Vaughan Gething, Ysgrifennydd y Cabinet dros Iechyd , Llesiant a Chwaraeon
Yn fy ymateb i’r cwestiwn brys, addewais roi’r diweddaraf i’r Aelodau ar yr ymosodiad diogelwch seiber ar Landauer, y cwmni trydydd parti sy’n darparu’r Gwasanaeth Diogelu Rhag Ymbelydredd i Ymddiriedolaeth GIG Felindre. Yn sgil yr ymosodiad hwn, cafwyd mynediad anghyfreithlon at wybodaeth bersonol am staff.
Mae’r Gwasanaeth Diogelu rhag Ymbelydredd yn gyfrifol am ddarparu gwasanaeth mesur dos ymbelydredd i Wasanaeth Iechyd Gwladol (GIG) Cymru a chyrff y tu allan i’r GIG yng Nghymru ar gyfer staff sy’n gweithio gyda phelydrau X. Mae’r Gwasanaeth yn bodloni’r gofyniad felly fod rhaid i bob aelod o staff sydd mewn perygl o ddod i gysylltiad ag ymbelydredd gael ei fonitro. Mae’r system bwysig hon, a’r wybodaeth sy’n cael ei dal ynddi, yn rhoi sicrwydd hanfodol i aelodau staff ac yn eu diogelu.
Cafodd Ymddiriedolaeth GIG Felindre ei hysbysu gyntaf gan Landauer am y digwyddiad ar 17 Ionawr 2017, a hynny drwy lythyr. Cafodd manylion llawn y digwyddiad eu darparu’n electronig i Ymddiriedolaeth GIG Felindre ar 26 Ionawr 2017. Ar ôl derbyn y manylion hyn, dechreuodd Ymddiriedolaeth GIG Felindre ar ddadansoddiad manwl i ddilysu a glanhau’r data a ddarparwyd, a oedd yn cwmpasu cyfnod o chwe blynedd. Drwy wneud hyn, daethpwyd o hyd i’r unigolion a oedd wedi cael eu heffeithio gan y digwyddiad. Roedd hwn yn gam pwysig yn y broses o ddileu cofnodion dymi, dod o hyd i gofnodion dyblyg, a dilysu’r manylion cyswllt cyfredol ar gyfer y rheini a oedd wedi’u heffeithio, ac yn bwysicach na hyn, roedd yn sicrhau na fyddai unrhyw ymgais i geisio cysylltu ag unigolion a oedd wedi marw. Wrth i’r wybodaeth ddod i’r fei, cafodd yr arweinwyr ym mhob Bwrdd Iechyd a phob grŵp nad yw’n perthyn i’r GIG, eu hysbysu gan Ymddiriedolaeth GIG Felindre. Cafodd y gwaith hwn ei wneud rhwng 22 Chwefror a 9 Mawrth 2017.
Cafwyd mynediad at fanylion mwy na 3,400 o staff y GIG a mwy na 1,300 o staff nad ydynt yn gweithio i’r GIG. Roedd yr wybodaeth am yr unigolion hyn y cafwyd mynediad ati yn cynnwys y manylion a ganlyn - enwau, dyddiadau geni, dosau o ymbelydredd a rhifau Yswiriant Gwladol. Mae Byrddau ac Ymddiriedolaethau Iechyd wedi cadarnhau bod pob aelod o staff y GIG y bu modd iddynt eu hadnabod naill ai wedi cael gwybod eisoes, neu y byddant yn cael gwybod erbyn diwedd yr wythnos. Mae prosesau ar waith i hysbysu cyn-weithwyr y GIG sydd wedi cael eu heffeithio a gweithwyr cyrff nad ydynt yn perthyn i’r GIG sydd wedi cael eu heffeithio. Rwyf wedi gofyn am sicrwydd gan bob Bwrdd ac Ymddiriedolaeth y bydd cymorth yn cael ei roi i’r rheini yr effeithiwyd arnynt ac y bydd camau yn cael eu cymryd hefyd i dawelu meddyliau'r rheini na chafodd eu manylion eu gweld.
Hoffwn fod yn gwbl glir nad oedd hwn yn fynediad diawdurdod i un o systemau GIG Cymru, ac nad Cymru’n unig a gafodd ei heffeithio. Ymosodiad seiber ar y cyflenwr trydydd parti Landauer oedd hwn. Mae’r cyflenwr hwnnw wedi cadarnhau i’r ymosodiad ddigwydd ar ei weinyddion yn y DU, sydd wedi’u lleoli yn ei bencadlys yn Swydd Rydychen. Cafodd hyn effaith ar sefydliadau’r GIG yn yr Alban a Lloegr hefyd.
Mae Landauer yn arweinydd byd-eang o ran cyflenwi cynnyrch diogelu rhag ymbelydredd integredig ac mae’n darparu gwasanaeth i amrywiaeth eang o gyrff y sector cyhoeddus, gan gynnwys mewn gofal iechyd, addysg a diogelwch gwladol. Cafodd y contract i ddarparu’r gwasanaeth diogelu rhag ymbelydredd ei ddyfarnu i Landauer yn 2011 yn dilyn proses dendro gystadleuol.
Mae ymchwiliad i’r digwyddiad ar y gweill yn Ymddiriedolaeth GIG Felindre ar hyn o bryd sydd hefyd yn ystyried unrhyw oedi yn y broses hysbysu. Rwyf hefyd wedi gofyn i fy swyddogion sefydlu grŵp i ymchwilio i fynediad diawdurdod at ddata er mwyn adolygu’r digwyddiad hwn. Bydd hyn o gymorth i benderfynu pa gamau y dylid eu cymryd yn y dyfodol a bydd hefyd yn rhoi sicrwydd. Rwy’n disgwyl i’r grŵp adrodd ymhen mis.
Mae Swyddfa’r Comisiynydd Gwybodaeth wedi cael gwybod am y digwyddiad hwn a bydd yn cynnal ei hadolygiad ei hun.
Yn ogystal â hyn, bydd adolygiad yn cael ei gynnal hefyd o bob system a gynhelir yn genedlaethol sy’n cael ei darparu gan gyflenwyr trydydd parti er mwyn rhoi sicrwydd pellach.
Mae sefydliadau’r GIG yn gweithio’n agos gyda’i gilydd ar faterion Diogelwch Seiber. Mae gan bob sefydliad GIG Cymru Warcheidwad Caldicott ac Uwch-berchennog Risg Gwybodaeth sy’n arwain ar ddiogelu data ar gleifion a staff. Mae hyn yn ychwanegol at yr amryw o grwpiau sy’n weithredol dros Gymru gyfan:
- Y Bwrdd Rheoli Gwasanaethau Diogelwch Gweithredol – y mae Pennaeth Diogelwch pob sefydliad yn aelod ohono
- Y Bwrdd Rheoli Seilwaith – y mae pennaeth TG pob sefydliad yn aelod ohono
- Y Grŵp Cyflawni a Chynllunio ar gyfer Gweithredu – y mae Cyfarwyddwr Cyswllt Gwybodeg pob sefydliad yn aelod ohono
- Y Bwrdd Rheoli Gwybodeg Cenedlaethol – y mae’r Arweinydd Gweithredol ar gyfer TG o bob sefydliad yn aelod ohono.
Byddaf yn cyhoeddi datganiad ysgrifenedig pellach pan fydd yr ymchwiliadau wedi’u cwblhau a’r adroddiadau llawn wedi’u darparu.