Boka kurs

Italien: Ordine degli Psicologi della Regione Lombardia får 30 000 euro i sanktionsavgift efter att känsliga personuppgifter röjts efter ransomware-attack

Linkedin Facebook X-twitter Envelope

Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 30 000 euro mot Ordine degli Psicologi della Regione Lombardia för överträdelser av dataskyddsförordningen (GDPR).

Av beslutet framgår att Ordine degli Psicologi della Regione Lombardia drabbades av ett dataintrång efter en ransomware-attack utförd av den kriminella gruppen NoEscape. Incidenten innebar obehörig åtkomst till förbundets it-nätverk, datakryptering och radering av säkerhetskopior, som senare återställdes. Angriparna lyckades också stjäla cirka 7 GB data och publicerade dem på dark web efter att Ordine degli Psicologi della Regione Lombardia vägrade att betala en lösensumma. Den publicerade datamängden omfattade ett brett spektrum av personuppgifter som betalningsuppgifter, dokument som omfattas av tystnadsplikt, uppgifter om fällande domar och brott enligt artikel 10 GDPR samt olika känsliga personuppgifter enligt artikel 9 GDPR.

Ordine degli Psicologi della Regione Lombardia anmälde dataintrånget till Garante, som inledde en utredning. Garante konsaterade att avsaknaden av automatiserade övervaknings- och varningssystem hindrade upptäckten av misstänkta aktiviteter som exempelvis inloggningar på natten, inloggningar från utländska ip-adresser och avaktivering av säkerhetsåtgärder. Dessutom hade Ordine degli Psicologi della Regione Lombardia inte implementerat multifaktorautentisering, använde ett föråldrat operativsystem och skyddade inte inloggningsuppgifterna på ett adekvat sätt.

Av ovanstående skäl konstaterade Garante att Ordine degli Psicologi della Regione Lombardia hade brutit mot artiklarna 5.1 (f) och 32.1 GDPR genom att underlåta att införa lämpliga tekniska och organisatoriska åtgärder för att säkerställa säkerheten vid behandlingen av personuppgifter.

Garante utfärdade en sanktionsavgift på 30 000 euro mot Ordine degli Psicologi della Regione Lombardia. Vid fastställandet av sanktionsbeloppet beaktade Garante att överträdelsen var allvarlig och rörde mycket känsliga uppgifter, såsom personnummer, uppgifter som omfattas av artiklarna 9 och 10 GDPR och annan information som omfattas av tystnadsplikt. Garante beaktade dock att Ordine degli Psicologi della Regione Lombardia omedelbart anmälde överträdelsen till myndigheten och senare införde mer robusta säkerhetsåtgärder.

Mer information

Myndighet: Garante per la protezione dei dati personali (Garante)

Land: Italien

Lagrum: Art. 5 GDPR, art. 32 GDPR, art. 58 GDPR, art. 83 GDPR

Sanktionsavgift: 30 000 euro

Mottagare: Ordine degli Psicologi della Regione Lombardia

Beslutsnummer: 10134827

Beslutsdatum: 2025-04-29

Källa: Beslut

Relaterade nyheter

Sverige: Regeringen uppdaterar handlingsplan för nationell cybersäkerhetsstrategi

Sverige: FI identifierar brister i kontinuitetsplanering och hantering av IKT-risker hos finansiella företag

Sverige: Regeringen föreslår lag om AI-baserad ansiktsigenkänning i realtid

Sverige: Sverige ska bygga motståndskraft i samhällsviktig verksamhet

Belgien: Infobel får 40 000 i sanktionsavgift för otillåten vidareförsäljning av personuppgifter

Spanien: Personuppgiftsansvarig får 300 euro i sanktionsavgift för otillräckligt samarbete med tillsynsmyndigheten

Spanien: Energibolag får 500 000 euro i sanktionsavgift för felaktig hantering av kunduppgifter

Italien: Företag får 20 000 euro i sanktionsavgift för olaglig behandling av barns hälsouppgifter

Österrike: Bagerikedja får 33 500 euro i sanktionsavgift för olaglig kamerabevakning

Sverige: Ny lag om straffansvar för olovlig finansiell verksamhet

Fler nyheter

Kostnadsfritt webbinarium om klassning av AI-system enligt AI-förordningen

Under webbinariet går vi igenom hur AI-system bedöms enligt AI-förordningens olika risknivåer och vad det innebär för din verksamhet.

Till webbinaret