1
Április
2020
A
Adminisztrátor

Adatvédelmi incidens a holland egészségügyben

Blog
bírságincidensegészségügykülönleges adatpendrive
A holland államigazgatás elveszített két merevlemezt, amelyek összesen 6,9 millió holland donor adatait tartalmazzák. Olyan személyes adatokat tároltak a merevlemezeken, mint a nevek, címek, születési idők, társadalombiztosítási számok, stb. A lemezeket valószínűleg nem titkosították.

Az esetről Hugo de Jonge egészségügyi miniszter adott tájékoztatás a képviselőháznak címzett levelében. Az esetet a BRIC, a holland donor-nyilvántartást kezelő minisztérium végrehajtó testülete jelentette.


A hatóság az incidenst akkor fedezte fel, amikor megsemmisítették a donor-nyilvántartások papír-archívumát, és keresték volna azok digitális mentését. A két merevlemezt, amelyen a biztonsági másolatokat tárolták, egy széfben helyezték el, vagy legalábbis azt hitték. A lemezek 6,9 millió donor kiválasztási űrlapjának digitalizált másolatát tartalmazzák, és azokat az embereket érinti, akik 1998. februárja és 2010. júniusa között regisztráltak a nyilvántartásba. A lemezeket nem titkosították!


A lemezekre akkor kerültek az adatok, amikor a BRIC digitalizációs projektet indított 2011-ben, mely során átálltak a papír alapú eljárásról digitálisra.

"Arra a következtetésre kell jutnunk, hogy ezeknek a hiányzó külső merevlemezeknek a kezelése az évek során gondatlan volt. A meglévő biztonsági protokollokat és utasításokat nem teljesítették kellőképpen" – írja a BRIC. Elmondása szerint a nyomtatványok egyébként nem tartalmaznak a GDPR szerinti „különleges" személyes adatokat.

Még nincs arra utaló jel, hogy az adatokat bármilyen céllal felhasználták volna, vagy rossz kezekbe kerültek. A BRIC jelentette az adatvédelmi incidenst a holland adatvédelmi hatóságnak, valamint belső vizsgálatot indított és szigorítja a biztonsági protokollokat.

Az incidens kísértetiesen emlékeztet egy magyar esetre, amikor a Budapesti Rendőr-főkapitányság veszített el egy személyes adatokat tartalmazó pendriveot rendőrségi alkalmazottak adataival, melyért a NAIH 5.000.000,- Ft bírságot szabott ki. Nagy különbség azonban a két ügy között, hogy a BRFK-nak akkora szerencséje volt, hogy a határozat nyilvánosságra hozatalát követő néhány napon belül meg is találták a pendriveot egy rendőrautóban.

Ami viszont hasonlóság a két ügyben, hogy nem voltak megfelelő védelemmel ellátva az adathordozók. Ha valaki személyes adatokat tárol digitális adathordozón, akkor minden esetben szükséges azt megfelelő védelemmel, titkosítással ellátni, ezzel ugyanis lényegesen csökkenthető a hasonló incidensek esetén az adatvédelmi kockázat. Megfelelő titkosítás esetén az elveszített pendriveon vagy merevelemezen tárolt adatokhoz illetéktelen személyek nem férhetnek hozzá, így azokat nem is ismerhetik meg.

Források:
https://bit.ly/3afhscF

https://naih.hu/files/NAIH-2019-2471-hatarozat.pdf

Kapcsolódó blogbejegyzések
További információra lenne szüksége?
Keressen minket bizalommal!