İngiltere Bilgi Komiserliği Ofisi (ICO), Prenses Kate'in özel sağlık kayıtlarına erişmeye ve bunları satmaya çalışan eski bir sağlık çalışanı hakkında cezai soruşturma başlatmama kararı aldı. Bunun yerine, ilgili kişiye resmi bir uyarı (formal caution) verildi. Olay, 2024 yılında Prenses'in Londra Kliniği'nde geçirdiği karın ameliyatı sonrasında ortaya çıktı.
ICO, yaptığı açıklamada, söz konusu eski sağlık profesyonelinin 2018 Veri Koruma Yasası'nın 170(5) maddesi kapsamında bir suç işlediğini belirtti. Açıklamada, "Bu davranış, son derece hassas kişisel bilgilerin kasıtlı olarak kötüye kullanılmasını ve maddi kazanç amacıyla bu bilgileri ifşa etme teklifini içeriyordu; bu, açık bir güven ihlalidir" ifadelerine yer verildi. Hemşirenin olay sonrasında meslekten ihraç edildiği belirtiliyor.
ICO, bireye yönelik uyarının "uygun ve orantılı bir yaptırım" olduğunu vurguladı. Düzenleyici kurum, ayrıca kurumsal düzeyde herhangi bir yaygın sorun olup olmadığını da değerlendirdi, ancak herhangi bir eksikliğin yaptırım gerektirecek eşiğe ulaşmadığına karar verdi. ICO'nun düzenleyici denetim direktörü Ian Hulme, "İnsanlar, sağlık kuruluşlarına verdikleri kişisel bilgilerin güvende olduğuna ve sömürüye karşı korunduğuna güvenebilmelidir. Bu güven bozulduğunda, yasanın harekete geçmemize izin vermesi doğrudur" dedi.
Sağlık sektörü, içeriden gelen tehditler açısından defalarca gündeme geldi. 2010 yılında bir NHS çalışanı, hastaların tıbbi kayıtlarına yasa dışı erişerek Bilgisayar Kötüye Kullanım Yasası'nı ihlal etmekten suçlu bulunmuştu. Tıbbi bilgiler, hem son derece hassas hem de paraya çevrilebilir olduğu için GDPR kapsamında 'özel kategori' veri olarak sınıflandırılıyor. 2021 tarihli bir rapor, küresel sağlık kuruluşlarının üçte birinden fazlasının (%35) önceki yıl kötü niyetli içeriden kişiler tarafından bulut veri hırsızlığına maruz kaldığını ortaya koydu.
Gelecekte Ne Bekleniyor?
Yakın tarihli bir araştırmaya göre, kuruluşların %42'si son bir yılda kötü niyetli içeriden gelen tehditlerde artış bildirdi. ICO'nun bu olayda cezai kovuşturma yerine uyarıyı tercih etmesi, özellikle yüksek profilli bir kişinin verilerinin söz konusu olduğu durumlarda, veri ihlallerine yönelik yaptırımların nasıl şekillendiği konusunda soru işaretleri yaratıyor. Ancak ICO, gerekli ve orantılı olduğunda cezai kovuşturma başlatmaktan çekinmeyeceklerini belirtti.
Prenses Kate'in sağlık kayıtlarının kötüye kullanılması, ünlülerin ve kraliyet ailesi üyelerinin özel bilgilerinin ne kadar kırılgan olduğunu bir kez daha gözler önüne serdi. Sağlık kuruluşlarının, çalışanlarının veri erişimini sıkı bir şekilde denetlemesi ve ihlal durumunda hızlı ve caydırıcı önlemler alması gerekiyor. ICO'nun bu olaydaki yaklaşımı, gelecekte benzer durumlarda nasıl bir yol izleneceğine dair önemli bir emsal teşkil ediyor.
Kaynak: infosecurity-magazine.com