Благотворительные и медицинские организации, работающие с ВИЧ-положительными людьми, постоянно не принимают во внимание их основные потребности в защите данных и конфиденциальности, при этом частые утечки данных раскрывают ВИЧ-статус людей, лишая людей, живущих с ВИЧ, «основного достоинства и конфиденциальности», заявил Комиссар по информации. Офис (ICO) предупредил.
Достижения в области лекарственной технологии сделали ВИЧ управляемым долгосрочным заболеванием, которое во многих случаях не может передаваться дальше, а внедрение доконтактной профилактики (ДКП) привело к резкому снижению уровня инфицирования, особенно среди мужчин-геев.
Однако гомофобное безумие против людей, разжигавшееся в 1980-х и 1990-х годах, все еще сохраняется, и более 20 лет спустя многие, живущие с этим заболеванием, все еще чувствуют, что, к сожалению, они не могут открыто говорить о своем ВИЧ-статусе.
Таким образом, ICO заявило, что существует явная необходимость улучшить поддержку, предлагаемую людям с ВИЧ, когда дело доходит до обработки их конфиденциальной информации, а комиссар по информации Джон Эдвардс теперь призвал к срочным улучшениям, заявив, что ICO готова помочь. .
«Люди, живущие с ВИЧ, терпят неудачу по всем направлениям, когда дело касается их конфиденциальности, и необходимы срочные улучшения по всей Великобритании. Мы видели неоднократные элементарные неудачи в обеспечении безопасности личной информации – ошибки, которые очевидны и которых легко избежать.
«За последние несколько десятилетий произошли замечательные успехи в лечении и поддержке людей, живущих с ВИЧ, но для того, чтобы люди могли уверенно пользоваться этой поддержкой, они должны быть уверены в том, что, когда они делятся своей личной информацией, она защищены», — сказал Эдвардс.
«Из разговоров с людьми, живущими с ВИЧ, и экспертами в этом секторе, мы знаем, что подобные утечки данных подрывают доверие к этим услугам. Они также подвергают людей стигме и предубеждениям со стороны общества и лишают их элементарного достоинства и конфиденциальности, которых мы все ожидаем, когда дело касается нашего здоровья», — добавил он.
Эдвардс сказал, что ICO очень серьезно относится к таким нарушениям и осознает пагубное влияние, которое они могут оказать на жизнь пострадавших. Он призвал сектор быстрее внедрять улучшения в области кибербезопасности, такие как улучшение обучения, оперативное сообщение о случайных нарушениях и особое внимание использованию функции скрытого копирования (BCC) при отправке электронных писем большим спискам людей.
ICO ранее оштрафовало две организации в Шотландии, NHS Highland и ВИЧ Scotland, за инциденты, возникшие в результате неправомерного использования списков рассылки. Сегодня (30 апреля) он также наложил штраф на Центральную христианскую ассоциацию молодых мужчин (YMCA) в Лондоне на общую сумму 7500 фунтов стерлингов за нарушение, при котором электронные письма, которые должны были быть отправлены людям, участвующим в программе поддержки ВИЧ, были отправлены на 264 адреса электронной почты. используя CC вместо функции BCC.
В результате этого нарушения в общей сложности удалось идентифицировать или потенциально идентифицировать 166 человек с ВИЧ. Центральная YMCA выплатила штраф в полном объеме, хотя в ICO отметили, что он отделался легко: штраф мог достигать £300 000, хотя он был уменьшен в соответствии со спорным подходом регулятора к государственному сектору.
«Мы очень поддерживаем сегодняшнее заявление ICO. Необходимы решительные нормативные меры, когда организации нарушают защиту данных о ВИЧ-статусе, которые, к сожалению, по-прежнему несут с собой более вредную стигму, чем другие типы персональных данных», — сказал Адам Фридман, менеджер по политике, исследованиям и оказанию влияния в Национальном фонде по СПИДу.
«Людям, живущим с ВИЧ, нужна уверенность, чтобы знать, что они могут обратиться за помощью, если их права на данные нарушены, и чтобы предотвратить риск дальнейшей дискриминации и притеснений. ВИЧ-статус человека — это персональные данные, и человек должен сам решать, делиться ли он этой информацией или нет.
«Мы рады видеть, что ICO признает пагубное влияние, которое такие утечки данных могут оказать на людей, живущих с ВИЧ, и приветствуем это столь необходимое вмешательство», — сказал Фридман.
Руководство для жертв и организаций поддержки
ICO также выпустило советы и рекомендации для людей, живущих с ВИЧ, которые стали жертвами утечки данных, раскрывающих их статус или любые другие личные данные.
В таких случаях вашим первым действием всегда должна быть подача жалобы непосредственно в соответствующую организацию. Если они не отвечают или вы недовольны тем, что они говорят, вы можете подать жалобу в ICO. Вы также можете обратиться в службы поддержки, такие как Национальный фонд по борьбе со СПИДом или Фонд Терренса Хиггинса.
ICO рассмотрит все жалобы на то, как обрабатываются персональные данные и являются ли они нарушением законов Великобритании о защите данных, и поделится своим решением о дальнейших шагах с заявителями.
В конечном счете, регулирующий орган уполномочен давать рекомендации по исправлению положения или улучшению методов обеспечения безопасности, но если у него возникают серьезные сомнения в способности организации соблюдать закон о защите данных, он может принять формальные меры принуждения, что может привести к штрафам.
Организации, работающие с людьми с ВИЧ, должны осознавать, что чей-либо ВИЧ-статус по-прежнему является очень конфиденциальной информацией, с которой необходимо обращаться осторожно: люди должны быть уверены в том, что их медицинская информация безопасна и доступна только уполномоченным лицам при обращении за помощью или поддержкой.
Таким организациям необходимо обеспечить тщательную подготовку своих сотрудников с помощью специальной, адаптированной и актуальной помощи для конкретных ролей, чтобы вселить в них уверенность в том, что они смогут безопасно и надежно обращаться с персональными данными. Им также следует разъяснить информацию о службах сообщения об утечках данных: в соответствии с законодательством Великобритании о нарушениях, связанных с риском для прав и свобод людей, как это часто бывает с медицинской информацией, необходимо сообщать в течение 72 часов после того, как о них стало известно.
Должно быть предельно ясно, к каким записям сотрудникам разрешен доступ, и с этой целью организации также могут помочь себе, приняв соответствующие технические меры, такие как усиленная защита паролей и контроль доступа, чтобы гарантировать, что личная информация может быть видна только те, у кого есть явная и подлинная потребность.
Наконец, как уже отмечалось, прекратите использовать BCC при массовой отправке сообщений. Хотя функция BCC не позволяет получателям электронного письма видеть данные друг друга, этой функцией легко злоупотребить, случайно или намеренно, и ее одной недостаточно для надлежащей защиты данных.
Организации, отправляющие любой личные данные в электронном виде должны использовать альтернативы BCC, такие как службы массовой рассылки электронной почты, слияние почты или служба безопасной передачи данных.
