İngiltere Veri Koruma Otoritesi (ICO), Galler Prensesi Kate Middleton'ın özel tıbbi kayıtlarını erişmeye ve satmaya çalışan eski bir sağlık çalışanı hakkında cezai soruşturma başlatmama kararı aldı. Bunun yerine, ilgili kişiye resmi bir ihtar verildi. Olay, 2024 yılında Prenses'in karın ameliyatı geçirdiği Londra Kliniği'nde çalışan bir hemşirenin, hassas tıbbi verileri kötüye kullanmasıyla ortaya çıktı. Hemşirenin bu olay sonrası meslekten ihraç edildiği belirtiliyor.
ICO, 17 Haziran'da yaptığı açıklamada, 2018 Veri Koruma Yasası'nın 170(5) maddesi kapsamında işlenen suç nedeniyle sağlık çalışanına resmi ihtar verildiğini duyurdu. Açıklamada, "Bu davranış, son derece hassas kişisel bilgilerin kasıtlı olarak kötüye kullanılmasını ve maddi kazanç karşılığında ifşa edilmesi teklifini içeriyor; bu da açık bir güven ihlalidir" denildi. Otorite, ihtarın "uygun ve orantılı" bir yaptırım olduğunu vurguladı.
ICO, olayda daha geniş kurumsal sorunlar olup olmadığını da değerlendirdi ancak herhangi bir zafiyetin yaptırım eşiğini geçmediğine karar verdi. ICO düzenleyici denetim direktörü Ian Hulme, "İnsanlar, sağlık kuruluşlarına verdikleri kişisel bilgilerin güvende olduğuna ve istismardan korunduğuna güvenebilmelidir. Bu güven bozulduğunda, yasanın harekete geçmemize izin vermesi doğrudur" dedi. Hulme, gerektiğinde cezai kovuşturma yapmaktan çekinmeyeceklerini de ekledi.
Bu olay, sağlık sektöründe içeriden tehditlerin yeni bir örneği değil. 2010 yılında bir NHS çalışanı, hastaların tıbbi kayıtlarına yasa dışı erişerek Bilgisayar Kötüye Kullanma Yasası'nı ihlal etmekten suçlu bulunmuştu. Tıbbi bilgiler, hem son derece hassas hem de paraya çevrilebilir olduğu için GDPR tarafından 'özel kategori' veri olarak sınıflandırılıyor. 2021 tarihli bir rapor, küresel sağlık kuruluşlarının üçte birinden fazlasının (%35) önceki yıl kötü niyetli içeriden kişiler tarafından bulut veri hırsızlığına uğradığını ortaya koydu.
Son araştırmalar, kuruluşların %42'sinin son bir yılda kötü niyetli içeriden tehditlerde artış bildirdiğini gösteriyor. Sağlık sektörü, özellikle hassas verilerin yoğunluğu ve çalışanların verilere erişim kolaylığı nedeniyle içeriden tehditlere karşı savunmasız. Uzmanlar, sağlık kuruluşlarının erişim kontrollerini sıkılaştırması, çalışanları veri güvenliği konusunda eğitmesi ve şüpheli etkinlikleri izlemek için gelişmiş izleme sistemleri kullanması gerektiğini vurguluyor.
Önemli Gelişmeler
ICO'nun bu olayda cezai kovuşturma yerine ihtarı tercih etmesi, bazı çevrelerde eleştirilere yol açtı. Ancak otorite, ihtarın 'uygun ve orantılı' olduğunu savunuyor. Yine de bu vaka, sağlık verilerinin korunmasındaki zafiyetleri ve içeriden tehditlerin ciddiyetini bir kez daha gözler önüne seriyor. Özellikle ünlü kişilerin tıbbi kayıtları, yüksek maddi değer taşıdığı için siber suçluların ve kötü niyetli çalışanların hedefi olabiliyor.
Kaynak: infosecurity-magazine.com