法国一家医疗软件公司因泄露49万患者数据被罚款150万欧元该公司因违反通用数据保护条例(GDPR)的三项规定而被处以欧元罚款。在法国,DedalusBio为数以千计的医学实验室提供服务。此次,该公司因泄露患者敏感信息被罚款,涉及28个实验室的491939名患者。被泄露的患者信息包括以下内容:全名社会安全号码开处方的医生姓名体检日期医疗信息,例如HIV状态、癌症、遗传病、怀孕、临床治疗等遗传信息(针对某些患者)由于这些信息已在互联网上广泛共享,DedalusBio的客户面临着社会工程攻击、网络钓鱼、诈骗甚至勒索的风险。事实上,早在2020年3月就出现了数据库泄露的迹象。同年11月,法国国家网络安全局(ANSSI)向其中一家实验室发出了相关警报。2021年2月,法国杂志《ZATAZ》在暗网上发现了一条特定数据集的销售记录,并验证了该信息的有效性。制裁详情DedalusBio违反了《通用数据保护条例》第29条:未能遵守管理员的指示。具体来说,在应两个医学实验室的要求从不同供应商迁移软件的过程中,DedalusBiologics提取了超出需要的信息。第二个违规行为涉及《通用数据保护条例》第32条,其中规定数据处理者对未能保护信息负有责任。NIFO的调查发现了以下相关问题:缺乏数据迁移操作的特定程序;存储在有问题的服务器上的个人数据缺乏加密;迁移到其他软件后不会自动删除数据;无法访问服务器公共区域的Internet需要身份验证;在服务器的专用区域中使用多个员工共享的用户帐户;服务器上没有监督程序和安全警报升级。违反的第三个条款是第28条,其中规定了代表控制者(实验室)提供数据处理的正式合同或法律行为的义务。对于上述违规行为,法国国家信息与自由委员会最终决定对该公司处以150万欧元(约合158万美元)的罚款,相当于该公司年收入的10%。虽然该公司因配合证监会调查人员而希望获得较轻的处罚,但数据保护办公室指出,该公司并未采取措施限制泄露数据在互联网上的传播,因此很难减轻处罚.截至目前,DedalusBiologicalCompany尚未就国家信息与自由委员会的处罚决定发表任何评论。类似案例与此同时,法国CNIL目前正在调查另一起由保险公司L'AssuranceMaladie报告的案件,该案件涉及510,000名法国人的敏感医疗保险信息被泄露。根据该公司发布的详细信息,19名医生在使用其在线信息门户网站时遭到网络钓鱼攻击,从而使黑客能够访问敏感的患者信息。参考来源:https://www.bleepingcomputer.com/news/security/medical-software-firm-fined-15m-for-leaking-data-of-490k-patients/
