Datenschutzbehörde AP leitet Untersuchung zu Datenleck in Klinik ein

Die niederländische Datenschutzbehörde Autoriteit Persoonsgegevens (AP) hat eine Untersuchung zum Umgang mit einem schwerwiegenden Datenschutzverstoß im Testverarbeitungslabor Clinical Diagnostics eingeleitet, von dem fast eine halbe Million Menschen betroffen waren.

Zu den gehackten Daten gehörten die Ergebnisse der Massenuntersuchungen auf Gebärmutterhalskrebs von 485.000 Frauen, persönliche ID-Nummern sowie Namen und Adressen, darunter auch die von Hausärzten und anderen Fachleuten. Die persönlichen Daten von über 50.000 Personen wurden im Darknet zum Verkauf angeboten.

Unternehmen sind gesetzlich verpflichtet , die AP innerhalb von 72 Stunden über einen Hackerangriff zu informieren. Clinical Diagnostics gab an, den Angriff rechtzeitig gemeldet zu haben. Die AP wollte dies jedoch nicht bestätigen und erklärte, sie „äußere sich nicht zu einer laufenden Untersuchung“.

Die Klinik muss ihre Patienten zudem „so schnell wie möglich“ über einen Datenverstoß informieren. Die Screening-Organisation Population Survey Netherlands wurde jedoch erst letzte Woche, einen Monat nach dem Vorfall, über den Verstoß informiert.

Die Verzögerung stand Berichten zufolge im Zusammenhang mit einer Zahlung an die Ransomware-Gruppe Nova, um zu verhindern, dass noch mehr Daten im Darknet auftauchen.

Darüber hinaus wurde bisher keine der Frauen auf der Liste offiziell von Clinical Diagnostics benachrichtigt.

Die Untersuchung der AP wird zeigen müssen, ob die Klinik gegen Datenschutzbestimmungen verstoßen hat. Die Definition von „so schnell wie möglich“ hänge von mehreren Faktoren ab, darunter davon, wie viele Personen informiert werden müssten, um welche Art von gestohlenen Daten es sich handelte und welche Kommunikationsmittel zur Verfügung standen, sagte ein AP-Sprecher dem Sender NOS.

„Wir haben noch viele Fragen, auf die wir bald eine Antwort wollen. Was ist passiert? Wann wurde es gemeldet? Was ist in der Zwischenzeit passiert?“, sagte er.

Clinical Diagnostics teilte mit, dass die vom Hack Betroffenen spätestens am 19. August einen Brief erhalten werden. Auch die auf der Liste stehenden Hausärzte werden offiziell informiert.

Sollte die Klinik gegen Datenschutzbestimmungen verstoßen, drohen ihr Geldbußen von bis zu 20 Millionen Euro oder vier Prozent ihres Umsatzes. Je nach Schwere des Verstoßes kann den Unternehmen die Verarbeitung bestimmter Kategorien personenbezogener Daten untersagt werden.

Frauen, deren Daten gestohlen wurden, könnten ins Visier von Kriminellen geraten und Opfer von Identitätsbetrug werden.

Eine weitere unheilvolle Wendung: RTL Nieuws fand heraus, dass einige der Frauen auf der Liste in einem Frauenhaus lebten. Neben ihren Namen und Ausweisnummern befand sich auch die Adresse des Hauses unter den gehackten Daten.