Ошибка в таблицах Excel привела к утечке данных беременных и онкобольных

Более 22 000 пациентов больниц Кембриджского университета (Cambridge University Hospitals NHS Foundation Trust) стали жертвами утечек данных , произошедших между 2020 и 2021 годами. В обоих случаях организация сама передала данные, отвечая на запросы, сделанные в соответствии с Законом о свободе информации (Freedom of Information Act, FOIA) 2000 года. Конфиденциальная информация оставалась видимой в сводных таблицах электронных таблиц Excel.

Большинство пациентов, данные которых были обнародованы, (22 073) были пациентками родильного отделения Госпиталя Рози (The Rosie Hospital) на территории больницы Addenbrooke's Hospital. Раскрытая информация включала имена и медицинские данные об исходах родов и датах зачатия.

Пациентки, записанные на прием в Госпиталь Рози с 2 января 2016 года по 31 декабря 2019 года, были затронуты утечкой, информация о которой была опубликована на сайте WhatDoTheyKnow, который позволяет гражданам делать запросы к органам власти Великобритании на основе FOIA. Сайт удалил данные после того, как узнал об их раскрытии. Данные были доступны на WhatDoTheyKnow с 18 ноября 2020 года по 1 ноября 2023 года.

Сам запрос свободы информации (Freedom of information, FOIA) содержал информацию по ряду вопросов, в том числе о количестве беременных женщин, показателях преждевременных родов и смертности младенцев.

Также был обнаружен дополнительный случай утечки данных 373 пациентов, участвовавших в клинических испытаниях рака в 2021 году. В этом случае информация была предоставлена частной компании Wilmington PLC, которая владеет брендами в издательском, информационном и учебном секторах, уделяя особое внимание соблюдению нормативных требований, юриспруденции и здравоохранению.

NHS Foundation Trust направил письмо в компанию Wilmington PLC с просьбой удалить переданные данные. В запросе FoI запрашивались подробности, связанные с лечением пациентов с конкретными типами рака в течение последних 6 месяцев с момента подачи запроса.

Управление госпиталя провело аудит всех запросов FOI за последние 10 лет (около 8 000 ответов) и усилило контроль за процессом FOI, запретив использование таблиц Excel в ответах. Управление комиссара по информации (Information Commissioner's Office, ICO) было проинформировано об инцидентах, а служба кибербезопасности NHS дала гарантии, что данные не были доступны в интернете.

Управление госпиталя признало, что такие ошибки неприемлемы, учитывая обязанность учреждения по сохранению конфиденциальности информации пациентов, и принесло извинения пациентам за беспокойство, которые могло вызвать сообщение. Пострадавшие пациенты могут получить поддержку через бесплатный телефон или электронную почту, информация о которых доступна на сайте госпиталя.

Напомним, что Закон о свободе информации ранее уже становился причиной утечек данных. Так, в 2011 году британский региональный совет Дамфриса и Галлоувея по ошибке опубликовал личную информацию о 900 настоящих и бывших сотрудников. Публикация информации стала ответом на один из запросов, совершенных в рамках расследования, связанного с применением закона о свободе информации (Freedom of Information Act).