De Britse gezondheidszorg moet meer doen om de gegevens van mensen met hiv te beschermen, omdat er zich teveel datalekken hebben voorgedaan waarbij de hiv-status van patiënten op straat kwam te liggen. Dat stelt de Britse privacytoezichthouder ICO in een vandaag gepubliceerde oproep. Vandaag werd een Britse organisatie beboet voor een datalek dat eind 2022 ontstond door het gebruik van de CC-functie in plaats van de BCC-functie bij het versturen van e-mail.
Het bericht van de Central Young Men’s Christian Association aan personen met hiv werd aan 264 unieke e-mailadressen gestuurd. Vanwege het gebruik van de CC-functie waren alle e-mailadressen voor ontvangers zichtbaar. Aan de hand van de gebruikte e-mailadressen was het mogelijk om 166 personen te identificeren. Een dag na het versturen van de e-mail ontdekte de organisatie de fout en probeerde via de 'recall function' van Microsoft Outlook het bericht terug te roepen.
Dit zorgde ervoor dat er wederom een e-mail naar alle 264 unieke ontvangers werd gestuurd. De organisatie dacht dat hierdoor het originele bericht uit de inbox van de ontvangers werd verwijderd. De ICO startte een onderzoek naar het datalek en ontdekte dat de organisatie geen beleid had voor het versturen van groepsmail, de privacytraining van personeel te wensen overliet en er niet goed werd gecontroleerd of personeel de privacytraining had afgerond. Vanwege het datalek kreeg de organisatie een boete van 7500 pond opgelegd (pdf).
Volgens de Information Commissioner's Office (ICO) laat de databescherming bij zorginstanties ernstig te wensen over en tasten de datalekken de waardigheid en privacy van hiv-patiënten. Er moeten dan ook dringend in heel het Verenigd Koninkrijk verbeteringen worden doorgevoerd, aldus de ICO. Het bovengenoemde datalek staat namelijk niet op zichzelf. Zo lekte een Schotse liefdadigheidsinstelling die zich inzet voor hiv-patiënten ook door een e-mailfout de e-mailadressen van personen met hiv, alsmede een Schotse gezondheidsdienst. De ICO raadt onder andere het gebruik van de BCC-functie af, omdat dit te foutgevoelig is. Een beter alternatief is bijvoorbeeld een bulkmailprovider.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.