近日,法国监管机构国家信息与自由委员会(CNIL)对医疗软件供应商迪达勒斯生物公司(Dedalus Biology)处以150万欧元的罚款,原因是该公司违反了通用数据保护条例(GDPR)中的三条规定。
在法国国内,Dedalus生物公司为数千家医学实验室提供服务。这次,公司因泄露患者的敏感信息而被罚款,而本次的信息泄露共涉及28家实验室的491,939名患者。
患者遭到泄露的信息包括以下内容:
- 全名
- 社会保障号码
- 开处方的医生姓名
- 身体检查日期
- 医疗信息,如艾滋病毒状况、癌症、遗传疾病、是否怀孕、临床治疗等
- 遗传信息(部分患者)
由于这些信息已经在互联网上被广泛分享,Dedalus生物公司的客户正面临社会工程攻击、网络钓鱼、诈骗甚至敲诈的风险。
其实,数据库泄漏的迹象最早在2020年3月就已经出现了苗头,同年11月,法国国家网络安全局(ANSSI)向其中一个实验室发出了相关警报。
2021年2月,法国杂志《ZATAZ》在暗网上发现了一笔特定数据集的销售记录,并核实了该信息的有效性。
制裁的细节
Dedalus生物公司违反了通用数据保护条例的第29条:未能遵守管理员指示。具体地说,就是应两个医学实验室要求从不同供应商的软件迁移过程中,Dedalus生物公司提取了超出所需的信息。
第二项违规涉及通用数据保护条例的第32条,该条款规定,数据处理者应对未能保护信息的情况负有责任。国家信息与自由委员会的调查发现了以下相关问题:
- 缺少数据迁移操作的具体程序;
- 储存在有问题的服务器上的个人资料缺乏加密;
- 迁移到其他软件后没有自动删除数据;
- 缺乏互联网访问服务器公共区域所需的身份验证 ;
- 使用多个员工在服务器专用区域共享的用户帐户;
- 服务器上没有监督程序和安全警报升级。
违反的第三条条款是第28条,它涵盖了代表管理员(实验室)提供正式合同或法律行为进行数据处理的义务。
对于上述违规行为,法国国家信息与自由委员会最终决定对公司处以150万欧元(约合158万美元)罚款的处罚,这相当于该公司年收入的10%。
尽管公司方面希望出于其对委员会调查人员的配合态度而从轻处罚,但数据保护办公室指出,公司后续并没有采取措施限制泄漏的数据在网络传播,因此很难减轻处罚。
截至目前,Dedalus生物公司方面尚未对国家信息与自由委员会的处罚决定发表任何评论。
类似的案例
与此同时,法国国家信息与自由委员会目前正在调查另一起由保险供应商L'Assurance Maladie 报告的510,000名法国人的敏感医疗保险信息遭泄露的案件。
根据该公司公开的细节显示,19名医生在使用其在线信息门户网站时受到钓鱼攻击,从而致使黑客能够访问敏感的患者信息。
参考来源:https://www.bleepingcomputer.com/news/security/medical-software-firm-fined-15m-for-leaking-data-of-490k-patients/