L'agence de surveillance de la vie privée AP va lancer une enquête sur la violation des données cliniques

L'organisme néerlandais de surveillance de la vie privée Autoriteit Persoonsgegevens (AP) a ouvert une enquête sur la gestion d'une grave violation de données au laboratoire de traitement de tests Clinical Diagnostics, qui a touché près d'un demi-million de personnes.

Parmi les données piratées figuraient les résultats du dépistage massif du cancer du col de l'utérus de 485 000 femmes, ainsi que les numéros d'identification personnels et les noms et adresses, y compris ceux de médecins de famille et d'autres professionnels. Les données personnelles de plus de 50 000 personnes ont été retrouvées en vente sur le dark web.

Les entreprises ont l' obligation légale d'informer l'AP d'un piratage dans les 72 heures. Clinical Diagnostics a déclaré avoir signalé la violation à temps, mais l'AP n'a pas souhaité le confirmer, précisant qu'elle « ne commente pas une enquête en cours ».

La clinique doit également informer ses clients d'une violation de données « dans les meilleurs délais ». Cependant, l'organisme de dépistage Population Survey Netherlands n'a été informé de la violation que la semaine dernière, un mois après l'incident.

Le retard serait lié à un versement de rançon au groupe de ransomware Nova pour empêcher l'apparition de davantage de données sur le dark web.

De plus, aucune des femmes figurant sur la liste n’a été officiellement notifiée par Clinical Diagnostics jusqu’à présent.

L'enquête menée par l'AP devra déterminer si la clinique a enfreint les règles de confidentialité. La définition de « dès que possible » dépend de plusieurs facteurs, notamment le nombre de personnes à informer, le type de données volées et les moyens de communication disponibles, a déclaré un porte-parole de l'AP à la chaîne NOS.

« Nous avons encore de nombreuses questions auxquelles nous attendons des réponses rapidement. Que s'est-il passé ? Quand l'incident a-t-il été signalé ? Que s'est-il passé entre-temps ? » a-t-il déclaré.

Clinical Diagnostics a déclaré que les personnes touchées par le piratage recevront une lettre au plus tard le 19 août. Elle informera également officiellement les médecins de famille figurant sur la liste.

Si la clinique est reconnue coupable d'avoir enfreint la réglementation relative à la protection de la vie privée, elle pourrait se voir infliger une amende pouvant atteindre 20 millions d'euros ou 4 % de son chiffre d'affaires. Selon la gravité de l'infraction, les entreprises pourraient se voir interdire de traiter certaines catégories de données personnelles.

Les femmes dont les données ont été volées pourraient être ciblées par des criminels et être vulnérables à une fraude d’identité.

Autre rebondissement sinistre, RTL Nieuws a découvert que certaines des femmes figurant sur la liste vivaient dans un refuge pour femmes. Outre leurs noms et numéros d'identification, l'adresse du refuge figure également parmi les données piratées.