Gegevensbeschermingsautoriteit (GBA) har utfärdat en sanktionsavgift på 200 000 euro mot ett sjukhus för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att sjukhuset drabbats av en ransomware-attack genom en sårbarhet i servern, som lamslog delar av datorsystemet och påverkade cirka 300 000 personer. Under sin utredning konstaterade GBA att sjukhuset underlåtit att göra en konsekvensbedömning avseende dataskydd.
Dessutom konstaterade GBA att sjukhuset inte hade en adekvat informationssäkerhetspolicy på plats och inte genomfört lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter i syfte att förhindra en sådan incident, såsom utbildning av anställda och genomförande av en process för säkerhetsuppdateringar av IT-utrustning. Enligt GBA utgjorde detta överträdelser av artiklarna 5.1 (f), 24, 32 och 35.3 GDPR.