Разработчик медицинского ПО Dedalus Biology оштрафован на 1,5 млн евро за утечку данных
04/05/22
Французское агентство по надзору за конфиденциальностью данных CNIL оштрафовало разработчика медицинского программного обеспечения Dedalus Biology на 1,5 млн евро за нарушение трех статей «Общего регламента по защите данных» (General Data Protection Regulation, GDPR).
Dedalus Biology предоставляет услуги тысячам медицинских лабораторий в стране, и штраф наложен за раскрытие конфиденциальных данных о 491 939 пациентах из 28 лабораторий. Доступными в Сети оказались такие данные о пациентах, как ФИО, номер социального страхования, имя врача, дата осмотра, информация о ВИЧ-статусе, раке, генетических заболеваниях и беременности.
Первые признаки утечки базы данных появились еще в марте 2020 года, а в ноябре 2020 года французское агентство ANSSI выдало соответствующее предупреждение одной из лабораторий. В феврале 2021 года французский журнал ZATAZ обнаружил выставленные на продажу в даркнете данные пациентов и подтвердил достоверность информации.
Dedalus Biology нарушила статью 29 закона GDPR, которая заключается в несоблюдении инструкций контроллера. В частности, при переходе с ПО другого поставщика по запросу двух медицинских лабораторий компания Dedalus Biology извлекла больше информации, чем требовалось.
Второе нарушение касается статьи 32 GDPR, которая возлагает на обработчиков данных ответственность за неспособность защитить информацию. Расследование CNIL выявило отсутствие конкретной процедуры операций по переносу данных; отсутствие шифрования личных данных, хранящихся на сервере, отсутствие автоматического удаления данных при переходе на другое ПО, отсутствие требуемой аутентификации для доступа к общедоступной части сервера, использование учетных записей пользователей, разделенных между несколькими сотрудниками в приватной зоне сервера, а также отсутствие процедуры наблюдения и эскалации предупреждений безопасности на сервере.
Также была нарушена статья 28 GDPR, которая касается обязательства предоставить официальный договор или юридический акт для обработки данных от имени контролеров (лабораторий).