Seorang mahasiswa farmasi tahun keempat yang sedang magang di toko obat Regina ketahuan mengintip catatan medis 114 orang yang tidak berada dalam perawatannya.
Mahasiswa Universitas Saskatchewan (U of S), yang bekerja di Hill Avenue Drugs Pharmacy, mengakses catatan orang melalui Program Informasi Farmasi (PIP) dan Penampil Catatan Kesehatan elektronik (eHR), menurut laporan terbaru dari komisaris privasi provinsi Ron Kruzeniski.
Mahasiswa tersebut dipecat oleh apotek, dan Kruzeniski mengatakan bahwa Fakultas Farmasi dan Nutrisi Universitas Negeri San Francisco, eHealth Saskatchewan, dan Kementerian Kesehatan tidak menangani pelanggaran tersebut dengan benar sesuai dengan empat langkah praktik terbaik.
Penempatan mahasiswa di apotek dimulai pada tanggal 6 Mei 2024 dan berlangsung hingga ia dikawal keluar gedung pada tanggal 25 Juni.
Menurut Kruzeniski, seorang apoteker memergoki mahasiswa tersebut berbicara sendiri dan diduga berkata, “oh, dia masih hidup.”
“Mahasiswa tersebut ditanya siapa yang sedang diperiksanya dan ia segera menutup sejumlah pencarian pasien. Setelah diaudit, ditetapkan bahwa mahasiswa tersebut memeriksa pasien yang bukan pelanggan/pasien apotek. Pengintaian tersebut dimulai lima hari setelah mahasiswa tersebut ditempatkan,” demikian bunyi dokumen tersebut.
Menurut dokumen tersebut, akses siswa ke PIP dan eHR dicabut pada tanggal 26 dan 27 Juni, tetapi tidak ditentukan apakah salinan kertas berisi informasi yang tidak pantas dibuat.
Pada bulan Juli, surat dikirimkan ke 109 orang yang memberitahukan bahwa informasi mereka telah diakses secara tidak pantas, kata Kruzeniski. Lima orang yang informasinya diakses dipastikan telah meninggal.
Kruzeniski membuat total empat rekomendasi untuk menangani pelanggaran privasi serupa dengan lebih baik di masa mendatang.
Rekomendasi yang diberikan adalah:
- Bahwa dalam waktu 30 hari sejak dikeluarkannya Laporan Investigasi ini, Universitas S harus mengubah Perjanjian Penempatan Mahasiswa dengan Tn. Gilbertson dan semua wali amanat di masa mendatang sehingga perjanjian tersebut menjabarkan bagaimana pelanggaran privasi akan ditangani dan apa saja harapan/tanggung jawab Universitas S dan wali amanat dalam situasi seperti itu.
- Bahwa dalam waktu 30 hari sejak dikeluarkannya laporan investigasi ini, Tn. Gilbertson mengembangkan kebijakan dan prosedur yang sesuai dengan bagian 16 HIPA. Kebijakan dan prosedur tersebut harus mencakup pengawasan dan audit akses siswa di PIP dan eHR Viewer di lokasi.
- Ke depannya, eHealth menyediakan akses ke eHR Viewer hanya di bawah APO yang terkait dengan situs tersebut, bukan di AS (kecuali rotasi berbasis rumah sakit).
- Dalam waktu 30 hari sejak diterbitkannya Laporan Investigasi ini, U of S, Health, dan eHealth meninjau pemahaman terkini tentang tanggung jawab atas pengawasan, perlindungan informasi kesehatan pribadi dalam sistem, dan peran masing-masing pihak jika terjadi pelanggaran privasi dengan penempatan di masa mendatang. Pemahaman tersebut harus dituangkan secara tertulis dalam perjanjian atau kebijakan dan prosedur, sehingga semua pihak memahami dengan jelas.
