Organizacje charytatywne i organizacje opieki zdrowotnej pracujące z osobami zakażonymi wirusem HIV stale nie uwzględniają ich podstawowych potrzeb w zakresie ochrony danych i prywatności, dokonując częstych naruszeń danych, które ujawniają status wirusa HIV, pozbawiając osoby żyjące z chorobą HIV „podstawowej godności i prywatności”, Biuro Komisarza ds. Informacji (ICO) ostrzega.
Postęp w technologii leków sprawił, iż w wielu przypadkach zakażenie wirusem HIV stało się chorobą długoterminową, którą można leczyć nie można przekazać dalejoraz wprowadzenie profilaktyka przedekspozycyjna (PrEP) odnotował spadek wskaźników infekcji, szczególnie wśród homoseksualistów.
Jednakże homofobiczny szał protesty przeciwko ludziom, które wybuchły w latach 80. i 90. XX w., przez cały czas trwają, a ponad 20 lat później wiele osób cierpiących na tę chorobę przez cały czas ma poczucie, iż niestety nie mogą otwarcie mówić o swoim zakażeniu wirusem HIV.
W związku z tym ICO stwierdziła, iż istnieje wyraźna potrzeba poprawy wsparcia oferowanego osobom zakażonym wirusem HIV w zakresie przetwarzania ich poufnych informacji, a komisarz ds. informacji John Edwards wezwał w tej chwili do pilnych usprawnień, twierdząc, iż ICO jest gotowa pomóc .
„Osoby żyjące z wirusem HIV powszechnie zawodzą, jeżeli chodzi o ich prywatność, dlatego w Wielkiej Brytanii potrzebne są pilne ulepszenia. Widzieliśmy powtarzające się podstawowe błędy w zapewnianiu bezpieczeństwa danych osobowych – błędy, które są oczywiste i łatwe do uniknięcia.
„W ciągu ostatnich kilku dziesięcioleci nastąpił niezwykły postęp w leczeniu i wsparciu dla osób żyjących z HIV, ale aby ludzie mogli śmiało korzystać z tego wsparcia, muszą mieć pewność, iż udostępniając swoje dane osobowe, zostaną one chronione” – powiedział Edwards.
„Z rozmów z osobami żyjącymi z HIV i ekspertami z branży wiemy, iż te naruszenia danych podważają zaufanie do tych usług. Narażają również ludzi na piętno i uprzedzenia ze strony szerszego społeczeństwa i pozbawiają ich podstawowej godności i prywatności, których wszyscy oczekujemy, jeżeli chodzi o nasze zdrowie” – dodał.
Edwards powiedział, iż ICO bardzo poważnie podchodzi do takich naruszeń i zdaje sobie sprawę z ich szkodliwego wpływu na życie osób, których one dotyczą. Wezwał sektor do szybszego wdrażania usprawnień w zakresie bezpieczeństwa cybernetycznego, takich jak lepsze szkolenia, szybkie zgłaszanie przypadkowych naruszeń oraz położenie szczególnego nacisku na korzystanie z funkcji kopii ukrytej (BCC) podczas wysyłania wiadomości e-mail do dużych list osób.
ICO nałożyło wcześniej grzywnę na dwie organizacje w Szkocji, NHS Highland I HIV w Szkocji, w związku z incydentami wynikającymi z niewłaściwego korzystania z list mailingowych. Nałożyła także dzisiaj (30 kwietnia) karę pieniężną na Centralne Stowarzyszenie Chrześcijańskich Młodych Mężczyzn (YMCA) w Londyniena łączną kwotę 7500 funtów, za naruszenie polegające na tym, iż e-maile, które miały być wysyłane do osób objętych programem wsparcia HIV, były wysyłane na 264 adresy e-mail przy użyciu funkcji CC zamiast BCC.
W wyniku tego naruszenia udało się zidentyfikować lub potencjalnie zidentyfikować 166 osób zakażonych wirusem HIV. Centrala YMCA zapłaciła karę w całości, chociaż ICO wskazało, iż poszło lekko – kara mogła sięgać choćby 300 000 funtów, chociaż została zmniejszona zgodnie z kontrowersyjnym podejściem organu regulacyjnego do sektora publicznego.
„Bardzo popieramy dzisiejsze oświadczenie ICO. Gdy organizacje naruszają ochronę danych dotyczących statusu HIV, konieczne są zdecydowane działania regulacyjne, co niestety w dalszym ciągu niesie ze sobą bardziej szkodliwe piętno niż inne rodzaje danych osobowych” – powiedział Adam Freedman, menedżer ds. polityki, badań i wpływu w firmie Narodowy Fundusz AIDS.
„Osoby żyjące z wirusem HIV potrzebują pewności, iż mogą się odwołać w przypadku naruszenia ich praw do danych, a także aby zapobiec ryzyku dalszej dyskryminacji i molestowania. Status HIV danej osoby jest danymi osobowymi i to ona powinna decydować o tym, czy udostępni te informacje.
„Cieszymy się, iż ICO zdaje sobie sprawę ze szkodliwego wpływu, jaki takie naruszenia danych mogą mieć na osoby żyjące z wirusem HIV, i z euforią witamy tę tak potrzebną interwencję” – powiedział Freedman.
Wytyczne dla ofiar i organizacji wspierających
ICO wydało także porady i wytyczne dla osób żyjących z wirusem HIV, które stały się ofiarami naruszenia bezpieczeństwa danych polegającego na ujawnieniu ich statusu lub innych danych osobowych.
W takich przypadkach pierwszą czynnością powinno być zawsze złożenie skargi bezpośrednio do danej organizacji. jeżeli nie odpowiedzą lub nie będziesz zadowolony z tego, co mają do powiedzenia, możesz to zrobić złóż skargę do ICO. Możesz także skontaktować się z placówkami wsparcia, takimi jak National AIDS Trust lub Terrence Higgins Trust.
ICO rozpatrzy wszystkie skargi dotyczące sposobu przetwarzania danych osobowych oraz tego, czy stanowią one naruszenie brytyjskich przepisów o ochronie danych, a także podzieli się swoją decyzją dotyczącą dalszych kroków ze skarżącymi.
Ostatecznie organ regulacyjny jest uprawniony do wydawania zaleceń w celu naprawienia sytuacji lub ulepszenia praktyk w zakresie bezpieczeństwa, ale w przypadku poważnych wątpliwości co do zdolności organizacji do przestrzegania przepisów o ochronie danych może podjąć formalne działania egzekucyjne, co może skutkować nałożeniem kar finansowych.
Organizacje pracujące z osobami zakażonymi wirusem HIV muszą mieć świadomość, iż status HIV danej osoby to w dalszym ciągu informacja bardzo wrażliwa, z którą należy obchodzić się ostrożnie – ludzie muszą mieć pewność, iż ich dane medyczne są bezpieczne i dostępne wyłącznie dla upoważnionych osób poszukujących opieki lub wsparcia.
Organizacje takie muszą zadbać o dokładne przeszkolenie swoich pracowników oraz udzielenie im pomocy dostosowanej do konkretnego stanowiska, dostosowanej i odpowiedniej, aby mieli pewność, iż mogą bezpiecznie obchodzić się z danymi osobowymi. Należy je również jasno określić w odniesieniu do usług zgłaszania naruszeń danych – zgodnie z prawem Wielkiej Brytanii naruszenia, w przypadku których istnieje ryzyko dla praw lub wolności osób, jak to często ma miejsce w przypadku informacji medycznych, należy zgłosić w ciągu 72 godzin od uzyskania wiedzy o nich.
Należy jasno określić, do jakich rejestrów pracownicy mają dostęp, i w tym celu organizacje mogą również pomóc sobie, wprowadzając odpowiednie środki techniczne, takie jak zwiększone bezpieczeństwo haseł i kontrola dostępu, aby mieć pewność, iż dane osobowe będą widoczne wyłącznie dla tych, którzy mają wyraźną i autentyczną potrzebę.
Wreszcie, jak już wspomniano, przestań używać BCC podczas wysyłania komunikatów masowych. Chociaż funkcja BCC uniemożliwia odbiorcom wiadomości e-mail wzajemne przeglądanie się danych, funkcja ta może zostać łatwo nadużyta, przypadkowo lub celowo, i sama w sobie nie wystarczy do adekwatnej ochrony danych.
Organizacje wysyłające każdy dane osobowe drogą elektroniczną powinni stosować alternatywy dla BCCtakie jak usługi masowej poczty e-mail, korespondencja seryjna lub usługa bezpiecznego przesyłania danych.
