По словам председателя социальной комиссии Ынне Пиллак, достоянием общественности в стал случай, когда в ноябре в результате кибератаки из базы данных партнера ряда медицинских учреждений, занимающегося генетическим тестированием предприятия Asper Biogene, незаконно скачали содержащие медицинские данные файлы. Всего в результате кибератаки утекли личные данные примерно 10 000 пациентов.
«Это крупнейшая утечка данных в истории Эстонии, причины которой устанавливают полиция и Инспекция по защите данных. В то же время мы хотим определить в Рийгикогу, нужно ли дополнять законодательство о защите данных. За этими данными стоят реальные люди и реальные жизни, поэтому к кибербезопасности следует относиться крайне серьезно", - отметила Пиллак.
"В утекших файлах содержались чрезвычайно чувствительные данные, раскрытие которых может серьезно повредить людям", подчеркнул адвокат по технологии и защите данных Ристо Хюбнер. "Согласно закону, поставщики медицинских услуг несут ответственность за всю цепочку поставок, включая медицинские учреждения, утечка данных пациентов которых произошла через Asper Biogene".
По данным Инспекции по защите данных, утечка данных затронула 42 медицинских учреждения (включая несколько крупных больниц) и другие компании, использующие услуги Asper Biogene. "В Эстонии еще не было такой масштабной утечки данных, но с большой вероятностью Инспекция по защите данных начнет проверку также и по отношению к клиентам Asper Biogene", пояснил Хюбнер. "Нужно будет выяснить, сделали ли клиенты Asper Biogene, у которых утекли данные пациентов, все необходимое как ответственные обработчики персональных данных".
Общий регламент по защите данных Европейского союза, известный как GDPR, обязывает ответственного обработчика персональных данных обеспечивать необходимые меры для безопасной обработки данных. Ответственные обработчики персональных данных (в данном случае, например, больницы) должны иметь возможность доказать, что они внедрили необходимые технические и организационные меры для защиты данных. "Например, передачу персональных данных в незашифрованном виде сложно рассматривать как достаточную меру, что означает, что, вероятно, больницы будут считаться соучастниками", отметил Хюбнер.
Суд Европейского союза только вчера заявил в своем недавнем решении, что только страхи человека по поводу возможного недобросовестного использования его утекших персональных данных могут рассматриваться как неимущественный ущерб и обосновывать право на компенсацию.
По словам Хюбнера, этот случай схож с недавней утечкой данных в Финляндии, которая закончилась банкротством медицинской компании Vastaamo, утратившей данные 2000 пациентов.