Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 10 000 euro mot Azienda sanitaria locale Roma 3 för överträdelse av dataskyddsförordningen (GDPR).
Av beslutet framgår att Azienda sanitaria locale Roma 3 drabbats av ett dataintrång. Orsaken till dataintrånget var en ransomware-attack. En okänd grupp hade fått tillgång till systeminfrastrukturen via en bärbar dator som användes av en av regionens anställda och därefter tagit över systemet. Därefter blockerades åtkomsten till många vårdtjänster, vilket orsakade problem under en period på flera timmar till flera månader.
Garante konstaterade att Azienda sanitaria locale Roma 3 inte dokumenterat intrånget tillräckligt. Garante lyfte särskilt det faktum att Azienda sanitaria locale Roma 3 endast lagt fram vissa handlingar, som dessutom var ofullständiga, på särskild begäran av Garante. Till exempel saknades uppgifter om överträdelsens effekter och konsekvenser för de berörda, skälen till de beslut som fattats och bedömningen av den risk som överträdelsen medförde. Sammantaget konstaterade Garante att Azienda sanitaria locale Roma 3 gjort dig skyldig till överträdelser av artiklarna 33.1, 33.2 och 33.5 GDPR.