PDPC menemukan bahwa rumah sakit gagal menerapkan pengaturan keamanan yang wajar untuk melindungi data pribadi yang bocor dari risiko akses dan pengungkapan yang tidak sah.
Rumah Sakit Farrer Park seharusnya menerapkan langkah-langkah yang lebih kuat untuk mengelola akun email kerja departemen pemasarannya karena rumah sakit tersebut menerima dan memproses sejumlah besar data pribadi sensitif setiap hari, tambah komisi tersebut.
Langkah-langkah tersebut dapat mencakup peningkatan kontrol akses untuk akses email web departemen, portal web terpisah bagi departemen untuk mengumpulkan informasi medis sensitif, dan proses untuk secara teratur memindahkan informasi tersebut dari akun email ke sistem yang lebih aman.
Meskipun PDPC mencatat bahwa penerusan email secara otomatis di Microsoft Office 365 diketahui merupakan risiko keamanan, hal ini memberikan pihak rumah sakit keraguan bahwa kurangnya pedoman, standar, dan tolok ukur dapat memengaruhi penilaian risiko tersebut.
“Namun, tidak ada keraguan bahwa kegagalan dalam melakukan penilaian yang masuk akal terhadap risiko penerusan email otomatis dalam suatu organisasi merupakan pelanggaran terhadap kewajiban untuk melindungi yang akan dipenuhi dalam kasus-kasus di masa depan dengan tindakan penegakan hukum yang tepat,” kata komisi ditambahkan.
Dalam memutuskan sanksi finansial apa yang akan dikenakan, PDPC mempertimbangkan beberapa faktor yang meringankan.
Setelah pelanggaran terungkap, rumah sakit segera mengambil tindakan perbaikan dan bekerja sama sepenuhnya dalam penyelidikan.
Perusahaan juga menerapkan berbagai langkah keamanan sebelum data bocor, dan mengadakan pelatihan perlindungan data dan keamanan siber untuk karyawannya.
Tindakan perbaikan yang dilakukan adalah:
- Nonaktifkan fitur penerusan otomatis untuk pengguna akhir
- Meningkatkan frekuensi pelatihan dan latihan keamanan siber internal
- Penerapan langkah-langkah teknis tambahan untuk keamanan email dan jaringan
- Menyegarkan dan meningkatkan langkah-langkah keamanan jaringan yang ada
Untuk meminta denda yang lebih kecil, rumah sakit tersebut mengatakan bahwa mereka mempekerjakan seorang ahli forensik swasta yang memantau internet dan web gelap dari bulan Februari hingga April 2020 dan tidak menemukan pengungkapan data pribadi yang dipermasalahkan tanpa izin.
Rumah sakit juga belum menerima keluhan apa pun dari individu yang terkena dampak.
Namun, PDPC mengatakan kurangnya bukti eksploitasi, penggunaan atau pengungkapan lebih lanjut tidak pantas untuk dikurangi dendanya.
Menanggapi pertanyaan CNA, Dr Timothy Low, Chief Executive Officer Rumah Sakit Farrer Park, mengatakan pihaknya segera mengatasi pelanggaran data tahun 2019 dan memberi tahu semua pasien yang terkena dampak.
Dr Low menambahkan: “Privasi, keselamatan, dan kesejahteraan pasien kami tetap menjadi prioritas utama kami dan kami berkomitmen untuk melindungi data pribadi mereka di Rumah Sakit Farrer Park.
“Kami telah memperkuat langkah-langkah keamanan TI kami dan meningkatkan frekuensi pelatihan dan latihan keamanan siber secara internal.
“Yakinlah bahwa tidak ada dampak terhadap operasional rumah sakit kami. Kami menanggapi kejadian ini dengan sangat serius dan menyesali ketidaknyamanan yang ditimbulkan pada pasien yang terkena dampak.”
Pada tanggal 1 Oktober tahun ini, jumlah maksimum denda yang dapat dikenakan kepada suatu perusahaan karena pelanggaran data dinaikkan menjadi 10 persen dari omzet tahunannya di Singapura atau S$1 juta, mana saja yang lebih tinggi.
Sebelumnya, organisasi yang melanggar Undang-Undang Perlindungan Data Pribadi akan menghadapi denda finansial hingga S$1 juta.