De Franse privacytoezichthouder CNIL heeft klinisch onderzoeksbedrijf Iqvia heet wegens overtredingen met het verwerken van pseudonieme zorgdata van tientallen miljoenen mensen een boete van vijf miljoen euro opgelegd. Iqvia doet voor farmaceutische bedrijven onderzoek naar bepaalde ziektes en medicijnen. Voor deze onderzoeken in Frankrijk maakt het gebruik van twee datawarehouses met gezondheidsgegevens.
De Franse privacytoezichthouder had Iqvia onder voorwaarden toestemming gegeven voor het creëren van deze warehouses. De eerste warehouse bevatte gegevens afkomstig van zo'n veertienduizend apotheken. De tweede warehouse was gevuld met gegevens afkomstig van duizenden artsen. Het ging om geboortejaar, geslacht, voorgeschreven medicijnen, huwelijkse staat, aantal kinderen, socio-professionele categorie en gezondheidsgegevens, zoals gemaakte diagnosis, symptomen, allergieën, gewicht, lengte, hartslag, vaccinaties, onderzoeken en ziekteverlof.
Na onderzoek van een Franse publicatie besloot CNIL naar de werkwijze van Iqvia te kijken en concludeerde dat het bedrijf zich niet had gehouden aan de gestelde voorwaarden voor het creëren van de datawarehouses. Zo waren er geen maatregelen getroffen om regelmatig logbestanden te controleren en was voor één van de warehouses geen multifactorauthenticatie (MFA) ingesteld om toegang te krijgen. Verder bleek dat apotheken mensen niet informeerden dat hun gegevens met Iqvia werden gedeeld en werd mensen ook niet verteld dat ze bezwaar konden maken.
Iqvia claimde dat het om anonieme gegevens ging en de privacywetgeving daardoor niet van toepassing was. In beide datawarehouses was de verzamelde data van een patiënt gelinkt aan een unieke identifier, om zo hun gehele zorgproces te kunnen volgen. De Franse toezichthouder stelt dat er geen sprake is van anonieme gegevens, maar alleen pseudonieme data, waardoor personen alsnog zijn te identificeren. Naast de unieke identifier ging het ook om de aard van de verzamelde data en de mogelijkheid om personen te identificeren door de gegevens van Iqvia te combineren met publiek toegankelijk data.
Vanwege de ernst van de overtredingen besloot CNIL een boete van vijf miljoen euro op te leggen. Daarbij werd gekeken naar de aard van de gegevens, wat gevoelige medische data is, het aantal getroffen personen dat in de tientallen miljoenen loopt, de marktpositie van het bedrijf en de financiële draagkracht. De beveiligingsproblemen zijn inmiddels opgelost. Om ervoor te zorgen dat Iqvia personen informeert en bezwaar laat maken heeft de Franse toezichthouder een last onder dwangsom opgelegd.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Digital Designer
Ben jij een Grafisch vormgever, UI/UX-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, en op zoek naar een unieke en uitdagende baan waar je al je creativiteit in kwijt kan? Dan ben je bij Certified Secure aan het juiste adres! Je werkt samen met onze security developers aan onze Gamified Cybersecurity Challenges.
