在去年针对HSE的刑事网络攻击中,患者和员工的信息被非法获取,他们可以对卫生服务部门采取法律行动,但行政部门对预计的诉讼规模守口如瓶。
HSE首席信息官Fran Thompson周三在接受《华尔街日报》采访时表示,任何数据被泄露的人都有权采取法律行动,如果他们选择这样做的话。
“这不是我可以猜测的。每个人都有权采取法律行动,GDPR立法非常清楚地说明了如何、为什么以及在哪里可以采取法律行动,”他表示。
此前,HSE开始联系在2021年5月勒索软件攻击中信息被盗的11.3万人。其中,约94,800名患者,约18,200名工作人员。
收到通知的人们会收到一封信,告知他们个人信息的哪一部分受到了影响。HSE也在信件中向被告知此事的人道歉。
这封信概述了,如果他们希望这样做,人们可以要求查看他们被非法访问和复制的确切文件。
汤普森解释说,任何提起的诉讼都将是“巡回法庭式的诉讼,很大程度上取决于使用的数据,以及人们是否因此遭受了个人损失”。
他补充说,对于人们是否应该采取行动,HSE不能给出建议,每个人“可以自己决定”。
Fred Logue是一家专门从事数据保护和信息法律的公司的律师,他告诉《华尔街日报》,根据《通用数据保护条例》(GDPR),患者和员工有权获得物质和非物质损失的赔偿。
“假如有人拿到了你的银行账号,从你的账户里偷了钱。你有权得到补偿。什么是非物质损失就不那么明确了。”
“传统上,在爱尔兰,你无法获得这类损失的赔偿,只是因为悲伤或心烦意乱。根据爱尔兰法律,这必须是可识别的损失。”
罗格表示,自2018年推出GDPR以来,它明确了根据欧盟法律,爱尔兰公民可以获得非物质损失的赔偿。
HSE表示,自网络攻击以来,他们一直在监控包括暗网在内的互联网,目前还没有发现任何证据表明非法访问和复制的数据被用于任何犯罪目的或被发布在网上。
但罗格说,虽然这些文件被盗后至今还没有在网上出现,但这并不意味着那些信息被盗的人不能提出索赔。
“这不仅仅是披露。我认为人们忘记了非法披露只是数据泄露的一种形式。资料泄露可导致个人资料意外或非法销毁、遗失、更改,以及未经授权的披露或查阅。”
“如果你的数据被破坏、丢失或变得不可用,这可能是个人数据泄露。数据泄露的问题不仅仅是披露。可能是接近,可能是破坏,可能是损失。所以说没人能上网,没人能在网上找到它并不是一个完整的答案。就说你的医疗档案被毁了这是一起非常严重的数据泄露事件,但没人能接触到。
“问题是到底披露了什么,以及它的影响是什么,而不是它是否有限或少量,或人们是否在暗网上找不到任何东西。它们是不同问题的答案。”
HSE还表示,被非法获取和复制的数据包含个人、医疗、员工和财务信息。
医疗信息涉及接受治疗的患者名单、疫苗接种名单、医疗记录和与患者的通信记录、治疗历史,而财务信息有限,主要涉及工作人员差旅费用报销数据。
罗格说,赔偿将根据具体情况而定。“你必须看看哪些信息被非法处理或披露,然后就个人而言,这有什么影响?
“例如,这是高度敏感的信息,比如一个变性人正在进行变性手术,如果被披露,这将对他们产生非常非常重大的影响。然而,如果你只是去看了一次医生,却没有给出任何细节,那可能就属于比较低的情况了。”
高等法院命令“并非万无一失的保障措施”
HSE于2021年5月20日获得高等法院命令,禁止任何共享、处理、出售或发布从其计算机系统非法访问和复制的数据。
当被问及如果被盗信息出现在互联网上会发生什么时,汤普森表示,HSE将在全球范围内“对任何发布了这些数据的人或任何发布这些数据的实体”使用法院命令。
“这是一个非常明确、非常有力的法院命令。它没有指名逐姓,只是说任何人,任何发布这些数据的人都将违反法院命令。”
然而,罗格表示,高等法院的命令“并非万无一失的保障措施”。
“例如,当信息泄露到国外时,高等法院的命令就不起作用了。如果它落入俄罗斯人或其他任何人手中,他们完全不会担心高等法院的命令。”
他还质疑了数据泄露和HSE数据泄露通知程序之间的时间间隔。
“为什么花了这么长时间才这么做?”这也是我想问的问题。就像,你知道,你会想象他们应该立即行动,告诉人们发生了什么,特别是当是HSE。”
HSE表示,在gardaí公司于2021年12月17日归还了一份被非法访问并复制给他们的数据副本后,该公司在几个月的时间里详细检查、审查和交叉检查了每一份文件。
该公司表示,这一过程包括清理数据以确保记录正确,采取措施确认11.3万人的身份,核实他们的身份,并确保他们的联系方式是最新的。
罗格认为,被盗物品的性质将决定人们是否会提出法律索赔。
本周在内阁会议上,卫生部长斯蒂芬·唐纳利和儿童部长罗德里克·奥戈尔曼介绍了各自部门,HSE和Tusla在网络攻击后的最新工作情况。
他们指出,很有可能在数据通知程序之后会提出一些法律索赔,两个部门正在与司法部长进行接触,以确保索赔的处理方式“充分考虑到数据主体的权利和欧盟法院正在审议的相关案件,并考虑到财政部可能面临的成本”。
巡回法院和高等法院目前有管辖权审理爱尔兰的数据保护诉讼。然而,新的立法建议给予区域法院审理数据保护诉讼的管辖权。
《法院和民法(杂项规定)法案2022》提议,允许地区法院“与巡回法院和高等法院同时拥有管辖权,审理和决定数据主体根据《数据保护条例》提出的有关其权利的诉讼,并为此目的修改《2018年数据保护法案》”。
该法案目前处于Dáil的第三阶段。罗格说,这将使数据被泄露的人更容易提出索赔,如果他们愿意的话。
