Cyberattaque contre le Toronto District School Board : Recommandations pour une meilleure sécurité
Une attaque par piratage psychologique dans une école secondaire du TDSB a donné lieu à l’accès non autorisé à des renseignements personnels appartenant à des élèves actuels, d’anciens élèves, des parents et des membres du personnel de plusieurs écoles. L’auteur de menace a accédé sans autorisation aux systèmes de ces écoles en obtenant les données d’accès d’une directrice adjointe d’une école par piratage psychologique, ainsi que les données d’accès au compte OneDrive de cette directrice adjointe qui se trouvaient dans un cache de navigateur. À la suite de cette atteinte à la vie privée, le CIPVP a formulé plusieurs recommandations qui aideront le TDSB à améliorer sa posture de sécurité.
Cyberattaque contre Toronto Public Library: importance des mesures de sécurité raisonnables et de la notification aux personnes concernées en vertu de la LAIMPVP
Une cyberattaque commise contre Toronto Public Library a révélé des vulnérabilités dans les systèmes de cet organisme, lesquels contenaient beaucoup de renseignements personnels concernant des particuliers. Lisez cette lettre de clôture du dossier pour découvrir comment cette affaire a été réglée au stade du règlement anticipé.
Cyberattaque d'une entité prescrite : Le rapport du CIPVP met en évidence la réponse à une atteinte à la vie privée et détaille le processus de notification indirecte utilisée pour atteindre les personnes affectées
Une personne prescrite en vertu de la Loi sur la protection des renseignements personnels sur la santé a signalé une atteinte à la protection des renseignements personnels au CIPVP concernant une cyberattaque qui a entraîné la copie non autorisée de renseignements personnels sur la santé d’environ 3,4 millions de personnes, lesquels se trouvaient dans le serveur de transfert sécurisé de fichiers de la personne prescrite. Les auteurs de menace ont obtenu un accès non autorisé au serveur en exploitant une vulnérabilité de jour zéro dans le logiciel de transfert de fichiers, MOVEit, qui était installé dans ce serveur.
Préservation des dossiers médicaux abandonnés
En vertu de la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS), les dépositaires de renseignements sur la santé ont l’obligation de protéger les dossiers de renseignements personnels sur la santé des particuliers et d’en assurer la sécurité. Les dépositaires qui abandonnent ces renseignements, en perdent la garde ou le contrôle ou omettent de prendre des mesures raisonnables pour les protéger enfreignent la LPRPS. Les parties qui ne sont pas dépositaires mais qui sont en possession de dossiers de renseignements personnels sur la santé pourraient également être tenues de les préserver en tant que destinataires de ces renseignements [paragraphe 49 (1)].
Prévention des atteintes à la vie privée dans le secteur de la santé : l’importance de la formation, des politiques et des ententes de confidentialité
En vertu de la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS), les dépositaires de renseignements sur la santé doivent protéger les renseignements personnels sur la santé de leurs patients. Ils doivent notamment adopter des politiques concernant l’utilisation de ces renseignements à des fins de formation et assurer le respect de ces politiques. Cette affaire souligne combien il est important d’adopter des politiques de confidentialité exhaustives, de fournir une formation annuelle sur la protection de la vie privée et de prévoir des ententes de confidentialité afin de prévenir l’accès non autorisé aux renseignements personnels sur la santé.