CDP (Irlande), 23 janvier 2023
L’autorité de contrôle irlandaise a sanctionné un hôpital qui avait subi une attaque par ransomware, pour n’avoir pas mis en œuvre les mesures techniques et organisationnelles adéquates.
Un hôpital irlandais a subi une attaque informatique par ransomware qui a entraîné l’accès non autorisé, la modification et la destruction de données personnelles de 70 000 patients, incluant des données de santé. Malgré des sauvegardes quotidiennes, certaines de ces données personnelles n’ont pas pu être récupérées.
L’autorité de contrôle irlandaise, après avoir reçu la notification de la violation de données personnelles, a ouvert une enquête et a sollicité de l’hôpital la fourniture d’informations relatives aux mesures de sécurité mises en œuvre.
Elle a, dans un premier temps, considéré que « le traitement des données à caractère personnel par l’hôpital présentait un risque élevé, tant en termes de probabilité que de gravité, pour les droits et libertés des personnes concernées », en raison notamment de « la quantité importante de données », relevant de « catégories particulières » et des « risques d’entrave à la fourniture de soins médicaux aux personnes concernées ».
Elle a, dans un second temps, analysé en détail les « mesures mises en œuvre par l’hôpital pour faire face aux risques » et considéré ces dernières insuffisantes, dès lors que l’hôpital :
Dans ce contexte, l’autorité de contrôle irlandaise a infligé à l’hôpital une amende de 460.000 €.
Lien : ici
