Agência de proteção de dados AP iniciará investigação sobre violação de dados de clínicas

O órgão de fiscalização de privacidade holandês Autoriteit Persoonsgegevens (AP) iniciou uma investigação sobre o tratamento de uma grave violação de dados no laboratório de processamento de testes Clinical Diagnostics, que afetou quase meio milhão de pessoas.

Entre os dados hackeados estavam os resultados de exames em massa para câncer cervical de 485.000 mulheres, números de identidade, nomes e endereços, incluindo os de médicos de família e outros profissionais. Dados pessoais de mais de 50.000 pessoas foram encontrados à venda na dark web.

As empresas têm o dever legal de informar a AP sobre uma invasão em até 72 horas. A Clinical Diagnostics afirmou ter relatado a violação a tempo, mas a AP não confirmou isso, afirmando que "não comenta sobre uma investigação em andamento".

A clínica também deve informar seus clientes sobre qualquer violação de dados "o mais breve possível". No entanto, a organização de triagem Population Survey Netherlands só foi informada sobre a violação na semana passada, um mês após o incidente.

O atraso teria sido vinculado a um pagamento ao grupo de ransomware Nova para evitar que mais dados aparecessem na dark web.

Além disso, nenhuma das mulheres na lista foi oficialmente notificada pela Clinical Diagnostics até agora.

A investigação da AP terá que demonstrar se a clínica violou as regras de privacidade. A definição de "o mais rápido possível" depende de vários fatores, incluindo quantas pessoas precisam ser informadas, o tipo de dados roubados envolvidos e os meios de comunicação disponíveis, disse um porta-voz da AP à emissora NOS.

“Ainda temos muitas perguntas para as quais queremos uma resposta, e logo. O que aconteceu? Quando foi relatado? O que aconteceu nesse meio tempo?”, disse ele.

A Clinical Diagnostics informou que os afetados pelo hack receberão uma carta até 19 de agosto. A empresa também informará oficialmente os médicos de família na lista.

Caso seja constatado que a clínica violou as normas de privacidade, poderá ser multada em até € 20 milhões ou 4% de sua receita. Dependendo da gravidade da violação, as empresas poderão ser proibidas de processar determinadas categorias de dados pessoais.

Mulheres cujos dados foram roubados podem se tornar alvos de criminosos e ficar vulneráveis a fraudes de identidade.

Em outra reviravolta sinistra, a RTL Nieuws descobriu que algumas das mulheres da lista moravam em um abrigo para mulheres. Além de seus nomes e números de identidade, o endereço do abrigo também está entre os dados hackeados.