Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 10 000 euro mot Regione Molise för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Regione Molise använt ett informationssystem för att hantera elektroniska patientjournaler och göra dem tillgängliga för medborgarna. Regione Molise förlitade sig på ett antal personuppgiftsbiträden och underbiträden, däribland it-tjänsteföretaget Engineering Ingegneria Informatica S.p.a., som utvecklade systemet.
Vid ett tillfälle loggad en användare in i journalsystemet med sitt konto på patientnivå. Användaren kunde sedan få tillgång till andra patienters filer genom att ändra webbadressen på sidan. Användaren fick tillgång till personuppgifter såsom personuppgifter och adresser samt medicinska journaler och andra känsliga hälsorelaterade uppgifter.
Användaren informerade Regione Molise om sårbarheten. Sårbarheten åtgärdades omedelbart genom att begränsa åtkomsträttigheterna för konton på patientnivå. Regione Molise underrättade Garante om dataintrånget. Baserat på systemloggar fann Regione Molise att endast sju filer öppnades utan tillstånd.
Garante konstaterade att Regione Molise brutit mot artiklarna 5.1 (f), 25 och 32 GDPR genom att inte vidta lämpliga säkerhetsåtgärder. Mot denna bakgrund fick Regione Molise en sanktionsavgift på 10 000 euro.