Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 22 000 euro mot Azienda ULSS 6 Euganea med 22 000 euro överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Azienda ULSS 6 Euganea, som förvaltar flera sjukhus och andra vårdinrättningar, utsattes för en cyberattack. Detta ledde till att obehöriga fick tillgång till filer som lagrats på Azienda ULSS 6 Euganeas servrar. Filerna innehöll personuppgifter om både anställda och patienter, som bland annat medicinska dokument och bilder.
Azienda ULSS 6 Euganea anmälde personuppgiftsincidenten till Garante i enlighet med artikel 33 GDPR och till de registrerade i enlighet med artikel 34 GDPR. Dessutom lämnade flera registrerade in ett klagomål till Garante. Azienda ULSS 6 Euganea hävdade att verksamheten höll på att uppdatera sitt it-system och förbättra sina säkerhetsåtgärder.
Garante konstaterade inledningsvis att anmälan av personuppgiftsincidenten till myndigheten och de registrerade gjordes utan onödigt dröjsmål varför det inte skett någon överträdelse av artiklarna 33 och 34 GDPR.
Garante ansåg dock att Azienda ULSS 6 Euganea inte vidtagit lämpliga åtgärder för att säkerställa att verksamheten i god tid kunde få kännedom om obehörig åtkomst till it-systemet. Vidare ansåg Garante att de tekniska och organisatoriska åtgärder som Azienda ULSS 6 Euganea vidtagit för att undvika cyberattacker inte var tillräckliga. Till exempel har tvåfaktorsautentisering inte införts.
Mot denna bakgrund konstaterade Garante en överträdelse av artikel 5.1 (f) GDPR i kombination med artikel 32.1 GDPR.