eski bir sağlık çalışanına karşı cezai kovuşturma başlatmamaya karar verdi. Olay, Prenses'in 2024 yılında karın ameliyatı geçirdiği London Clinic'te yaşandı. ICO, söz konusu kişiye 'resmi uyarı' (caution) vererek süreci kapattı.
ICO'nun 17 Haziran'da yayımladığı açıklamaya göre, eski sağlık çalışanı, 2018 Veri Koruma Yasası'nın 170(5) maddesi kapsamında suç işledi. Açıklamada, 'Bu davranış, son derece hassas kişisel bilgilerin kasıtlı olarak kötüye kullanılması ve maddi kazanç karşılığında ifşa edilmesi teklifini içeriyor ve açık bir güven ihlali oluşturuyor' denildi. ICO, uyarının 'uygun ve orantılı' bir yaptırım olduğunu belirtti.
ICO, olayda daha geniş kurumsal sorunlar olup olmadığını da değerlendirdi, ancak herhangi bir eksikliğin yaptırım eşiğini aşmadığına karar verdi. ICO düzenleyici denetim direktörü Ian Hulme konuyla ilgili, 'İnsanlar, sağlık kurumlarına verdikleri kişisel bilgilerin güvende ve sömürüden korunduğuna güvenebilmelidir. Bu güven ihlal edildiğinde, yasanın harekete geçmemize izin vermesi doğrudur' ifadelerini kullandı.
Sağlık sektöründe içeriden kaynaklanan veri ihlalleri nadir değil. 2010'da bir NHS çalışanı, hastaların tıbbi kayıtlarına yasa dışı eriştiği için suçlu bulunmuştu. Tıbbi bilgiler, GDPR kapsamında 'özel kategori' veri olarak sınıflandırılıyor ve yüksek hassasiyet ile parasal değer taşıyor. 2021 raporuna göre, küresel sağlık kuruluşlarının %35'i önceki yıl kötü niyetli içeriden kişiler tarafından bulut veri hırsızlığına uğradı. Son araştırmalar, kuruluşların %42'sinin iç tehditlerde artış bildirdiğini gösteriyor.