Soyons réalistes, les atteintes à la vie privée se produisent et elles font peur. Ils sont également évitables et peuvent être préparés pour minimiser les dommages causés par une violation. Une violation de la vie privée se produit lorsqu’il y a un accès non autorisé à des informations personnelles, ou une collecte, une utilisation ou une divulgation de celles-ci. Il s'agit essentiellement d'un vol du droit à la confidentialité des informations personnelles.
Violations dans le secteur de la santé
Certaines atteintes à la vie privée à petite échelle, malheureusement pour les victimes, ne sont pas signalées, mais heureusement, certaines sont détectées. Un exemple est un travailleur de la santé publier un commentaire sur Facebook sur le comportement d'un patient pendant une procédure. Il y en a également eu un où un proche d'un patient a entendu un médecin de Toronto discuter ouvertement sur son téléphone portable des informations personnelles du patient dans une pizzeria. Oui, en faisant la queue en public pour une pizza.
L'ancien maire de Toronto Robert Ford sa vie privée a même été violée par deux professionnels de la santé fouillant son dossier médical.
Il y a des cas qui se sont produits plus près de chez nous. À Edmonton, en Alberta, en septembre 2013, un ordinateur portable d'un Medicentre a été volé et il contenait malheureusement des informations personnelles sur la santé non cryptées. Le nombre approximatif d'Albertains concernés était de 620 000. De nombreux Albertains ont été consternés par le fait que leurs informations aient été stockées de manière non professionnelle sur un ordinateur portable qui a pu être volé. Comme vous le voyez, des violations peuvent survenir en raison de la non-confidentialité d'un médecin et de la perte de documents physiques, mais aujourd'hui, nous nous concentrerons sur les violations de la vie privée numérique, telles que la mallette d'un ordinateur portable.
Qui voudrait violer la vie privée ?
Une atteinte à la vie privée peut être commise par diverses personnes ou groupes de personnes. Certains sont répertoriés ci-dessous :
- Employés vengeurs (oui, employés ACTUELS)
- Ex-employés en colère (violations de données internes, que nous aborderons)
- Tiers
- Virus ou malware
- Personnes avec lesquelles vous avez accepté de partager des informations
- En raison d'une erreur de l'entreprise, par exemple en envoyant des informations personnelles par courrier électronique aux mauvaises personnes.
- Un système brisé qui a laissé l’information ouverte au monde
Oui, on dirait qu’on ne peut faire confiance à personne, mais ce n’est pas le cas ! Une fois que vous avez bien réfléchi à toutes les manières dont une violation peut se produire, il ne reste plus qu'à prendre tous les moyens pour les empêcher. Cela ne vous protégera pas d'une violation de la vie privée, car cela est impossible, mais cela vous protégera bien.
Quels sont les dommages causés par une atteinte à la vie privée ?
Eh bien, cela peut bien sûr devenir extrêmement coûteux, par rapport à la taille de votre organisation. Selon un analyse globale Il y a un an, le coût moyen d'une violation de données était d'environ 3,5 millions de dollars américains. Américain Soins de santé Les violations de données dans l'industrie coûtent près de 1,6 milliard de dollars américains chaque année.
Pas lié aux soins de santé, mais vous vous souvenez de Target ? Le dernier au Canada vient de fermer ses portes il y a quelques semaines, mais il est bien connu pour son succès aux États-Unis. En décembre 2013, ils ont subi une violation de données qui a entraîné le vol d'informations personnelles allant jusqu'à 110 MILLIONS DE CLIENTS ! Chaque client peut recevoir jusqu'à $10 000 US de dommages et intérêts, mais il doit fournir une preuve (ex. : relevé de carte de crédit). Target a jusqu'à présent proposé de régler les recours collectifs en payant $10 millions US, mais nous ne saurons pas si cela a été adopté avant novembre 2015.
Le coût financier pour réparer une atteinte à la vie privée n’est pas le seul dommage qui se produit. Il y a aussi la punition des personnes impliquées et pour certaines organisations, cela peut malheureusement signifier le licenciement de leurs employés. Entre 2011 et 2012, près de 300 dossiers de patients ont été consultés par sept membres du personnel sans autorisation. Centre régional de santé de Peterborough. Ce centre de santé pratique des avortements que de nombreuses femmes gardent confidentiels, souvent même auprès de leurs proches. Beaucoup se sont sentis trahis parce que leurs dossiers avaient été fouillés, donnant aux patients une perspective négative sur ce centre de santé. Ces sept membres du personnel ont depuis été licenciés.
Il y a des cas qui se sont produits plus près de chez nous. À Edmonton, en Alberta, en septembre 2013, un ordinateur portable d'un Medicentre a été volé et il contenait malheureusement des informations personnelles sur la santé non cryptées. Le nombre approximatif d'Albertains concernés était de 620 000. De nombreux Albertains ont été consternés par le fait que leurs informations aient été stockées de manière non professionnelle sur un ordinateur portable qui a pu être volé.
Il y a des tonnes et des tonnes de cas que nous pourrions vous présenter, mais plus important encore, nous voulons vous aider à éviter que cela n'arrive à votre association.
Comment puis-je prévenir une violation de la vie privée ?
Vous ne serez jamais 100% à l’abri d’une atteinte à la vie privée. Comme mentionné précédemment, certains employés peuvent soudainement ressentir le besoin de fouiller dans les dossiers personnels d'un membre ou même de provoquer accidentellement une violation, mais c'est contre les étrangers que vous devriez le plus protéger votre association, comme ils semblent historiquement capables de le faire. le plus de dégâts.
Tout d’abord, vous devez procéder à un examen de votre système actuel de stockage et d’accès aux données. Un peu comme un ménage de printemps. Vous devriez savoir quelles informations votre collège ou association conserve… avez-vous besoin de toutes ces informations ? Il n'est pas nécessaire d'avoir des informations excédentaires, car cela signifie simplement que plus d'espace de stockage est retiré de votre serveur ou de votre cloud et plus d'informations peuvent être volées lors d'une violation. Soyez minimaliste, ne prenez que ce dont vous avez besoin. Lorsque vous connaissez vos données, vous pouvez les protéger encore mieux.
Protection interne
Vous devriez découvrir qui a accès aux informations dans votre association. Ont-ils tous besoin d’y avoir accès ? Que font-ils de ces informations ? Vous n'avez pas besoin d'accorder à tous les membres du personnel l'accès à toutes les informations. Gardez-le au minimum si cela n’interrompt pas leur productivité. Cela peut contribuer à réduire les dommages causés par une éventuelle violation en ne mettant pas toutes les données à la disposition de tous les employés.
Il est très important de former le personnel à l’importance de la vie privée, de la confidentialité, de la sécurité, de son accès, de ses responsabilités et des conséquences de ne pas assumer ces responsabilités. Avec la formation, les employés deviennent responsables.
Lorsqu'un employé quitte ou est licencié de l'association, assurez-vous d'avoir une politique de licenciement et suivez-la ! Cette politique devrait garantir que tous leurs mots de passe sont modifiés ou que les comptes d'utilisateurs sont désactivés et que l'accès commun aux systèmes est immédiatement interrompu. Vous devez également vous assurer que vos mots de passe sont extrêmement uniques, contenant éventuellement une combinaison de lettres majuscules et minuscules, de chiffres et même un caractère de ponctuation ici et là. Assurez-vous d'utiliser des mots de passe différents pour tous les comptes, de cette façon si un employé/ex-employé ou même un pirate informatique n'a accès qu'à un seul compte, vous n'avez qu'un seul mot de passe à modifier.
Il sera également probablement difficile de garder une trace de tous ces mots de passe, un système de gestion des mots de passe s'avérera donc utile. Des systèmes de gestion tels que Dernier passage et 1Mot de passe conservez également vos mots de passe dans un stockage crypté, afin que vous n'ayez pas à vous soucier du piratage de CELA.
Protection externe
Les méthodes que vous pouvez mettre en œuvre pour éviter les violations pour protéger vos données des tiers doivent inclure :
- Il est important de veiller à chiffrer les appareils mobiles comme les smartphones, les tablettes, les ordinateurs portables, etc., comme mentionné dans le cas ci-dessus du Medicentre d'Edmonton. En cas de perte ou de vol de l'un de ces éléments, il sera extrêmement difficile pour quelqu'un de s'introduire par effraction et de consulter vos données.
- Faire pas répondre à Hameçonnage e-mails. Si cela semble légitime, contactez d'abord votre association et confirmez.
- Pour éviter de vous inquiéter d'une violation de la vie privée due à la perte ou au vol d'un appareil portable, il serait idéal de ne même pas stocker de données importantes sur des appareils portables. Nous trouvons qu'il est utile d'inclure cela dans les politiques et la formation de votre association.
- Chaque fois que vous faites affaire avec une autre organisation, recherchez et demandez également quel type de politiques de sécurité et de confidentialité elles appliquent. S’ils ont besoin de vos données pour un service, les détruisent-ils juste après ? Des choses à penser.
- De plus, partagez uniquement les informations NÉCESSAIRES avec un tiers. Rien de plus. Être paresseux et remettre une feuille de calcul complète de données sensibles peut nuire à votre organisation, surtout si vous ne pouvez pas surveiller son utilisation.
- Effectuez un examen programmé – tous les 6 mois à un an, examinez votre politique de confidentialité et assurez-vous que tous les appareils respectent la politique.
Si vous avez des questions ou des commentaires, veuillez les laisser dans la section commentaires ci-dessous ! Nous prendrons également volontiers en compte les conseils qui pourraient manquer dans la liste ci-dessus ! Passe une bonne journée!