Italien: Centro di Medicina Preventiva bötfälls med 10 000 euro för otillräckliga säkerhetsåtgärder

Den italienska dataskyddsmyndigheten Garante per la protezione dei dati personali (Garante) har bötfällt Centro di Medicina Preventiva s.r.l. med 10 000 euro för överträdelse av artiklarna 5, 25, 32 och 37 i dataskyddsförordningen (GDPR).

Av beslutet framgår att Centro di Medicina Preventiva anmält en personuppgiftsincident enligt artikel 33 GDPR i samband med en cyberattack utförd av en hackergrupp. Under cyberattacken lyckades hackaren få tillgång till en förteckning över patientuppgifter. Hackaren publicerade sedan denna lista som innehöll personuppgifter, inklusive känsliga uppgifter, om patienter och radiodiagnostiska tester på Twitter.

Garante konstaterade efter en utredning av händelsen att Centro di Medicina Preventiva inte vidtagit lämpliga tekniska och organisatoriska åtgärder för att garantera säkerheten för personuppgifterna. Till exempel avslöjade vårdcentralens server de begärda personuppgifterna under en förfrågan utan att kontrollera den begärande personens identitet och autentiseringsuppgifter, vilket gjorde det möjligt för oautentiserade anslutningar att nå utanför vårdcentralen. Enligt Garante innebar detta en överträdelse av principen om integritet och konfidentialitet enligt 5.1 (f) GDPR och kravet på säkerhetsåtgärder vid behandling av personuppgifter enligt artikel 32 GDPR. Vidare ansåg Garante att Centro di Medicina Preventiva inte vidtagit åtgärder för att uppfylla kraven på inbyggt dataskydd och dataskydd som standard enligt artikel 25 GPDR.

Mer information

Myndighet: Garante per la protezione dei dati personali (Garante)

Land: Italien

Lagrum: Art. 5 GDPR, art. 25 GDPR, art. 32 GDPR, art. 37 GDPR

Sanktionsavgift: 10 000 euro

Mottagare: Centro di Medicina Preventiva s.r.l.

Beslutsnummer: 9739609

Beslutsdatum: 2021-12-16

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

14 MAR

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

21 MAR

Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och hur du kan använda AI-system på ett lagenligt sätt.

11 APR

Introduktion till Cyber Resilience Act

En genomgång av Cyber Resilience Act och hur du kan tillverka, distribuera och sälja produkter med digitala element på ett lagenligt sätt.