Australisch lab krijgt boete van 3,3 miljoen euro wegens gevoelig datalek

In dit artikel:

Medlab Pathology, inmiddels overgenomen door Australian Clinical Labs, heeft een boete van ongeveer 3,3 miljoen euro gekregen nadat in februari 2022 bij het lab een ransomware-aanval had plaatsgevonden waarbij gegevens van 223.000 patiënten werden buitgemaakt. Forensische experts die aanvankelijk waren ingehuurd ontdekten volgens het lab niet dat er data gestolen waren; in juni 2022 waarschuwde het Australische Cyber Security Centre dat patiëntgegevens online stonden. Medlab stelt dat de dataset complex en ongestructureerd was, waardoor het maanden kostte om de omvang van de diefstal vast te stellen en pas na acht maanden patiënten te kunnen informeren.

Onder de gestolen gegevens vielen onder meer naam- en creditcardgegevens van ruim 28.000 mensen (inclusief duizenden CVV-nummers), medische laboratoriumdossiers van meer dan 17.000 patiënten en meer dan 128.000 zorgverzekeringsnummers gekoppeld aan namen. De rechtbank oordeelde dat Medlab onvoldoende beveiligingsmaatregelen had getroffen, naliet uitgebreider onderzoek te doen en de privacytoezichthouder te informeren. Bij de strafmaat werd meegerekend dat het bedrijf meewerkte, excuses maakte, aansprakelijkheid erkende en inmiddels in een cybersecurityprogramma investeert. Het is de eerste bestuurlijke sanctie onder de Australische Privacy Act.