Otoritas perlindungan data Prancis (CNIL) mendenda vendor perangkat lunak medis Dedalus Biology dengan EUR 1,5 juta karena melanggar tiga pasal GDPR (Peraturan Perlindungan Data Umum).
Dedalus Biology memberikan layanan kepada ribuan laboratorium medis di negara ini dan denda adalah untuk mengekspos rincian sensitif dari 491.939 pasien dari 28 laboratorium.
Basis data bocor secara online dan mengungkapkan detail pasien berikut:
- Nama lengkap
- Nomor KTP
- Nama dokter yang meresepkan
- Tanggal pemeriksaan
- Informasi medis seperti status HIV, kanker, penyakit genetik, kehamilan, perawatan, dll.
- Informasi genetik (dalam beberapa kasus)
Informasi ini telah dibagikan secara luas di internet, sehingga klien Dedalus Biology menghadapi risiko rekayasa sosial, phishing, scammed, dan bahkan pemerasan.
Tanda-tanda pertama kebocoran database muncul sejak Maret 2020, dengan ANSSI mengeluarkan peringatan terkait ke salah satu laboratorium yang terpapar pada November 2020.
Pada Februari 2021, majalah Prancis ZATAZ menemukan penjualan kumpulan data tertentu di web gelap dan mengonfirmasi bahwa informasi itu valid.
Dedalus Biology melanggar pasal 29 undang-undang GDPR, yaitu kegagalan untuk mematuhi instruksi pengontrol. Lebih khusus lagi, selama migrasi dari perangkat lunak vendor yang berbeda, atas permintaan dua laboratorium medis, Dedalus mengekstrak lebih banyak informasi daripada yang dibutuhkan.
Pelanggaran kedua menyangkut pasal 32 GDPR, yang membuat pemroses data bertanggung jawab atas kegagalan mengamankan informasi.
Pasal ketiga GDPR yang dilanggar adalah nomor 28, yang mencakup kewajiban untuk memberikan kontrak formal atau tindakan hukum untuk pemrosesan data atas nama pengontrol (laboratorium).
Untuk pelanggaran di atas, CNIL memutuskan untuk mengenakan denda sebesar 1,5 juta Euro ($ 1,58 juta), dihitung sebagai 10% dari pendapatan tahunan perusahaan.
Meskipun Dedalus berharap untuk menerima hukuman yang lebih ringan berdasarkan kesediaannya untuk berkolaborasi dengan penyelidik CNIL, kantor perlindungan data mencatat bahwa perusahaan tidak mengambil langkah untuk membatasi penyebaran data yang bocor secara online, sehingga tidak ada dasar untuk mengenali faktor-faktor yang meringankan.
Sumber: Bleeping Computer
