医疗软件公司因泄露49万患者数据被罚款150万欧元

发布时间:2022-04-29 08:37

法国数据保护机构 (CNIL) 因违反 GDPR(通用数据保护条例)的三条条款,对医疗软件供应商 Dedalus Biology 处以 150 万欧元的罚款。

Dedalus Biology 为该国数千个医学实验室提供服务,罚款是为了暴露来自 28 个实验室的 491,939 名患者的敏感细节。

该数据库在网上泄露并透露了以下患者详细信息:

全名
社会安全号码
开药医生姓名
考试日期
医疗信息,例如艾滋病毒状况、癌症、遗传疾病、怀孕、治疗等。
遗传信息(在某些情况下)
这些信息已在互联网上广泛共享,因此 Dedalus Biology 的客户面临着被社会工程、网络钓鱼、诈骗甚至勒索的风险。

数据库泄漏的最初迹象早在 2020 年 3 月就出现了,ANSSI 于 2020 年 11 月向其中一个暴露的实验室发出了相关警报。

2021 年 2 月,法国杂志 ZATAZ在暗网上发现了特定数据集的销售情况,并确认该信息是有效的。

在暗网 (ZATAZ)上出售的泄露数据
制裁细节
Dedalus Biology 违反了 GDPR 法案第 29 条,即未遵守控制者的指示。更具体地说,在从不同供应商的软件迁移过程中,应两个医学实验室的要求,Dedalus 提取了比要求更多的信息。

第二个违规行为涉及 GDPR 第 32 条,该条规定数据处理者对未能保护信息负责。CNIL 的调查发现了以下相关故障:

缺乏数据迁移操作的具体程序;
存储在有问题的服务器上的个人数据缺乏加密;
迁移到其他软件后没有自动删除数据;
缺乏互联网访问服务器公共区域所需的身份验证;
使用服务器专用区域上多个员工之间共享的用户帐户;
服务器上没有监督程序和安全警报升级。
违反的第三条 GDPR 条款是第 28 条,其中涵盖了代表控制者(实验室)为数据处理提供正式合同或法律行为的义务。

对于上述违规行为,CNIL 决定处以 150 万欧元(158 万美元)的罚款,按公司年收入的 10% 计算。

尽管基于与 CNIL 调查人员合作的意愿,Dedalus 希望受到更轻的处罚,但数据保护办公室指出,该公司没有采取任何措施来限制在线泄露数据的传播,因此没有认定缓解因素的依据。

ZZQIDC已联系 Dedalus Biology 就 CNIL 的决定发表评论,但在本文发表时我们尚未收到该公司的消息。

一个类似的案例
同时,CNIL 目前正在调查另一起由保险提供商L'Assurance Maladie报告的泄露 510,000 名法国人的敏感医疗保险信息的案件。

根据该公司公开的细节,使用其在线信息门户的 19 名医生成为网络钓鱼活动的受害者,这实质上使黑客能够访问敏感的患者信息。

由于这一违规行为,全名、出生日期、性别、社会安全号码以及与保险权利相关的数据都受到了损害。

客户热线:037125966675

客户服务中心
云产品 服务器 合 作                  Skype