近日，法國監(jiān)管機構(gòu)國家信息與自由委員會(CNIL)對醫(yī)療軟件供應商迪達勒斯生物公司(Dedalus Biology)處以150萬歐元的罰款，原因是該公司違反了通用數(shù)據(jù)保護條例(GDPR)中的三條規(guī)定。

在法國國內(nèi)，Dedalus生物公司為數(shù)千家醫(yī)學實驗室提供服務。這次，公司因泄露患者的敏感信息而被罰款，而本次的信息泄露共涉及28家實驗室的491,939名患者。

患者遭到泄露的信息包括以下內(nèi)容：

• 全名
• 社會保障號碼
• 開處方的醫(yī)生姓名
• 身體檢查日期
• 醫(yī)療信息，如艾滋病毒狀況、癌癥、遺傳疾病、是否懷孕、臨床治療等
• 遺傳信息(部分患者)

由于這些信息已經(jīng)在互聯(lián)網(wǎng)上被廣泛分享，Dedalus生物公司的客戶正面臨社會工程攻擊、網(wǎng)絡(luò)釣魚、詐騙甚至敲詐的風險。

其實，數(shù)據(jù)庫泄漏的跡象最早在2020年3月就已經(jīng)出現(xiàn)了苗頭，同年11月，法國國家網(wǎng)絡(luò)安全局(ANSSI)向其中一個實驗室發(fā)出了相關(guān)警報。

2021年2月，法國雜志《ZATAZ》在暗網(wǎng)上發(fā)現(xiàn)了一筆特定數(shù)據(jù)集的銷售記錄，并核實了該信息的有效性。

制裁的細節(jié)

Dedalus生物公司違反了通用數(shù)據(jù)保護條例的第29條：未能遵守管理員指示。具體地說，就是應兩個醫(yī)學實驗室要求從不同供應商的軟件遷移過程中，Dedalus生物公司提取了超出所需的信息。

第二項違規(guī)涉及通用數(shù)據(jù)保護條例的第32條，該條款規(guī)定，數(shù)據(jù)處理者應對未能保護信息的情況負有責任。國家信息與自由委員會的調(diào)查發(fā)現(xiàn)了以下相關(guān)問題:

• 缺少數(shù)據(jù)遷移操作的具體程序;
• 儲存在有問題的服務器上的個人資料缺乏加密;
• 遷移到其他軟件后沒有自動刪除數(shù)據(jù);
• 缺乏互聯(lián)網(wǎng)訪問服務器公共區(qū)域所需的身份驗證 ;
• 使用多個員工在服務器專用區(qū)域共享的用戶帳戶;
• 服務器上沒有監(jiān)督程序和安全警報升級。

違反的第三條條款是第28條，它涵蓋了代表管理員(實驗室)提供正式合同或法律行為進行數(shù)據(jù)處理的義務。

對于上述違規(guī)行為，法國國家信息與自由委員會最終決定對公司處以150萬歐元(約合158萬美元)罰款的處罰，這相當于該公司年收入的10%。

盡管公司方面希望出于其對委員會調(diào)查人員的配合態(tài)度而從輕處罰，但數(shù)據(jù)保護辦公室指出，公司后續(xù)并沒有采取措施限制泄漏的數(shù)據(jù)在網(wǎng)絡(luò)傳播，因此很難減輕處罰。

截至目前，Dedalus生物公司方面尚未對國家信息與自由委員會的處罰決定發(fā)表任何評論。

類似的案例

與此同時，法國國家信息與自由委員會目前正在調(diào)查另一起由保險供應商L'Assurance Maladie 報告的510,000名法國人的敏感醫(yī)療保險信息遭泄露的案件。

根據(jù)該公司公開的細節(jié)顯示，19名醫(yī)生在使用其在線信息門戶網(wǎng)站時受到釣魚攻擊，從而致使黑客能夠訪問敏感的患者信息。

參考來源：https://www.bleepingcomputer.com/news/security/medical-software-firm-fined-15m-for-leaking-data-of-490k-patients/