Obowiązek informacyjny rodo

KOMPAS FORSAFE 2022/34

Kraj:

Holandia

Data wydania decyzji:

11.02.2021 r.

Podmiot kontrolowany:

OLVG

Wysokość kary (EUR):

440.000

Podstawa prawna naruszenia

Art. 32 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

 

Przyczyna naruszenia

Stwierdzono, że Stichting OLVG nie spełniło wymogów dotyczących dwuskładnikowej autoryzacji oraz regularnej kontroli logów. W wyniku tego, OLVG nie podjęło odpowiednich środków technicznych i organizacyjnych w celu zapewnienia odpowiedniego poziomu bezpieczeństwa przetwarzanych danych osobowych.

 

Opis wydarzeń

  1. Wprowadzenie:
    • Stichting OLVG to szpital kliniczny w Amsterdamie, który obsługuje rocznie około 500 000 pacjentów.
    • Holenderski organ nadzorczy (AP) otrzymał dwa zgłoszenia o naruszeniu danych dotyczących dostępu pracowników i studentów do elektronicznych kartotek pacjentów.
  2. Proces dochodzenia:
    • 17 kwietnia 2019 roku AP ogłosiło rozpoczęcie dochodzenia i skierowało pytania do OLVG.
    • 22 maja 2019 roku przeprowadzono inspekcję na miejscu w OLVG, podczas której zademonstrowano system informatyczny szpitala.
    • 10 lutego 2020 roku AP przesłało raport z wynikami dochodzenia do OLVG.
    • 27 marca 2020 roku OLVG przedstawiło swoje stanowisko na piśmie, a 25 czerwca 2020 roku ustnie.
  3. Stwierdzone naruszenia:
    • Dwuskładnikowa autoryzacja: Pracownicy OLVG mogli uzyskać dostęp do systemu szpitalnego jedynie za pomocą nazwy użytkownika i hasła, bez dodatkowego składnika autoryzacji (np. karty pracowniczej lub tokena).
    • Kontrola logów: OLVG nie przeprowadzało regularnych kontroli logów, co uniemożliwiało wykrywanie nieautoryzowanego dostępu do danych pacjentów.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Wdrożenie dwuskładnikowej autoryzacji: Zaleca się, aby dostęp do systemu informatycznego lub aplikacji był możliwy tylko po uwierzytelnieniu za pomocą co najmniej dwóch składników (np. nazwa użytkownika i hasło oraz karta pracownicza).
  2. Regularna kontrola logów: Należy wprowadzić systematyczne i regularne kontrole logów, aby wykrywać i reagować na nieautoryzowany dostęp do danych osobowych.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO