De Britse privacytoezichthouder ICO heeft een Brits ziekenhuis berispt voor een gevoelig datalek met patiëntgegevens. Begin dit jaar gaf het ziekenhuis aan een ongeautoriseerd persoon de gegevens van veertien personen mee. De man, die geen medewerker van het ziekenhuis was, meldde zich op een afdeling. Door een gebrek aan identificatiecontroles en formele processen, kreeg de man een document met informatie over veertien patiënten. Daarnaast hielp hij mee bij de zorgverlening aan één patiënt.

Het ziekenhuis had wel een beveiligingscamera geïnstalleerd. Het stopcontact van de camera was per ongeluk door een ziekenhuismedewerker, als onderdeel van een energiebesparingsoefening, uitgeschakeld. Daardoor zijn er geen beelden van de man, die het document met de patiëntgegevens met zich meenam. Aangezien de bedoelingen van de man onbekend zijn blijft er een risico voor de slachtoffers van het datalek bestaan, aldus de ICO.

Verder onderzoek van de Britse privacytoezichthouder wees uit dat personeel onvoldoende op het gebied van privacy en databeveiliging was getraind. Naar aanleiding van het incident heeft ziekenhuis nieuwe maatregelen ingevoerd, zoals een systeem voor het in- en uitchecken van documenten met patiëntgegevens, alsmede een bijgewerkt identificatieproces.

De ICO heeft verschillende aanbevelingen aan het ziekenhuis gedaan, zoals het tijdig melden van datalekken binnen 72 uur, het evalueren van al het beleid en het verhogen van het aantal getrainde medewerkers. Het ziekenhuis moet binnen zes maanden een update over de genomen maatregelen geven. Daarnaast roept de Britse privacytoezichthouder alle organisaties op om hun identificatieprocessen te controleren.