Veri sorumlusu sıfatını haiz Alexion İlaç Ticaret Limited Şirketi tarafından Kişisel Verileri Koruma Kurulu’na iletilen veri ihlal bildiriminde özetle;
- İhlalin 13.02.2024-21.02.2024 tarihleri arasında gerçekleştiği ve 05.05.2024 tarihinde tespit edildiği,
- Veri sorumlusunun klinik araştırmalar için hizmet aldığı eClinical Solutions LLC’nin (veri işleyen) sistemlerine siber saldırı düzenlendiği,
- Veri işleyenin sFTP sunucusunda tutulan verilerin yetkisiz kişi/kişiler tarafından dışarı sızdırıldığının tespit edildiği,
- İhlalden etkilenen ilgili kişi gruplarının; sorumlu araştırmacılar (SMM), araştırma merkezi personeli, araştırma çalışması için görevlendirilen kişiler ile klinik araştırma katılımcıları/gönüllüleri (denek) olduğu,
- İhlalden, 150’si klinik araştırma katılımcısı/gönüllüsü olmak üzere toplam 607 kişinin etkilendiği,
- İhlalden etkilenen kişisel verilerin;
- Klinik araştırmaya katılan katılımcılar/gönüllüler için (tamamı “pseudonym (takma adlaştırılarak/kodlanarak)” olmak üzere); katılımcı kimliği (anahtar kodlu tanımlayıcı), çalışma adı, durum, açık rıza tarihi, ekran arıza tarihi, rastgele tarih, kol/kohort/startifikasyon, ilk doz tarihi, güncel doz tarihi, son doz tarihi, en son ziyaret tarihi, yeniden tarama sayısı, önceki katılımcı kimliği, yaş, cinsiyet, ırk, etnik köken, rastgeleleştirilmiş dönem sonu, tedavinin durdurulma nedeni, tedavinin durdurulduğu tarih, çalışmanın durdurulma nedeni, çalışmanın durdurulduğu tarih, tamamlanan çalışma, çalışmanın tamamlanma tarihi, ölüm tarihi, SDVTier, katılımcı kimliği, doğum yılı, laboratuvar sonuçları, aralık içerisinde değeri (with in range), laboratuvar tarihi, kullanılan ilaçlar, tıbbi geçmiş bilgileri olduğu,
- Sorumlu araştırmacılar (SMM), araştırma merkezi personeli, araştırma çalışması için görevlendirilen kişiler için; saha personeli bilgileri, UserOID, giriş adı, ekran adı, tam ad, kullanıcı rolü, ülke, kurumsal iletişim bilgileri (adres, e-posta, faks, telefon, lisans numarası) olduğu
bilgilerine yer verilmiştir.
Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 09.05.2024 tarih ve 2024/759 sayılı Kararı ile söz konusu veri ihlal bildiriminin Kurumun internet sitesinde ilan edilmesine karar verilmiştir.
Haber Kaynağı: Kamuoyu Duyurusu (Veri İhlali Bildirimi)
Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.