O Watchdog Dutch Watchdog Autoriteit Persoonsgegevens (AP) iniciou uma investigação sobre o tratamento de uma grave violação de dados no Test Processing Lab Clinical Diagnostics, que afetou quase meio milhão de pessoas.
Entre os dados hackeados estavam os resultados da tela de massa para câncer do colo do útero de 485.000 mulheres, números de identificação pessoal e nomes e endereços, incluindo os de médicos de família e outros profissionais. Os dados pessoais de mais de 50.000 pessoas foram encontrados oferecidos para venda na Web Dark.
As empresas têm o dever legal de informar o AP de um hack em 72 horas. A Clínica Diagnósticos disse que relatou a violação a tempo, mas a AP não confirmou isso, dizendo que “não comentou uma investigação em andamento”.
A clínica também deve informar seus clientes sobre uma violação de dados “um mais rápido possível”. No entanto, a organização de triagem Bevolkingsonderzoek Nederland só foi informada sobre a violação na semana passada, um mês após o incidente ter ocorrido.
O atraso estava vinculado a uma recompensa ao Ransomware Group Nova para impedir que mais dados apareçam na Web Dark.
Além disso, nenhuma das mulheres da lista foi oficialmente notificada por diagnósticos clínicos até agora.
Regras complicadas
A investigação da AP terá que mostrar se a clínica quebrou regras de privacidade. A definição de “o mais rápido possível” depende de vários fatores, incluindo quantas pessoas precisavam ser informadas, o tipo de dados roubados envolvidos e os meios de comunicação disponíveis, disse um porta -voz da AP à emissora nos.
“Ainda temos muitas perguntas para as quais queremos uma resposta e em breve. O que aconteceu? Quando foi relatado? O que aconteceu nesse meio tempo?” Ele disse.
O diagnóstico clínico disse que os afetados pelo hack receberão uma carta o mais tardar em 19 de agosto. Ele também informará oficialmente os médicos da família na lista.
Se a clínica tiver violação dos regulamentos de privacidade, ela pode ser multada em até 20 milhões de euros ou 4% de sua receita. Dependendo da seriedade da violação, as empresas podem ser proibidas de processar determinadas categorias de dados pessoais.
Mulheres cujos dados foram roubados podem ser alvo de criminosos e serem vulneráveis à fraude de identidade.
Em outra reviravolta sinistra, a RTL Nieuws descobriu que algumas das mulheres da lista viviam em um abrigo para mulheres. Além de seus nomes e números de identificação, o endereço do abrigo também está entre os dados invadidos.