Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 30 000 euro mot regionala hälsovårdsmyndigheten Asl Napoli 3 Sud för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att regionala hälsovårdsmyndigheten rapporterat en ransomware-attack till Garante. I processen krypterades en databas av hackarna och en lösensumma krävdes för dekryptering. Uppgifterna för 842 000 patienter och anställda påverkades av incidenten.
Garante konstaterade i sin utredning av cyberattacken att vårdinrättningen inte vidtagit tillräckliga åtgärder för att skydda de uppgifter som hanterades enligt artiklarna 5.1 (f) och 32 GDPR. Till exempel skedde åtkomsten till det interna nätverket uteslutande med hjälp av användarnamn och lösenord, vilket enligt Garante endast möjliggjorde otillräcklig autentisering. Dessutom kunde viruset spridas till hela it-infrastrukturen på grund av avsaknaden av nätverkssegmentering.