İngiltere Sağlık Bakanlığı (NHS), hasta verilerine izinsiz erişimin kabul edilemez olduğunu ve bu tür ihlallerin hapis cezasına kadar varan sonuçlar doğurabileceğini duyurdu. NHS Başkanı Jim Mackey, tıbbi kayıtlara uygunsuz erişimi "tamamen kabul edilemez, hasta güvenine ihanet ve yasa dışı" olarak nitelendirdi. Bu açıklama, NHS'in yeni bir farkındalık kampanyası başlatmasıyla birlikte geldi. Kampanya, sağlık kuruluşlarına yetkisiz erişimi önleme, izleme ve raporlama konusunda yeni rehberlik sağlıyor.
"Merakınızın kariyerinizi bitirmesine izin vermeyin" sloganıyla başlatılan kampanya, son dönemde yaşanan bir dizi yüksek profilli vaka nedeniyle hayata geçirildi. Mayıs ayında, 2023 Nottingham bıçaklı saldırılarının kurbanlarının kayıtlarına yasadışı yollarla erişen 11 personel işten çıkarılırken, 14 personele yazılı uyarı verildi. Bir ay sonra, Cambridgeshire'da bir hastanede, ağır yaralı bir çocuğun kayıtlarına yaklaşık 40 personelin geçerli bir neden olmaksızın eriştiği tespit edilince soruşturma başlatıldı.
NHS personeli dışında da veri koruma yasalarını ihlal edenler var. Geçtiğimiz ay, Bilgi Komiserliği Ofisi (ICO), bir eski sağlık çalışanına, Galler Prensesi'nin tıbbi kayıtlarına erişmeye çalıştığı ve bunları satmaya kalkıştığı için resmi uyarı verdi. Olay, Londra'daki özel bir hastanede meydana geldi. Bu tür ihlaller, hasta mahremiyetinin ne kadar hassas olduğunu ve yetkisiz erişimin ciddi sonuçlar doğurabileceğini bir kez daha gözler önüne serdi.
Önemli Gelişmeler
NHS'in veri erişim rehberliği, farklı yasadışı erişim türlerini tanımlıyor ve bu tür durumlarda personelin ICO ve polise bildirileceğini, olası cezai kovuşturma ile karşı karşıya kalabileceklerini belirtiyor. Ayrıca, sağlık çalışanları kariyerlerini kaybetme riskiyle de karşı karşıya. Rehberlik, NHS kuruluşlarının yetkisiz erişimi nasıl izleyebileceğini ve düzenli denetimler yapabileceğini açıklıyor. Yeni elektronik hasta kayıt sistemleri, ihlalleri gerçek zamanlı olarak işaretleyebiliyor.
Uzmanların Görüşleri
ICO CEO'su Paul Arnold, tıbbi verilerin bir kişinin sahip olduğu en hassas bilgilerden olduğunu vurguladı. "Bir kaydı görüntüleme yetkisine sahip olmak, bunu yapmak için meşru bir ihtiyacınız olduğu anlamına gelmez. Her personelin bu sınıra saygı gösterme konusunda kişisel sorumluluğu vardır ve her hasta bunu beklemeye hakkıdır. Bu güveni ihlal eden personel, işten çıkarılma, mesleki akreditasyonun kaybı ve cezai kovuşturma gibi ciddi sonuçlarla karşı karşıya kalır." dedi.
Teknik Analiz
Check Point Kamu Sektörü Başkanı Graeme Stewart, kampanyanın tüm kuruluşların karşı karşıya olduğu iç tehditleri hatırlatan zamanında bir uyarı olduğunu söyledi. "NHS son birkaç yılını büyük ölçüde fidye yazılımları, Synnovis'e yapılan tedarik zinciri saldırısı gibi dış tehditlere ve devlet destekli faaliyetlere odaklanarak geçirdi ve bu doğru bir yaklaşımdı. Ancak bu, sıfır güven ve en az ayrıcalık ilkelerinin hem dışarıda hem de içeride uygulanması gerektiğini gösteriyor." Stewart, riskin, NHS'in hasta verilerini daha paylaşılabilir hale getirmeyi amaçlayan daha geniş elektronik hasta kaydı ve Federasyon Veri Platformu gibi girişimlerle arttığını da sözlerine ekledi.
NHS'in yeni kampanyası, sağlık sektöründe veri güvenliğinin önemini bir kez daha gündeme getiriyor. Teknolojik önlemlerin yanı sıra personel eğitimi ve farkındalığın artırılması, hasta verilerinin korunmasında kritik rol oynuyor. Teknik kontroller arasında en az ayrıcalık politikaları, çok faktörlü kimlik doğrulama ve rol tabanlı erişim kontrolleri yer alıyor. Bu önlemler, yetkisiz erişim olaylarını önlemek için hayati önem taşıyor.
Sistem Güvenliği
Sağlık sektöründeki veri ihlalleri, yalnızca hastaların mahremiyetini tehdit etmekle kalmıyor, aynı zamanda sağlık kuruluşlarının itibarına da zarar veriyor. NHS'in bu hamlesi, diğer ülkelerdeki sağlık sistemlerine de örnek teşkil edebilir. Hasta verilerinin korunması, etik ve yasal bir zorunluluk olmanın ötesinde, hasta güveninin sürdürülmesi için de elzemdir.
Kaynak: infosecurity-magazine.com