Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 3,5 miljoner euro mot I-DE Redes Eléctricas Inteligentes S.A.U. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att I-DE Redes Eléctricas Inteligentes utsattes för en cyberattack genom vilken cyberbrottslingar fått tillgång till interna system via en webbapplikation som heter File and Connection Management (GEA), som annars gör det möjligt för kunder och installatörer att digitalt dela anslutningar och utbyta data. Först efter två dagar insåg företaget att en massiv exfiltrering av data hade ägt rum.
Under sin utredning konstaterade AEPD att I-DE Redes Eléctricas Inteligentes, tillsammans med partnerföretaget Iberdrola, inte vidtagit tillräckliga säkerhetsåtgärder för att förhindra attacken. Enligt AEPD utgjorde detta en överträdelser av principen om integritet och konfidentialitet enligt artikel 5.1 (f) GDPR och kraven på säkerhet vid behandling av personuppgifter enligt artikel 32 GDPR.
TechLaw bistår verksamheter i frågor som rör dataskydd, säkerhetsåtgärder vid personuppgiftsbehandling och personuppgiftsincidenter. Läs mer om vår expertis inom dataskydd och integritet.
Har ni frågor är ni välkomna att kontakta Carina Berg, partner och jurist specialiserad inom dataskydd och affärsjuridik i teknikintensiva verksamheter.
Källa: AEPD.