Агентство по надзору за конфиденциальностью AP начинает расследование утечки данных клиник

Голландский орган по надзору за конфиденциальностью Autoriteit Persoonsgegevens (AP) начал расследование в связи с серьезной утечкой данных в лаборатории обработки тестов Clinical Diagnostics, которая затронула почти полмиллиона человек.

Среди похищенных данных были результаты массового скрининга рака шейки матки у 485 000 женщин, личные идентификационные номера, имена и адреса, включая данные семейных врачей и других специалистов. В даркнете были обнаружены выставленные на продажу персональные данные более 50 000 человек.

Компании обязаны сообщать Associated Press о взломе в течение 72 часов. Clinical Diagnostics заявила, что своевременно сообщила о взломе, но Associated Press не подтвердило эту информацию, заявив, что «не комментирует текущее расследование».

Клиника также обязана сообщать своим клиентам об утечке данных «как можно скорее». Однако организация Population Survey Netherlands, проводящая скрининг, узнала об утечке только на прошлой неделе, спустя месяц после инцидента.

Сообщается, что задержка была связана с выплатой взятки группировке Nova, занимающейся распространением вирусов-вымогателей, с целью не допустить появления дополнительных данных в даркнете.

Кроме того, ни одна из женщин из списка до сих пор не была официально уведомлена Clinical Diagnostics.

Расследование, проводимое агентством Associated Press, должно будет установить, нарушила ли клиника правила конфиденциальности. Определение понятия «как можно скорее» зависит от нескольких факторов, включая количество людей, которых необходимо было оповестить, тип похищенных данных и доступные средства связи, сообщил представитель агентства телеканалу NOS.

«У нас всё ещё много вопросов, на которые мы хотим получить ответы как можно скорее. Что произошло? Когда об этом сообщили? Что происходило за это время?» — сказал он.

В Clinical Diagnostics заявили, что пострадавшие от взлома получат письмо не позднее 19 августа. Компания также официально уведомит семейных врачей из списка.

Если будет установлено, что клиника нарушила правила конфиденциальности, она может быть оштрафована на сумму до 20 миллионов евро или 4% от своего дохода. В зависимости от серьёзности нарушения компаниям может быть запрещено обрабатывать определённые категории персональных данных.

Женщины, чьи данные были украдены, могут стать мишенью для преступников и стать жертвами мошенничества с использованием личных данных.

Ещё один зловещий поворот событий: RTL Nieuws обнаружил, что некоторые женщины из списка жили в женском приюте. Помимо их имён и идентификационных номеров, среди украденных данных был и адрес приюта.