„InMedicai“ – 450 tūkst. eurų bauda už asmens duomenų saugumo pažeidimus

Buvo atlikti du medicinos bendrovių patikrinimai, kurie vėliau sujungti į vieną, pranešė inspekcija.

Anot pranešimo, atsižvelgdama į 2024 metų rugsėjo tinklaraštininko Skirmanto Malinausko laidą „Nulaužta Lietuva“ apie asmens duomenų saugumo pažeidimą, VDAI pradėjo patikrinimą medicinos paslaugas teikiančioje „Kardiolitoje“ dėl galimų Bendrąjį duomenų apsaugos reglamento (BDAR) pažeidimų.

S. Malinausko laidoje buvo nurodoma, kad prie „Kardiolitos“ vidinės duomenų valdymo sistemos, kurioje matomi pacientų asmens duomenys, prisijungė trečiasis asmuo.

Inspekcija nustatė, kad „Kardiolitoje“ nebuvo užtikrintas tinkamas asmens duomenų saugumo lygis, o pažeidimai įvyko dėl nepakankamai užtikrinamos prieigų kontrolės ir netinkamo autentifikavimo jungiantis prie sistemos su asmens duomenimis.

Tuo metu patikrinimas „InMedicoje“ buvo pradėtas gavus pranešimą, kad tinklas patyrė duomenų šifravimo ir išpirkos reikalaujančią ataką, kai trečioji šalis užšifravo keturių sistemų duomenis. Šiose sistemose buvo tvarkomi pacientų bei darbuotojų asmens duomenys.

Šio patikrinimo metu inspekcija nustatė, kad „InMedicos“ paveiktose sistemose taip pat nebuvo užtikrinamas tinkamas asmens duomenų saugumo lygis – nebuvo taikomas kelių veiksnių autentifikavimas, prieiga nebuvo apribota tik įgaliotiems asmenims.

Nuo praėjusių metų birželio „Kardiolitos“ teisių ir pareigų perėmėja yra „InMedica“, todėl bauda skirta pastarajai bendrovei.

Sprendimas per vieną mėnesį nuo jo įteikimo dienos gali būti skundžiamas teismui.

Praėjusių metų gegužę skelbta, kad „InMedica grupei“ priklausančios „InMedica“ klinikos, „Kardiolitos klinikos“ bei VIC odontologijos klinikos keičia pavadinimus ir dabar veikia po bendru prekės ženklu – „Meliva“.