醫管局九龍東醫院聯網發生病人資料外洩事件,一名外判承辦商人員被捕。醫管局策略發展總監夏敬恆表示,局方明白及重視病人資料,外判合約有清楚規定,承辦商人員如需使用資料須先取得授權,今次涉事外判人員未經授權存取資料屬不合法及不恰當。
醫院管理局。資料圖片
已暫停承辦商接觸系統
對於病人資料有否加密,夏敬恆指警方仍在調查,不便交代細節。他強調,局方已即時加強恆常監察系統,並檢視內部臨牀系統,至今未發現異常。局方已暫停所有承辦商接觸相關系統,如需緊急維護,須在監察下進行。
正多渠道聯絡受影響病人
夏敬恆透露,醫管局正聯繫5萬多名受影響病人,其中3萬多名有使用應用程式「HA GO」的病人已透過訊息獲通知,其餘萬多人正以電話聯絡,至今已接觸近萬人,其餘將以信件通知。熱線電話至今收到數百宗查詢,主要擔心事件會否影響覆診安排。
葛珮帆強調,將工作外判不等於將保護私隱的責任外判,期望局方做好監管工作。資料圖片
議員促請加強監管外判商
民建聯立法會議員葛珮帆指出,今次屬嚴重的個人資料外洩,5萬多名病人的敏感資料被放上暗網,下載量已達8千次,對市民私隱及生活安全構成威脅。她認為醫管局當務之急是盡快通知所有受影響病人,尤其是長者。
葛珮帆質疑,醫管局過往保護病人資料嚴謹,今次事件似乎涉及漏洞,局方是否對外判商過於寬鬆及防盜意識不足。她強調,將工作外判不等於將保護私隱的責任外判,期望局方做好監管工作。
醫管局於今年四月發現一宗懷疑未經授權將病人醫療紀錄及醫管局員工個人資料檔案取走,並於第三方平台泄漏的個案,局方隨即向警方報案。經深入調查,警方以「不誠實使用電腦」罪拘捕一名30歲本地男子,該男子為一名外判系統維護承辦商的系統開發員。
警方拘1人,涉「醫管局資料外泄」案。
今年4月3日,醫管局發現有不明人士將涉及5.6萬多名病人的個人資料,包括姓名、性別,香港身分證等,以及少量醫管局員工的姓名,上載至網絡論壇俾人免費下載。 醫管局即時向警方通報,並配合警方調查。警方星期二以不誠實意圖取用電腦拘捕一名30歲男子,他是醫管局外判系統承辦商的系統開發員,涉嫌非法在醫管局資料系統偷取資料。
網絡安全及科技罪案調查科總督察李俊岷表示,這名系統開發員在資料外洩前透過遠端存取方式,在未獲醫院授權下、非法下載病人和醫護人員資料,警方星期二在天水圍拘捕他。
警方拘1人,涉「醫管局資料外泄」案。
警方拘1人,涉「醫管局資料外泄」案。
警方拘1人,涉「醫管局資料外泄」案。
警方拘1人,涉「醫管局資料外泄」案。
醫管局說,已確認內部網絡系統運作安全正常,事件起因是有承辦商員工違反守則和合約規定。承辦商負責聯網其中一個主要與手術室運作有關的系統及維護工作,系統載有需要進行手術病人的部分個人資料和手術程序資訊,但與臨床醫療管理系統CMS並不相通,涉事系統僅限手術室相關資訊,系統及承辦商沒有讀取病人完整醫療記錄的權限。
警方拘1人,涉「醫管局資料外泄」案。
事件涉及病人姓名、身分證號碼、醫院檔案號碼和手術內容等,56000多名來自九龍東醫院聯網的病人及少量員工受影響。醫管局本月初透過恆常監察系統發現事件後,已通報私隱專員公署跟進,並通知受影響病人。
