Den franska dataskyddsmyndigheten Commission Nationale de l’Informatique et des Libertés (CNIL) har bötfällt Dedalus Biologie med 1,5 miljoner euro för överträdelse av artiklarna 28, 29 och 32 i dataskyddsförordningen (GDPR).
Av beslutet framgår att medier den 23 februari 2021 avslöjat en omfattande dataläcka som berörde nästan 500 000 personer och som involverade företaget Dedalus. Dataläckan innehöll personers efternamn, förnamn, personnummer, namn på den ordinerande läkaren, datum för undersökningen, samt medicinsk information som om patienten har hiv, cancer, genetiska sjukdomar, graviditeter, läkemedelsbehandlingar som patienten följt eller genetiska uppgifter. Uppgifterna publicerades på internet.
Den 24 februari 2021 genomförde CNIL en kontroll av Dedalus som säljer programvarulösningar för laboratorier för medicinsk analys. Samtidigt överlämnade CNIL ärendet till domstolen i Paris, som blockerade tillgången till den webbplats där de läckta uppgifterna publicerats. CNIL:s kontroll visade att Dedalus inte uppfyllt flera skyldigheter enligt GDPR, särskilt skyldigheten att garantera säkerheten för personuppgifter.
Enligt CNIL har Dedalus, i samband med migreringen av ett programpaket till ett annat verktyg som begärts av två laboratorier som använder Dedalus tjänster, tagit fram en större mängd data än vad som krävdes för uppgiften. CNIL ansåg därför att Dedalus behandlat uppgifter utöver de instruktioner som de personuppgiftsansvariga gett varför företaget inte följt de personuppgiftsansvarigas instruktioner enligt artikel 29 GDPR.
CNIL konstaterade vidare ett stort antal tekniska och organisatoriska brister i fråga om säkerhet i samband med övergången från en programvara till en annan då det enligt myndigheten:
- Saknats ett särskilt förfarande för datamigrering.
- Förelegat bristande kryptering av personuppgifter som lagras på den problematiska servern.
- Inte funnits automatisk radering av data efter migrering till en annan programvara.
- Inte krävts autentisering för att få tillgång till serverns publika område.
- Använts användarkonton som delats av flera anställda på serverns privata område.
- Saknats ett förfarande för övervakning och rapportering av säkerhetsvarningar på servern.
Enligt CNIL har de bristande säkerhetsåtgärderna varit en av orsakerna till dataintrånget som ledde till att nästan 500 000 personers medicinska och administrativa uppgifter avslöjats på internet. Dedalus har därmed inte följt kraven på lämpliga säkerhetsåtgärder enligt artikel 32 GDPR.
Vidare har de allmänna försäljningsvillkoren de underhållsavtal som skickats från Dedalus till CNIL inte innehållit den information som krävs enligt artikel 28.3 GDPR. Enligt CNIL har Dedalus därmed inte uppfyllt skyldigheten att tillhandahålla en formell rättslig ram för de behandlingar som utförs för den personuppgiftsansvariges räkning enligt artikel 28 GDPR.
Mot bakgrund av det inträffade bötfälldes Dedalus med 1,5 miljoner euro. Enligt CNIL bestämdes bötesbeloppet mot bakgrund av hur allvarliga de konstaterade överträdelserna var, men också med hänsyn till Dedalus omsättning. CNIL beslutade också att offentliggöra myndighetens beslut.