Uma empresa de serviços médicos de emergência foi multada em £100.000 após um grave vazamento de dados que expôs informações sensíveis de pacientes.
De acordo com a Office of the Data Protection Authority (ODPA), milhares de e-mails contendo dados confidenciais de saúde foram roubados do Medical Specialist Group (MSG), em Guernsey, e usados em campanhas de phishing direcionadas aos pacientes.
O incidente teve início em agosto de 2021, mas só foi detectado mais de três meses depois.
A ODPA também constatou que o MSG não aplicou atualizações críticas de segurança (patches) que poderiam ter prevenido o ataque.
Além disso, a empresa não implementou medidas adequadas para proteger os dados pessoais, violando a Data Protection Law.
Em nota, o comissário Brent Homan afirmou que “informações médicas exigem o mais alto nível de proteção contra ataques cibernéticos, e a penalidade aplicada reflete que as medidas adotadas pelo MSG ficaram muito aquém dos requisitos legais”.
A multa deve ser paga em duas parcelas: £75.000 em até 60 dias e os demais £25.000 após 14 meses, valor que pode ser dispensado caso o MSG cumpra um plano de ações recomendado pela ODPA.
Segundo Homan, o CEO do MSG comprometeu-se a posicionar a empresa como referência no setor de saúde na proteção de dados.
O comissário ainda ressaltou que o plano apresentado “excede nossas expectativas” e que os moradores da região terão, a partir de agora, “um nível excepcional de proteção para suas informações médicas”.
A BBC tentou contato com o MSG para comentários, mas não obteve retorno até o momento.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...