מידע רגיש דלף פעמיים ממערכות המידע של מגן דוד אדום - מוסרת (יום ד', 1.1.20) הרשות להגנת הפרטיות. הרשות הנחתה את מד"א כיצד לתקן את הליקויים שאפשרו את הדליפה.
הליך הפיקוח נפתח בעקבות תלונה ולפיה קיימים כשלי אבטחת מידע באתר האינטרנט של מד"א, שהביאו לחשיפתו של מידע רגיש של מטופלים. מדובר בין היתר בדוחות רפואיים ובמסמכי התחייבות הכוללים שמות, כתובות, מספרי תעודות זהות ומספרי כרטיסי אשראי. מד"א הפר את חובתו החוקית לדווח לרשות על אירועי האבטחה החמורים.
הרשות קיבלה גם מידע המצביע על פרצת אבטחה ביישומון (אפליקציה) של ניהול המתנדבים של מד"א. הפרצה אפשרה גישה לשרת עליו מותקנת האפליקציה, ובכך אפשרה לדלות מידע על מתנדבים ומידע רפואי אודות מטופלים, ואף יצרה אפשרות לשלוח הודעות כוזבות למטופלים על בסיס המידע.
בשני האירועים מדובר במערכות אשר פותחו ותוחזקו עבור מד"א על-ידי ספקי מיקור חוץ. הרשות מזכירה, כי ארגונים אשר עושים שימוש בשירותי מיקור חוץ, חייבים לקבוע בהסכמים עימם שורה של דרישות בהתאם לסיכוני אבטחת המידע. על הסכמים אלה לקבוע באופן מפורש מהו המידע שהגורם החיצוני רשאי לעבד ולאלו מטרות, לאלו מערכות הוא רשאי לגשת, מהו סוג העיבוד שאותו הוא רשאי לבצע, את אופן יישום הוראות תקנות אבטחת מידע ועוד.
ממצאי הבדיקה העלו, כי מד"א לא הגדיר את דרישות אבטחת המידע בהן חייב ספק מיקור החוץ לעמוד במסגרת השירות אותו הוא מספק; לא נקט באמצעי בקרה ופיקוח על עמידתו של ספק מיקור החוץ בהוראות תקנות הגנת הפרטיות, וכאמור - לא דיווח לרשות להגנת הפרטיות על אירועי אבטחת המידע כאשר הללו התגלו. הרשות קבעה, כי מד"א הפר את ההוראה בחוק הגנת הפרטיות, ולפיה הוא אחראי לאבטחת המידע שבידיו.
מד"א מסר בתגובה, כי מדובר באירוע שהתרחש לפני שנה, כאשר אחד ממתנדבי הארגון איתר את הפריצה. "הוא מצא חריגה אחת באתר המתנדבים ומקרה נוסף בעמוד הטפסים באתר מד"א. הנושא טופל ותוקן מיידית ושום מידע לא דלף", נמסר עוד.