Le PDPC a constaté que l’hôpital n’avait pas mis en œuvre des mesures de sécurité raisonnables pour protéger les données personnelles divulguées contre le risque d’accès et de divulgation non autorisés.
L’hôpital Farrer Park aurait dû mettre en place des mesures plus strictes pour gérer les comptes de messagerie professionnels de son service marketing, car il recevait et traitait quotidiennement un volume important de données personnelles sensibles, a ajouté la commission.
Ces mesures peuvent inclure des contrôles d’accès améliorés pour l’accès à la messagerie Web du service, un portail Web distinct permettant au service de collecter des informations médicales sensibles et des processus permettant de déplacer régulièrement ces informations des comptes de messagerie vers un système plus sécurisé.
Bien que le PDPC ait noté que le transfert automatique des e-mails dans Microsoft Office 365 est un risque de sécurité connu, il a donné à l’hôpital le bénéfice du doute qu’un manque de lignes directrices, de normes et de références ait pu affecter son évaluation des risques.
“Cependant, il ne fait aucun doute que le fait de ne pas procéder à une évaluation raisonnable des risques liés au transfert automatique d’e-mails au sein d’une organisation constitue une violation de l’obligation de protection qui, dans les cas futurs, entraînera les mesures d’exécution appropriées”, a ajouté la commission. .
Pour décider de la sanction pécuniaire à imposer, le PDPC a tenu compte de certains facteurs atténuants.
Après la découverte de l’infraction, l’hôpital a pris des mesures correctives immédiates et a pleinement coopéré pendant les enquêtes.
Il avait également mis en place diverses mesures de sécurité avant que les données ne soient divulguées et a organisé une formation sur la protection des données et la cybersécurité pour ses employés.
Les mesures correctives qu’il a prises ont été :
- Désactivation de la fonctionnalité de transfert automatique pour les utilisateurs finaux
- Augmenter la fréquence des formations et exercices internes en cybersécurité
- Mise en œuvre de mesures techniques supplémentaires de sécurité des e-mails et du réseau
- Actualiser et mettre à niveau ses mesures de sécurité réseau existantes
L’hôpital, en demandant une peine plus légère, a déclaré qu’il avait nommé un expert médico-légal privé qui avait surveillé Internet et le dark web de février à avril 2020 et n’avait trouvé aucune divulgation non autorisée des données personnelles concernées.
L’hôpital n’a également reçu aucune plainte des personnes concernées.
Cependant, le PDPC a déclaré que l’absence de preuves d’une exploitation, d’une utilisation ou d’une divulgation ultérieures ne méritait pas une réduction de la peine.
En réponse aux questions de l’AIIC, le Dr Timothy Low, directeur général de l’hôpital Farrer Park, a déclaré avoir immédiatement traité la violation de données en 2019 et informé tous les patients concernés.
Le Dr Low a ajouté : « La confidentialité, la sécurité et le bien-être de nos patients continuent d’être notre priorité absolue et nous nous engageons à protéger leurs données personnelles à l’hôpital Farrer Park.
« Depuis, nous avons renforcé nos mesures de sécurité informatique et augmenté la fréquence des formations et des exercices de cybersécurité en interne.
“Soyez assuré qu’il n’y a eu aucun impact sur nos opérations hospitalières. Nous prenons cet incident très au sérieux et regrettons profondément les désagréments causés aux patients concernés.”
Le 1er octobre de cette année, le montant maximum qu’une entreprise peut être condamnée à une amende pour violation de données a été porté à 10% de son chiffre d’affaires annuel à Singapour ou à 1 million de dollars singapouriens, selon le montant le plus élevé.
Auparavant, les organisations qui violaient la loi sur la protection des données personnelles s’exposaient à une sanction financière pouvant atteindre 1 million de dollars singapouriens.
