Adatvédelmi incidens a holland egészségügyben

április 24, 2020
Cikkek, GDPR incidens

A holland államigazgatás elveszített két merevlemezt, amelyek összesen 6,9 millió holland donor adatait tartalmazzák. Olyan személyes adatokat tároltak a merevlemezeken, mint a nevek, címek, születési idők, társadalombiztosítási számok, stb. A lemezeket valószínűleg nem titkosították.

Legalábbis erről ad tájékoztatás Hugo de Jonge egészségügyi miniszter a képviselőháznak címzett levelében. Az esetet a BRIC, a holland donor-nyilvántartást kezelő minisztérium végrehajtó testülete jelentette.

A hatóság az incidenst akkor fedezte fel, amikor megsemmisítették a donor-nyilvántartások papír-archívumát, és keresték volna azok digitális mentését. A két merevlemezt, amelyen a biztonsági másolatokat tárolták, egy széfben helyezték el, vagy legalábbis azt hitték. A lemezek 6,9 millió donor kiválasztási űrlapjának digitalizált másolatát tartalmazzák, és azokat az embereket érinti, akik 1998. februárja és 2010. júniusa között regisztráltak a nyilvántartásba. A lemezeket nem titkosították!

A lemezekre akkor kerültek az adatok, amikor a BRIC digitalizációs projektet indított 2011-ben, mely során átálltak a papír alapú eljárásról digitálisra.

“Arra a következtetésre kell jutnunk, hogy ezeknek a hiányzó külső merevlemezeknek a kezelése az évek során gondatlan volt. A meglévő biztonsági protokollokat és utasításokat nem teljesítették kellőképpen” – írja a BRIC. Elmondása szerint a nyomtatványok egyébként nem tartalmaznak a GDPR szerinti „különleges” személyes adatokat.

Még nincs arra utaló jel, hogy az adatokat bármilyen céllal felhasználták volna, vagy rossz kezekbe kerültek. A BRIC jelentette az adatvédelmi incidenst a holland adatvédelmi hatóságnak, valamint belső vizsgálatot indított és szigorítja a biztonsági protokollokat.

Az incidens kísértetiesen emlékeztet egy magyar esetre, amikor a Budapesti Rendőr-főkapitányság veszített el egy személyes adatokat tartalmazó pendriveot rendőrségi alkalmazottak adataival, melyért a NAIH 5.000.000,- Ft bírságot szabott ki. Nagy különbség azonban a két ügy között, hogy a BRFK-nak akkora szerencséje volt, hogy a határozat nyilvánosságra hozatalát követő néhány napon belül meg is találták a pendriveot egy rendőrautóban.

Ami viszont hasonlóság a két ügyben, hogy nem voltak megfelelő védelemmel ellátva az adathordozók. Ha valaki személyes adatokat tárol digitális adathordozón, akkor minden esetben szükséges azt megfelelő védelemmel, titkosítással ellátni, ezzel ugyanis lényegesen csökkenthető a hasonló incidensek esetén az adatvédelmi kockázat. Megfelelő titkosítás esetén az elveszített pendriveon vagy merevlemezen tárolt adatokhoz illetéktelen személyek nem férhetnek hozzá, így azokat nem is ismerhetik meg.

Ismét asztalon az internetes cookiek kérdése

A Francia Hatóság reakciója a British Airways és Marriott bírságokra

A callcenterekben végzett hívásrögzítés adatvédelmi kérdései