医疗软件公司因泄露近50万患者敏感数据被罚款150万欧元
时间:2022-04-30
近日,法国数据保护监管机构 (CNIL)根据欧盟《通用数据保护条例》(GDPR)相关条款,对医疗软件供应商 Dedalus Biology 处以了150 万欧元的罚款。
Dedalus Biology在法国为数千个医学分析实验室提供服务,其因泄露了来自28个实验室的491939名患者的敏感信息而遭处罚。
该数据库已在网络上传播,泄露了患者的以下多项详细信息:
姓名、社会安全号码、处方医生姓名、检查日期、医疗信息(如艾滋病、癌症、遗传疾病等患病情况,怀孕与否,患者后续药物治疗以及遗传信息等)。
这些信息在互联网上被广泛传播,导致Dedalus Biology的客户面临着被社会工程学网络钓鱼、诈骗甚至勒索的风险。
数据库泄漏的迹象最早表露在2020年3月,法国国家网络安全局ANSSI于2020年11月向其中一个遭泄露的实验室发出了相关警报。
2021年2月,法国杂志ZATAZ在暗网上找到了该数据库的销售情况,并确认泄露数据是真实有效的。
处罚详情:
Dedalus Biology首先违反了GDPR的第29条,即未能遵守管理者的指示。具体来说,是在应两个医学实验室的要求从另一个供应商进行软件迁移的过程中,Dedalus Biology提取了比所需更多的信息。
第二项违规行为涉及的是GDPR第32条,该条款规定数据处理者应对未能保护信息负责。但CNIL经调查发现Dedalus Biology存在以下问题:
缺乏数据迁移操作的具体程序;
对存储在存在问题的服务器上的个人数据缺乏加密;
迁移到其他软件后没有自动删除数据;
缺乏从互联网访问服务器公共区域所需的身份验证;
在服务器的专用区域使用多个员工共享的用户帐户;
服务器上没有监控程序和安全警报升级。
最后,Dedalus Biology违反了GDPR第28条,根据条款,DedalusBiology负有代表管理者(实验室)为数据处理提供正式合同或法律行为的义务。
对于Dedalu Biology的上述违规行为,CNIL决定对其处以150万欧元(158万美元)的罚款,罚款数额的根据是侵权行为的严重性,这个数字由公司年收入的10%计算得来。
另外,尽管Dedalus Biology表达了与CNIL的调查人员合作从而获得更宽松的处罚的意愿,但数据保护办公室指出,该公司没有采取任何措施来限制泄露数据的线上传播,因此没有理由减轻处罚。