NPC PHE Bulletin No. 10: Proteksyon Laban sa Hindi Awtorisadong Pagbunyag sa Datos ng Pasyente

April 30, 2020 10:19 pm Last Edit: January 17th, 2022

Sa mga nagdaang linggo, ang National Privacy Commission (NPC) ay nakatanggap ng breach notifications ukol sa posibleng unauthorized diclosure o hindi awtorisadong pagsiwalat ng sensitibong personal na impormasyon ng suspected, probable at confirmed na mga pasyenteng may COVID-19. Kasalukuyang sinisiyasat na ng NPC ang mga nasabing insidente, alinsunod sa Data Privacy Act.

Upang maiwasan ang paglanap ng insidente ng unauthorized processing, nananawagan ang NPC sa mga institusyon na nagbibigay ng serbisyong pangkalusugan, at sa kanilang Data Protection Officers, na pagtibayin ang pangangalaga sa personal na datos ng mga pasyente. Tandaan natin, ang tiwala sa pagitan ng mga pasyente, institusyong pangkalusugan, at gobyerno ay importante sa pagsugpo sa COVID-19 pandemic.

Ang mga pasyente ay magbibigay ng totoo at kumpletong mga detalye na kailangan ng mga awtoridad kung panatag ang kanilang loob na ang kanilang sensitibong datos ay gagamitin lamang sa paggamot, pagmamatyag, at pagresponde sa COVID-19 pandemic --- at gagamitin lamang na may buong pagiingat, upang ‘di ito mabunyag sa iba o magamit sa paraan na magdudulot lamang ng stigma, gaya ng diskriminasyon, panliligalig, at pisikal na pananakit.

Narito ang mga hakbang upang mapagtibay ang organisasyonal, pisikal, at teknikal na mga seguridad sa pangangalaga ng datos ng inyong pasyente upang makaiwas sa unauthorized disclosure:

1. Laging ipaalala sa inyong mga opisyal at empleyado na isang legal at moral na responsibilidad ang pagprotekta sa personal na datos ng mga pasyente. Gumamit ng praktikal na pamamaraan, gaya ng pag-dikit ng posters o pagmimigay ng print outs. Ipaalala na bilang katiwala ng datos, obligasyon nilang seguruhin ang confidentiality, integrity at availability nito.

   Bigyang-diin na ang unauthorized disclosure ng datos ay ipinagbabawal ng batas, partikular sa Republic Act No. 11332 o the Mandatory Reporting of Notifiable Diseases and Health Events of Public Health Concern Act, at DPA. Ipaalala din na may nilagdaan silang non-disclosure agreement kaugnay dito.

2. Magtalaga ng “access control” para sa datos ng pasyente, base sa “least privileges”. Limitahan ang pwedeng maka-access sa datos ng pasyente, ayon sa pangangailangan. Ibig sabihin, bigyan lamang ng sapat na access ang isang empleyado upang gampanan ang kanyang tungkulin, sa panahon na ito ay kailanagan.
3. Maglagay ng kandado, alarma, at iba pang pisikal na kagamitan pang-seguridad. Seguraduhing ang inyong pasilidad ay hindi basta mapapasok ng hindi awtorisadong indibidwal. Kapag hindi ginagamit, ang mga dokumentong naglalaman ng datos ng pasyente, dapat nakakandado ang mga ito sa isang cabinet o silid.
4. Sa tamang awtoridad lamang ibigay ang datos ng pasyente, at sa pribadong lugar lamang ito talakayin. Iwasang pag-usapan ang personal na detalye ng isang pasyente sa publikong lugar, maliban na lang kung bunsod ng emergency. Kung makikipag-usap gamit ang telepono, kumpirmahin muna ang identity ng nasa kabilang linya at kung awtorisado ba siya na tumanggap ng impormasyon patungkol sa pasyente.
5. Lagyan ng privacy screens ang inyong computer upang ‘di masilip ng ‘di awtorisadong indibidwal ang impormasyon sa screen. Kung walang privacy screen, ipwesto ang computer monitors sa tagong cubicle o ianggulo ito sa paraang hindi agad mahahagip ng mata. Tiyakin din na may password ang computers o laptops.
6. Siguraduhin na encrypted at may password ang inyong portable storage media (‘gaya ng USB flash drives at external hard drives) na naglalaman ng patient data. Itago ito sa isang locked cabinet kung hindi ginagamit, at tiyakin na hindi pakalat-kalat lamang sa desk, counters, conference rooms, at iba pang common areas.
7. Tiyakin na may encryption ang electronic file o digital copies ng patient data.
8. Siguraduhin na secure ang digital platform na gagamitin sa pakikipag-usap sa inyong team o pasyente. Lagyan ng encryption ang dokumento o files na ipapadala sa pamamagitan ng internet. Gumamit ng passwords na mahirap hulaan, at gumamit din second-factor authentication kapag nagla-login sa accounts.

RAYMUND ENRIQUEZ LIBORO
Privacy Commissioner

# # #