הרשות להגנת הפרטיות הודיעה הבוקר (רביעי) כי במסגרת הליך פיקוח שביצעה, נמצאו שני אירועי אבטחת מידע חמורים, אשר הובילו לדליפת מידע רגיש ממערכות המידע של מד"א. בין הפרטים שנחשפו היו מידע רגיש של מטופלים, הכולל בין היתר, דוחות רפואיים המכילים מידע רפואי ומסמכי התחייבות הכוללים פרטים אישיים כגון שמות, כתובות, מספרי תעודות זהות ומספרי כרטיסי אשראי. עוד הדגישו כי "הארגון לא דיווח לרשות על אירועי האבטחה החמורים כנדרש בחוק".
הליך הפיקוח נפתח בעקבות פנייה שהצביעה על כשלי האבטחה באתר האינטרנט של הארגון. בנוסף, במועד אחר התקבל מידע המצביע על פרצת אבטחה נוספת - באפליקציה של ניהול המתנדבים של מד"א. היא אפשרה גישה לשרת שעליו מותקנת האפליקציה, ובכך אפשרה לדלות מידע על מתנדבים במד"א וכן מידע רפואי אודות מטופלים. כמו כן, הפרצה פתחה את האופציה לשלוח הודעות כוזבות למטופלים על בסיס המידע.
ברשות הסבירו: "בשני האירועים מדובר במערכות שפותחו ותוחזקו עבור מד"א על ידי ספקי מיקור חוץ". עוד נמסר מהרשות כי "לפי תקנות הגנת הפרטיות, על ארגונים שעושים שימוש בשירותי מיקור חוץ לקבוע בהסכם עם ספקי השירותים שורה של דרישות בהתאם לסיכוני אבטחת המידע הקיימים בארגון". עוד הסבירו ברשות להגנת הפרטיות: "על הסכמים אלה לקבוע באופן מפורש, בין היתר, מהו המידע שהגורם החיצוני רשאי לעבד ולאלו מטרות, לאלו מערכות הוא רשאי לגשת, מהו סוג העיבוד שאותו הוא רשאי לבצע, אופן יישום הוראות תקנות אבטחת מידע ועוד".
ממד"א נמסר בתגובה: "כל מערכות המידע של מד״א מאובטחות ברמה הגבוהה ביותר ובאמצעים הטכנולוגיים המתקדמים ביותר. יחד עם זאת, פרצות מתגלות לעיתים ככל שרמת ההאקרים עולה ולכן מיד כשנודע לנו על הפרצה נקטנו בכל האמצעים הנדרשים. יודגש ויובהר כי בשום שלב לא דלף מידע חסוי או משמעותי. מדובר באירוע שהיה לפני כשנה כאשר מתנדב מד״א לשעבר המתמחה בתוחם אבטחת מידע איתר את הפריצה. הוא מצא חריגה אחת באתר המתנדבים ומקרה נוסף בעמוד הטפסים באתר מד״א. הנושא טופל ותוקן מיידית ושום מידע לא דלף".