Крупнейшие больницы пока не получали претензий от пострадавших из-за утечки данных

Клиника Тартуского университета, Северо-Эстонская региональная больница и Ида-Таллиннская центральная больница проинформировали тех, чьи данные были незаконно скачаны из базы данных биотехнологической компании Asper Biogene, о праве подать иск против больницы, но пока никто этого не сделал.
В четверг стало известно, что около 10 000 файлов, содержащих данные о состоянии здоровья, были незаконно скачаны из базы данных занимающейся генетическим тестированием компании Asper Biogene, в числе которых, как теперь выяснилось, были тесты на отцовство и фертильность, некоторые из которых просты для понимания и напрямую связаны с конкретным человеком.
Больницы также проинформировали о случившемся пациентов, пострадавших от утечки данных. Северо-Эстонская региональная больница (PERH) сообщила пострадавшим, что им следует очень внимательно относиться к получаемым электронным письмам.
"Если вы получили электронное письмо, которое, по-видимому, касается вашего здоровья, обратите особое внимание на то, чтобы убедиться, что отправителем действительно является ваш врач или представитель больницы, а не незнакомец, притворяющийся им. Пожалуйста, не нажимайте на ссылки и не открывайте вложения, если вы полностью не уверены, что отправитель письма тот, кем он кажется", - рекомендовала больница.
Кроме того, PERH рекомендовал обращаться в полицию в случае поступления содержащих шантаж обращений и предложил пострадавшим возможность узнать, какие именно их данные были незаконно скачены на основании подписанного цифровой подписью заявления.
Если в результате утечки данных будет причинен ущерб, PERH рекомендовал связаться с больницей по электронной почте и сообщить о характере и масштабах ущерба.
Административный директор PERH Айви Кару сообщила ERR, что каждый человек, чьи права были нарушены, имеет право требовать справедливой компенсации причиненного ему ущерба в соответствии с действующими в Эстонии законами.
"Особые виды персональных данных, попадающие в чужие руки, могут привести к реальному ущербу, но сегодня мы пока не можем точно сказать, как в данном случае утечка данных повлияет на жизнь людей. Для каждого человека последствия различны, а значит, компенсация за возможный ущерб должна оцениваться индивидуально", - сказала она.
Кару добавила, что пока претензий в больницу в связи с утечкой данных из Asper Biogene не поступало, но в больнице не исключают, что они могут быть получены в будущем.
Специалист по защите данных Клиники Тартуского университета Прийт Пийри также подтвердил, что они проинформировали пострадавших пациентов о праве подать иск о возмещении ущерба, но иски пока не поступали.
"Все претензии о возмещении ущерба Клиника рассматривает исходя из обстоятельств конкретного случая", - ответил Пийри на вопрос, готовы ли они выплатить людям компенсацию.
Ида-Таллиннская центральная больница (ITK) сообщила пациентам, чьи медицинские данные были незаконно скачаны, что если кража данных причинила им материальный или нематериальный ущерб, они могут сообщить об этом в больницу.
"ITK рассматривает и компенсирует предъявленные претензии о возмещении ущерба в соответствии с требованиями, вытекающими из законодательства, при необходимости привлекая к процессу возмещения страховую компанию. На данный момент мы не получали никаких претензий", - заявила руководитель отдела коммуникаций и маркетинга Инге Судер.
Произошедшая утечка данных может стать первым в Эстонии крупным процессом по защите данных
По словам адвоката по вопросам технологий и защиты данных Ристо Хюбнера, клиенты Asper Biogene также несут ответственность за утечку данных, и это может стать первым крупным процессом по защите данных в Эстонии, сопровождающимся рядом судебных исков и исков о возмещении ущерба. По его словам, ответственность за ущерб несут также учреждения здравоохранения, воспользовавшиеся услугами Asper Biogene.
"Скаченные файлы содержали исключительно конфиденциальные данные, раскрытие которых может нанести серьезный ущерб людям", — сказал Хюбнер. "Согласно закону, поставщики медицинских услуг несут ответственность за всю цепочку поставок, то есть медицинские учреждения, чьи данные о пациентах были украдены из Asper Biogene, также несут ответственность".
По данным Инспекции по защите данных, утечка данных касается 42 учреждений здравоохранения, в том числе нескольких крупных больниц и других компаний, которые пользовались услугами Asper Biogene.
"В Эстонии не было прецедента такой крупной утечки данных, но Инспекции по защите данных, скорее всего, придется инициировать надзорную процедуру и в отношении клиентов Asper Biogene", - сказал Хюбнер. "Необходимо уточнить, сделали ли клиенты Asper Biogene, данные пациентов которых были незаконно скачены, все необходимое для защиты в качестве ответственного обработчика персональных данных".
Адвокат отметил, что Общий регламент по защите данных Европейского Союза, известный как GDPR, обязывает ответственного обработчика персональных данных обеспечить необходимые меры для безопасного обращения с ними. Обработчики персональных данных, в данном случае, например, больницы, должны быть в состоянии доказать, что они приняли необходимые технические и организационные меры для защиты данных.
"Например, сложно рассматривать передачу персональных данных в незашифрованном виде как достаточную меру, а это означает, что больницы, вероятно, окажутся в числе соответственных лиц", — сказал Хюбнер.
Он добавил, что Суд Евросоюза в опубликованном в четверг решении установил, что даже страх человека перед возможным неправомерным использованием его утекших персональных данных может рассматриваться как моральный ущерб и являться основанием для иска о возмещении ущерба.
По мнению Хюбнера, этот случай аналогичен недавней утечке данных в Финляндии, закончившейся банкротством медицинской компании Vastaamo, которая из-за преступников потеряла данные 2000 пациентов
По словам генерального директора Инспекции по защите данных Пилле Лехис, среди незаконно скачанных данных из базы данных Asper Biogene, есть аналитические ответы с именем человека, личным идентификационным кодом и т.п., а также документы в формате PDF, некоторые из которых также очень легко расшифровать. Временной интервал утечки данных охватывает период с 2009 года по сегодняшний день, всего в результате были скачаны 33 гигабайта данных.
В середине ноября Asper Biogene сообщила полиции, Департаменту государственной инфосистемы и Инспекции по защите данных, что 11 ноября компания узнала, что кто-то незаконно взломал их базу данных и скачал различные файлы. Для выяснения обстоятельств полиция возбудила уголовное дело, а Инспекция по защите данных возбудила надзорное производство в отношении обработчика данных.
Редактор: Надежда Берсенёва