AP, organ nadzorujący prywatność, rozpocznie dochodzenie w sprawie naruszenia danych w klinice

Holenderski organ ochrony prywatności Autoriteit Persoonsgegevens (AP) wszczął dochodzenie w sprawie poważnego naruszenia bezpieczeństwa danych w laboratorium przetwarzania testów Clinical Diagnostics, które dotknęło prawie pół miliona osób.

Wśród zhakowanych danych znalazły się wyniki masowych badań przesiewowych w kierunku raka szyjki macicy u 485 000 kobiet, numery identyfikacyjne oraz nazwiska i adresy, w tym lekarzy rodzinnych i innych specjalistów. Dane osobowe ponad 50 000 osób zostały wystawione na sprzedaż w dark webie.

Firmy mają prawny obowiązek poinformowania AP o włamaniu w ciągu 72 godzin. Clinical Diagnostics poinformowało o naruszeniu w terminie, ale AP nie potwierdziło tego, twierdząc, że „nie komentuje trwającego śledztwa”.

Klinika musi również poinformować swoich klientów o naruszeniu danych „tak szybko, jak to możliwe”. Jednak organizacja badawcza Population Survey Netherlands dowiedziała się o naruszeniu dopiero w zeszłym tygodniu, miesiąc po incydencie.

Jak podają źródła, opóźnienie miało związek z łapówką dla grupy ransomware Nova, mającą na celu uniemożliwienie publikowania większej ilości danych w darknecie.

Ponadto żadna z kobiet znajdujących się na liście nie została jeszcze oficjalnie powiadomiona przez Clinical Diagnostics.

Śledztwo AP będzie musiało wykazać, czy klinika naruszyła zasady ochrony prywatności. Definicja „jak najszybciej” zależy od kilku czynników, w tym liczby osób, które należało powiadomić, rodzaju skradzionych danych oraz dostępnych środków komunikacji, powiedział rzecznik AP stacji NOS.

„Wciąż mamy wiele pytań, na które chcemy szybko uzyskać odpowiedź. Co się stało? Kiedy o tym poinformowano? Co się działo w międzyczasie?” – powiedział.

Firma Clinical Diagnostics poinformowała, że osoby dotknięte atakiem hakerskim otrzymają list najpóźniej 19 sierpnia. Firma oficjalnie powiadomi również lekarzy rodzinnych znajdujących się na liście.

Jeśli okaże się, że klinika naruszyła przepisy o ochronie prywatności, może zostać ukarana grzywną w wysokości do 20 milionów euro lub 4% swoich przychodów. W zależności od powagi naruszenia, firmom może zostać zakazane przetwarzanie określonych kategorii danych osobowych.

Kobiety, których dane zostały skradzione, mogą paść ofiarą przestępców i być narażone na kradzież tożsamości.

W kolejnym złowrogim zwrocie akcji, RTL Nieuws odkryło, że niektóre kobiety z listy mieszkały w schronisku dla kobiet. Oprócz ich imion i nazwisk oraz numerów identyfikacyjnych, wśród zhakowanych danych znalazł się również adres schroniska.