法国数据保护机构 (CNIL) 因违反 GDPR(通用数据保护条例)的三条条款,对医疗软件供应商 Dedalus Biology 处以 150 万欧元的罚款。
Dedalus Biology 为该国数千个医学实验室提供服务,罚款是为了暴露来自 28 个实验室的 491,939 名患者的敏感细节。
该数据库在网上泄露并透露了以下患者详细信息:
全名
社会安全号码
开药医生姓名
考试日期
医疗信息,例如艾滋病毒状况、癌症、遗传疾病、怀孕、治疗等。
遗传信息(在某些情况下)
这些信息已在互联网上广泛共享,因此 Dedalus Biology 的客户面临着被社会工程、网络钓鱼、诈骗甚至勒索的风险。
数据库泄漏的最初迹象早在 2020 年 3 月就出现了,ANSSI 于 2020 年 11 月向其中一个暴露的实验室发出了相关警报。
2021 年 2 月,法国杂志 ZATAZ在暗网上发现了特定数据集的销售情况,并确认该信息是有效的。
在暗网 (ZATAZ)上出售的泄露数据
制裁细节
Dedalus Biology 违反了 GDPR 法案第 29 条,即未遵守控制者的指示。更具体地说,在从不同供应商的软件迁移过程中,应两个医学实验室的要求,Dedalus 提取了比要求更多的信息。
第二个违规行为涉及 GDPR 第 32 条,该条规定数据处理者对未能保护信息负责。CNIL 的调查发现了以下相关故障:
缺乏数据迁移操作的具体程序;
存储在有问题的服务器上的个人数据缺乏加密;
迁移到其他软件后没有自动删除数据;
缺乏互联网访问服务器公共区域所需的身份验证;
使用服务器专用区域上多个员工之间共享的用户帐户;
服务器上没有监督程序和安全警报升级。
违反的第三条 GDPR 条款是第 28 条,其中涵盖了代表控制者(实验室)为数据处理提供正式合同或法律行为的义务。
对于上述违规行为,CNIL 决定处以 150 万欧元(158 万美元)的罚款,按公司年收入的 10% 计算。
尽管基于与 CNIL 调查人员合作的意愿,Dedalus 希望受到更轻的处罚,但数据保护办公室指出,该公司没有采取任何措施来限制在线泄露数据的传播,因此没有认定缓解因素的依据。
ZZQIDC已联系 Dedalus Biology 就 CNIL 的决定发表评论,但在本文发表时我们尚未收到该公司的消息。
一个类似的案例
同时,CNIL 目前正在调查另一起由保险提供商L'Assurance Maladie报告的泄露 510,000 名法国人的敏感医疗保险信息的案件。
根据该公司公开的细节,使用其在线信息门户的 19 名医生成为网络钓鱼活动的受害者,这实质上使黑客能够访问敏感的患者信息。
由于这一违规行为,全名、出生日期、性别、社会安全号码以及与保险权利相关的数据都受到了损害。
免费试用尝鲜
贴心会员服务
服务可用性
数据安全保障
全年不间断在线
工作时间:早上9:00-下午6:30
河南快米云网络科技有限公司
公安备案编号:41010302002363
Copyright © 2010-2023 All Rights Reserved. 地址:河南自由贸易区开封片区经济开发区宋城路122号