Datganiad Iechyd Cyhoeddus Cymru ar tor diogelwch data

dHeddiw, mae Iechyd Cyhoeddus Cymru wedi derbyn yn llawn argymhellion ymchwiliad annibynnol i dor diogelwch data a arweiniodd at gyhoeddi data y gellir eu hadnabod yn bersonol 18,105 o drigolion Cymru a oedd wedi profi'n bositif am COVID-19 rhwng mis Chwefror a mis Awst 2020.

Comisiynodd Iechyd Cyhoeddus Cymru ymchwiliad annibynnol i amgylchiadau ac achosion y tor diogelwch data ar ôl ei ddarganfod ym mis Medi. Gofynnwyd hefyd i'r ymchwiliad, a gynhaliwyd gan Darren Lloyd, Pennaeth Llywodraethu Gwybodaeth yng Ngwasanaeth Gwybodeg GIG Cymru a John Sweeney, Rheolwr Rhannu Gwybodaeth a Llywodraethu GIG Cymru, i nodi unrhyw argymhellion gyda'r nod o leihau tebygolrwydd ac effaith achos arall fel hyn.

Dywedodd Tracey Cooper, Prif Weithredwr Iechyd Cyhoeddus Cymru, “Mae hwn wedi bod yn ymchwiliad trylwyr ac rydym yn derbyn ei holl argymhellion. Rydym yn cymryd ein rhwymedigaethau i ddiogelu data pobl o ddifrif ac mae'n ddrwg iawn gennyf ein bod wedi methu y tro hwn.

“Ymhlith canfyddiadau'r ymchwiliad, nodwyd bod y digwyddiad o ganlyniad i gamgymeriad dynol yng ngham olaf y broses gyhoeddi, gallai'r broses gyhoeddi ei hun fod wedi cynnwys mesurau diogelu ychwanegol. Yn dilyn y tor diogelwch data, gwnaethom gymryd camau ar unwaith i fynd i'r afael â hyn ac mae'r argymhellion yn yr adroddiad hwn hefyd yn amlinellu meysydd pellach y gallwn eu gwella i atal digwyddiad o'r fath rhag digwydd eto.

“Nododd yr adroddiad hefyd y gallai pwysau gwaith fod wedi bod yn ffactor. Rydym yn cydnabod, oherwydd y cynnydd digynsail yn y galw am wybodaeth ynghylch COVID-19, y bu pwysau sylweddol ar y timau dan sylw. Er ein bod wedi rhoi adnoddau ychwanegol ar waith ar gyfer ein timau, mae wedi bod yn heriol sicrhau bod digon o adnoddau yn eu lle i gadw i fyny â'r galw a'r cyflymder sydd eu hangen. Rydym yn parhau i weithio i sicrhau bod ein pobl sydd â mwy o gyfrifoldeb i fodloni gofynion y pandemig yn cael y cymorth a'r adnoddau sydd eu hangen arnynt.

“Rydym yn ymwybodol y collwyd nifer o gyfleoedd i nodi'r mater fel digwyddiad yr oedd angen rhoi sylw iddo ar unwaith. Gwnaethom weithredu cyn gynted ag y daethom yn ymwybodol i fynd i'r afael â'r bwlch hwn, a byddwn yn parhau i sicrhau bod yr holl staff yn deall eu cyfrifoldebau'n llawn mewn perthynas â rhoi gwybod am ddigwyddiadau a'u huwchgyfeirio, gan gynnwys achosion o dor diogelwch data.

“Rydym yn ymrwymedig i weithredu'r holl argymhellion a amlinellir yn yr adroddiad. Rydym wedi llunio cynllun gweithredu sy'n cynnwys y camau angenrheidiol i weithredu'r argymhellion, ac mae rhai ohonynt yn rhan o'r cynlluniau presennol. Bydd hyn yn ategu'r camau rydym eisoes wedi'u cymryd i gryfhau ein gweithdrefnau.

"Hoffwn sicrhau'r cyhoedd bod y camau rydym wedi'u cymryd wedi arwain at welliannau sylweddol gyda'r nod o atal digwyddiad fel hyn rhag digwydd eto.”

Mae'r canfyddiadau allweddol a'r argymhellion ar gael i'w darllen yn llawn yn adroddiad yr ymchwiliad, sydd wedi'i gyhoeddi ar ein gwefan. Mae ein cynllun gweithredu hefyd ar gael i'w weld ar ein gwefan.
 

Ynglŷn â'r tor diogelwch data

Digwyddodd y tor diogelwch data brynhawn 30 Awst 2020 pan gafodd data personol 18,105 o drigolion Cymru sydd wedi profi'n bositif am COVID-19 eu lanlwytho drwy gamgymeriad i weinydd cyhoeddus lle'r oedd unrhyw un a oedd yn defnyddio'r safle yn gallu chwilio amdano. Ar ôl cael gwybod am y tor diogelwch, gwnaethom ddileu'r data ar fore 31 Awst. Yn yr 20 awr pan oedd ar-lein, cafodd ei weld 56 o weithiau.

Yn dilyn y tor diogelwch data, cymerwyd camau ar unwaith i atal digwyddiad tebyg rhag digwydd eto. Roedd y rhain yn cynnwys sefydlu Tîm Rheoli Digwyddiadau i gychwyn camau adferol sydd eisoes wedi arwain at newidiadau i'n trefniadau gweithredu safonol fel bod unrhyw achosion o lanlwytho data bellach yn cael eu gwneud gan uwch aelod o'r tîm.

Nid oes tystiolaeth ar hyn o bryd bod y data wedi'u camddefnyddio. Fodd bynnag, dylai unrhyw un sy'n pryderu y gallai fod achos o dor diogelwch eu data nhw neu aelod agos o'r teulu ac sydd eisiau cyngor ddarllen y Cwestiynau Cyffredin yn gyntaf yn www.phw.nhs.wales yna anfon e-bost atom yn PHW.data@wales.nhs.uk os oes ganddynt unrhyw gwestiynau ychwanegol. Gall pobl hefyd ffonio Iechyd Cyhoeddus Cymru ar 0300 003 0032 i drafod eu pryderon. 

 

Cwestiynau Cyffredin

Mae'r cwestiynau cyffredin hyn yn ymwneud ag adroddiad yr ymchwiliad yn unig. Gellir hefyd dod o hyd i gwestiynau cyffredin sy'n ymwneud â'r tor diogelwch data ei hun ar ein gwefan yma.

 

  1. Pwy gynhaliodd yr ymchwiliad annibynnol?

Cynhaliwyd yr ymchwiliad gan Bennaeth Llywodraethu Gwybodaeth Gwasanaeth Gwybodeg GIG Cymru a'r Rheolwr Rhannu a Llywodraethu Gwybodaeth GIG Cymru yng Ngwasanaeth Gwybodeg GIG Cymru.

 

  1. Ble gallaf weld canfyddiadau'r ymchwiliad?

Cyhoeddir adroddiad yr ymchwiliad yn llawn ar wefan Iechyd Cyhoeddus Cymru.

 

  1. Pa gamau yr ydych wedi'u cymryd hyd yma?

Yn dilyn y tor diogelwch data, cymerwyd camau ar unwaith i atal digwyddiad tebyg rhag digwydd eto. Roedd y rhain yn cynnwys sefydlu Tîm Rheoli Digwyddiad i gychwyn camau adferol sydd eisoes wedi arwain at newidiadau i'n trefniadau gweithredu safonol gan gynnwys cyflwyno gwiriadau ychwanegol i sicrhau uwch oruchwyliaeth wrth lanlwytho i'r dangosfwrdd sy'n wynebu'r cyhoedd. Mae ein cynllun gweithredu ar gael i'w weld ar ein gwefan.

 

  1. Beth fydd yn digwydd nesaf?

Rydym wedi derbyn yn llawn yr argymhellion a amlinellir yn adroddiad yr ymchwiliad ac rydym wedi llunio cynllun gweithredu sy'n cynnwys y camau angenrheidiol i weithredu'r argymhellion.  Mae gwaith yn mynd rhagddo i weithredu'r camau hyn.

 

  1. Pa gamau sy'n cael eu cymryd i leihau'r risg y bydd hyn yn digwydd eto?

Edrychodd yr ymchwiliad ar sut yn union y digwyddodd hyn a pha wersi y gellir eu dysgu. Cymerwyd camau ar unwaith yn dilyn y digwyddiad i leihau'r risg y bydd hyn yn digwydd eto ac rydym wedi datblygu cynllun gweithredu sy'n mynd i'r afael â'r argymhellion a amlinellir yn adroddiad yr ymchwiliad. Mae gwaith yn mynd rhagddo i weithredu'r camau hyn.

 

(Adroddiadau Saesneg yn unig)