醫療軟件公司因泄露近50萬患者敏感數據被罰款150萬歐元

近日，法國數據保護監管機構 （CNIL）根據歐盟《通用數據保護條例》（GDPR）相關條款，對醫療軟件供應商 Dedalus Biology 處以了150 萬歐元的罰款。

Dedalus Biology在法國為數千個醫學分析實驗室提供服務，其因泄露了來自28個實驗室的491939名患者的敏感信息而遭處罰。

該數據庫已在網絡上傳播，泄露了患者的以下多項詳細信息：

姓名、社會安全號碼、處方醫生姓名、檢查日期、醫療信息（如艾滋病、癌癥、遺傳疾病等患病情況，懷孕與否，患者后續藥物治療以及遺傳信息等）。

這些信息在互聯網上被廣泛傳播，導致Dedalus Biology的客戶面臨著被社會工程學網絡釣魚、詐騙甚至勒索的風險。

數據庫泄漏的跡象最早表露在2020年3月，法國國家網絡安全局ANSSI于2020年11月向其中一個遭泄露的實驗室發出了相關警報。

2021年2月，法國雜志ZATAZ在暗網上找到了該數據庫的銷售情況，并確認泄露數據是真實有效的。

處罰詳情：

Dedalus Biology首先違反了GDPR的第29條，即未能遵守管理者的指示。具體來說，是在應兩個醫學實驗室的要求從另一個供應商進行軟件遷移的過程中，Dedalus Biology提取了比所需更多的信息。

第二項違規行為涉及的是GDPR第32條，該條款規定數據處理者應對未能保護信息負責。但CNIL經調查發現Dedalus Biology存在以下問題：

缺乏數據遷移操作的具體程序；

對存儲在存在問題的服務器上的個人數據缺乏加密；

遷移到其他軟件后沒有自動刪除數據；

缺乏從互聯網訪問服務器公共區域所需的身份驗證；

在服務器的專用區域使用多個員工共享的用戶帳戶；

服務器上沒有監控程序和安全警報升級。

最后，Dedalus Biology違反了GDPR第28條，根據條款，DedalusBiology負有代表管理者（實驗室）為數據處理提供正式合同或法律行為的義務。

對于Dedalu Biology的上述違規行為，CNIL決定對其處以150萬歐元（158萬美元）的罰款，罰款數額的根據是侵權行為的嚴重性，這個數字由公司年收入的10%計算得來。

另外，盡管Dedalus Biology表達了與CNIL的調查人員合作從而獲得更寬松的處罰的意愿，但數據保護辦公室指出，該公司沒有采取任何措施來限制泄露數據的線上傳播，因此沒有理由減輕處罰。