Gizlilik gözlemcisi AP, klinik veri ihlaliyle ilgili soruşturma başlatacak

Hollandalı gizlilik gözlemcisi Autoriteit Persoonsgegevens (AP), yaklaşık yarım milyon kişiyi etkileyen test işleme laboratuvarı Clinical Diagnostics'teki ciddi veri ihlalinin ele alınmasıyla ilgili bir soruşturma başlattı.

Ele geçirilen veriler arasında 485.000 kadının rahim ağzı kanseri için toplu tarama sonuçları, kişisel kimlik numaraları, aile hekimleri ve diğer profesyonellerin isimleri ve adresleri de yer alıyordu. 50.000'den fazla kişinin kişisel verilerinin karanlık ağda satışa sunulduğu tespit edildi.

Şirketlerin, bir saldırıyı 72 saat içinde AP'ye bildirme yasal yükümlülüğü bulunmaktadır. Clinical Diagnostics, ihlali zamanında bildirdiğini, ancak AP'nin "devam eden bir soruşturma hakkında yorum yapmadığını" belirterek bunu doğrulamadığını belirtti.

Klinik ayrıca müşterilerini veri ihlali konusunda "en kısa sürede" bilgilendirmek zorundadır. Ancak, tarama kuruluşu Population Survey Netherlands, ihlalden ancak geçen hafta, yani olayın meydana gelmesinden bir ay sonra haberdar edildi.

Gecikmenin, karanlık ağda daha fazla verinin görünmesini engellemek için fidye yazılımı grubu Nova'ya yapılan bir ödemeyle bağlantılı olduğu bildirildi.

Ayrıca, listede yer alan kadınların hiçbiri şu ana kadar Klinik Tanılar tarafından resmi olarak bilgilendirilmedi.

AP'nin soruşturması, kliniğin gizlilik kurallarını ihlal edip etmediğini ortaya koymak zorunda kalacak. AP sözcüsü, yayıncı NOS'a verdiği demeçte, "en kısa sürede" ifadesinin tanımının, kaç kişinin bilgilendirilmesi gerektiği, çalınan verilerin türü ve mevcut iletişim araçları gibi çeşitli faktörlere bağlı olduğunu söyledi.

"Hâlâ cevabını beklediğimiz birçok sorumuz var ve bunların en kısa sürede yanıtlanmasını istiyoruz. Ne oldu? Ne zaman bildirildi? Bu arada neler yaşandı?" dedi.

Clinical Diagnostics, saldırıdan etkilenenlere en geç 19 Ağustos'ta bir mektup gönderileceğini açıkladı. Ayrıca listedeki aile hekimlerine de resmi olarak bilgi verilecek.

Kliniğin gizlilik düzenlemelerini ihlal ettiği tespit edilirse, 20 milyon avroya veya gelirinin %4'üne kadar para cezasına çarptırılabilir. İhlalin ciddiyetine bağlı olarak, şirketler belirli kategorilerdeki kişisel verileri işlemekten men edilebilir.

Verileri çalınan kadınlar suçluların hedefi haline gelebilir ve kimlik hırsızlığına karşı savunmasız kalabilir.

Bir başka ürkütücü gelişme ise, RTL Nieuws'un listedeki bazı kadınların bir kadın sığınma evinde yaşadığını ortaya çıkarması oldu. İsimleri ve kimlik numaralarının yanı sıra, sığınma evinin adresi de ele geçirilen veriler arasındaydı.