软件目录(www.cnosoft.com)5月26日讯:最近,法国的管理当局全国资讯和自由理事会对迪达勒斯公司(Dedalus Biology)处以一百五十万的罚金,理由是 Dedalus公司违背了 GDPR的三项条款。
在法国, Dedalus公司已经为成千上万的医疗实验室提供了帮助。此次,该公司因为向28个试验室的491,939位病人透露了病人的机密资料而被处以罚金。
关于病人被泄漏的资料如下:
全姓
社保号
医师的名字
体检日期
医学资料,如艾滋病毒状况,癌症,遗传疾病,怀孕,临床治疗等
基因资料(某些病人)
因为该资讯在网路上被大量共享, Dedalus的顾客们将面对社会工程攻击,网络钓鱼,诈骗,甚至勒索。
事实上,在今年十一月,法国的全国互联网安全管理局(ANSSI)将有关的警告发送到了一间实验室。
法国的一家期刊《ZATAZ》在2月份发布了一份关于某一组数据的交易,并证实其真实性。
处罚详情
Dedalus公司违背了公共资料安全规则29条:没有按照管理人员的指令执行。具体来说, Dedalus公司在两家医疗实验室的请求下,将来自于不同的厂商的软件进行移植。
第二条违反与《公共资料保护规则》第32条有关,其中指出,资料处理方须负责资料不受保护的情形。全国新闻和自由理事会的一项研究表明:
没有特定的数据转移作业的计划;
未对存在问题的伺服器中存储的档案进行保密;
不会在移植到其它软体后自动移除资料;
缺少必要的认证以接入因特网的伺服器公用区;
在伺服器专用的地方,由多名雇员共用一个使用者账户;
没有监视和更新的伺服器。
第3条被侵犯的条款是第28条,涉及到有责任替管理者(实验室)提供官方的合约或合法的行动来进行资料的处理。
法国全国资讯及自由理事会最后裁定,公司将被判处一百五十万欧元(约一百五十八万美元)的罚金,占公司每年一年的百分之十。
虽然公司想通过与委员会的调查者合作来获得宽大的惩罚,但是该办事处注意到,该公司随后未对泄露的信息进行任何控制,因而难以减少惩罚。
到现在为止, Dedalus公司还没有就美国情报和自由理事会的处罚做出评论。
相似的情况
同时,法国全国资讯及自由理事会现正对一宗涉及510,000法国民众健康保障资料的保险提供商L'Assurance Maladie进行了一项调查。
公司披露的详细情况表明,19位医师在他们的网上资讯入口中遭到了网络攻击,使得他们得以获取病人的敏感资料。