法国一医疗软件公司因泄露49万患者数据被罚150万欧元

近日，法国法国监管机构国家信息与自由委员会(CNIL)对医疗软件供应商迪达勒斯生物公司(Dedalus Biology)处以150万欧元的医疗因泄元罚款，原因是软件该公司违反了通用数据保护条例(GDPR)中的三条规定。

在法国国内，公司Dedalus生物公司为数千家医学实验室提供服务。露万这次，数据公司因泄露患者的被罚敏感信息而被罚款，而本次的法国信息泄露共涉及28家实验室的491,939名患者。

患者遭到泄露的医疗因泄元信息包括以下内容：

由于这些信息已经在互联网上被广泛分享，被罚Dedalus生物公司的法国客户正面临社会工程攻击、网络钓鱼、诈骗甚至敲诈的风险。

其实，数据库泄漏的迹象最早在2020年3月就已经出现了苗头，WordPress模板同年11月，法国国家网络安全局(ANSSI)向其中一个实验室发出了相关警报。

2021年2月，法国杂志《ZATAZ》在暗网上发现了一笔特定数据集的销售记录，并核实了该信息的有效性。

Dedalus生物公司违反了通用数据保护条例的第29条：未能遵守管理员指示。具体地说，就是应两个医学实验室要求从不同供应商的软件迁移过程中，Dedalus生物公司提取了超出所需的信息。

第二项违规涉及通用数据保护条例的第32条，该条款规定，数据处理者应对未能保护信息的情况负有责任。国家信息与自由委员会的调查发现了以下相关问题:

违反的第三条条款是IT技术网第28条，它涵盖了代表管理员(实验室)提供正式合同或法律行为进行数据处理的义务。

对于上述违规行为，法国国家信息与自由委员会最终决定对公司处以150万欧元(约合158万美元)罚款的处罚，这相当于该公司年收入的10%。

尽管公司方面希望出于其对委员会调查人员的配合态度而从轻处罚，但数据保护办公室指出，公司后续并没有采取措施限制泄漏的数据在网络传播，因此很难减轻处罚。

截至目前，Dedalus生物公司方面尚未对国家信息与自由委员会的处罚决定发表任何评论。

与此同时，法国国家信息与自由委员会目前正在调查另一起由保险供应商LAssurance Maladie 报告的510,000名法国人的敏感医疗保险信息遭泄露的案件。

根据该公司公开的细节显示，19名医生在使用其在线信息门户网站时受到钓鱼攻击，从而致使黑客能够访问敏感的患者信息。

参考来源：https://www.bleepingcomputer.com/news/security/medical-software-firm-fined-15m-for-leaking-data-of-490k-patients/

最新评论