GDPR breach - cum ati proceda / se procedeaza?

Dintr-o chestie in alta, am dat de un link care are directory listing activ, link pe care sunt 8000+ rezultate de analize facute la o clinica privata. N-am verificat datele [timestamp adica, datele adica rezultatele nu ma intereseaza, nu am intrat decat pe cele ale rudei] fisierelor decat ochiometric, dar am vazut si chestii din 2018, si din 2021. Nu cred ca sunt toate analizele facute de ei in intervalul asta. Au un fisier .log si pare ca le primesc pe mail, dupa care un script ia atasamentele si le urca in folder, deci probabil se mai si rescriu din fisiere [numele sunt cu numele pacientului].

Nu va imaginati cine-stie-ce hack. Safari nu ma lasa sa salvez PDF-ul cu rezultatele analizelor cuiva din familie asa ca am dat click dreapta si am ajuns la directorul buclucas.

M-ar interesa in primul rand sa-si rezolve problema. Nu e o clinica foarte mare, dar au sediu frumos in zona buna [Bucuresti], deci nici ultimii saraci nu sunt [si daca ar fi si nu-s in stare sa faca ceva OK cred ca ar fi mai bine sa dispara].

Vad doua variante:

  1. le dau un mail la contact@ si le cer sa ma puna in legatura cu cineva de la tehnicul lor. [nici sa le zic din prima problema nu cred ca e OK, ca nici cei de la receptie n-ar trebui sa aiba acces la datele alea]
  2. direct reclamatie la ANSDCP

Daca aveti ceva sfaturi / experiente / idei … sunt bine-venite!

1 Like

Cred ca ar trebui sa iei legatura cu DPO-ul lor.

Daca vrei sa ia direct amenda, faci asa.

Rezolvarea fara amenda o faci dupa ce ii contactezi in zona tehnica, trebuie sa aiba persoana responsabila de protectia datelor cu caracter personal, care sa preia sesizarea ta.

1 Like

Legal, ii dai in gat. Uman, ii contactezi. Apoi ii dai in gat.

4 Likes

Cred că știu despre cine vorbești.

Dacă vorbim despre aceeași clinică, e nevoie doar să modifici codul primit pentru verificarea rezultatelor, în URL. Un cod numeric. E gaura de securitate cât casa poporului.

1 Like

Subscriu. Asa ceva nu se poate. Daca nu primesti raspuns in maxim 2 zile si nu se rezolva. Suna peste tot unde poti suna. Este o bresa uriasa chestia asta.

Ce vreau sa adaug: daca tu ai descoperit asta acum, gandeste-te ca nu esti primul si poate ca un alt actor deja are access la aceasta informatie.

@Cosmin - Sincer nu ma asteptam sa aiba adresa separata pentru asta, dar aparent au. Nici n-as fi incercat daca nu-mi dadeai ideea, deci thanks! :slight_smile:

@tekkie - Vreau sa rezolve si sa inteleaga ceva din asta. Probabil o amenda ii va ajuta sa inteleaga mai usor.

@Dexter - au SSL-ul valabil pana pe Friday, 27 May 2022 at 12:26:05 Eastern European Summer Time, daca vrei sa verifici, dar din ce-mi spui nu-s aceiasi sau, cel putin, nu e aceeasi vulnerabilitate. O sa revin cu info dupa ce se rezolva.

@Floris_Stoica_Marcu - exact, tocmai de asta am scris aici si intrebat prin prieteni asap, ca sa le scriu cat mai repede.

Plot twist: directorul ala contine doar analizele facute prin laboaratoare externe [recoltarea se face la un laborator dar daca analiza respectiva nu se poate face intern, proba de sange se trimite la un laborator partener]. Mai exista un director cu analizele facute intern, unde sunt 119.000+ rezultate. :dizzy_face:

1 Like

Ca idee, din toate tipurile de date personale pentru care s-a facut GDPR-ul celor legate de sanatate li s-a acordat o atentie deosebita, au si clauze speciale din cate mi-aduc aminte. Treaba e serioasa in industria asta.
Daca as fi in locul tau, initial as incerca sa iau legatura cu ei si in functie de cum ar trata chestiunea m-as decide si cu plangerea.

1 Like

Pare ca se intampla chestii. O sa revin cu un deznodamant cand o sa am o poveste oarecum finala.

Merci pentru idei! :slight_smile:

1 Like