葵青康健中心外判服務供應商的網絡系統懷疑被黑客入侵,可能導致會員資料外洩,包括姓名、會員編號、出生日期、居住地區及部分曾參與疫苗接種計劃會員的身份證首四位數字等。營運機機、葵青安健協會已報警及通報個人資料私隱專員公署。協會正評估可能受影響的會員人數及所涉資料。
葵青康健中心網站截圖
中心網頁公布,他們是星期一早上發現出現異常活動,防火牆設定遭更改,懷疑曾遭黑客入侵。
基層醫療署高度關注事件,已責成營運機構嚴肅跟進事件,並要求三個工作天內提交報告。葵青安健協會亦已即時中斷葵青康健中心網絡系統的運作以及所有電腦伺服器的對外連接,阻止黑客進一步入侵,並已委托獨立網絡安全專家進行調查和審視。由即日起已預約抽血服務及注射流感疫苗的會員須改期,營運機構會透過電話及短訊等方式通知相關會員。
葵青康健中心FB圖片
另外,葵青康健中心是醫健通的登記醫護提供者,調查顯示並無黑客入侵醫健通或任何醫健通的個人資料外洩,但為審慎起見,電子健康紀錄專員已暫時吊銷該營運機構的醫健通登記。
葵青康健中心
鑑於中心系統暫停運作,由即日起已預約抽血服務及注射流感疫苗的會員須改期。涉事系統與全港其他17區地區康健中心或康健站的系統並無任何直接連接。
為配合醫健通擴大了互通病人健康資料的新功能,並確保病人的個人資料私隱獲得充分保障,個人資料私隱專員公署(私隱專員公署)今日(3月31日)發布《醫護提供者及醫護專業人員注意事項》資料單張,協助醫護提供者(醫護機構)及醫護專業人員(例如醫生、護士等)在使用醫健通處理病人個人資料時,能更全面理解並遵從《個人資料(私隱)條例》(《私隱條例》)的要求,包括有關收集及使用個人資料、資料的準確性和保安等方面的相關規定。
個人資料私隱專員(私隱專員)鍾麗玲表示,醫護機構及醫護專業人員必須遵從《私隱條例》的相關規定,審慎處理病人健康紀錄。私隱專員公署
個人資料私隱專員(私隱專員)鍾麗玲表示:「隨着醫健通被廣泛使用,利用相關電子健康系統妥善處理病人健康紀錄顯得尤為重要。醫健通儲存的病人健康紀錄屬個人資料,醫護機構及醫護專業人員必須遵從《私隱條例》的相關規定,審慎處理病人健康紀錄,以保障病人的個人資料私隱。」
私隱專員公署發布《醫護提供者及醫護專業人員注意事項》資料單張。私隱專員公署
《資料單張》從實務角度闡述醫護機構及醫護專業人員在使用醫健通處理病人的個人資料時須注意的事項及良好行事方式,包括:
- 病人參與醫健通前:確保職員提醒病人在給予參與同意及/或互通同意前細閱相關的《收集個人資料聲明》、《私隱政策聲明》及《參與者須知》;
- 取覽及使用電子健康紀錄:採取合理步驟,確保只有相關的醫護專業人員可從醫健通內取覽病人健康紀錄,不應在未獲病人的同意下使用病人的個人資料於新目的,例如擅自將病人健康紀錄上載至社交媒體;
- 個人資料的準確性:確保上載至醫健通的電子健康紀錄屬準確;
- 個人資料的保安:採取所有切實可行的措施以保障醫健通內的個人資料安全,減低外洩風險,若遇上涉及醫健通內的個人資料外洩事故時,盡快向電子健康紀錄專員及私隱專員作出通報;
- 直接促銷:使用醫健通內的電子健康紀錄作直接促銷屬《電子健康系統條例》下的刑事罪行,另外,若將儲存於醫護機構本身系統內的個人資料用於直接促銷,則必須依從《私隱條例》的相關規定,否則亦屬刑事罪行;
- 透明度:制訂及定期檢視相關個人資料私隱政策;以及
- 查閱或改正個人資料要求:根據《私隱條例》處理病人查閱及改正資料要求,並提供有關培訓及指引。
《資料單張》亦載有行動清單,協助醫護機構審視是否已採取足夠措施保障個人資料私隱。
