Den franska dataskyddsmyndigheten utdelar en straffsanktion på €1,500,000 efter en personuppgiftsincident där nästan 500,000 registrerade drabbades. Det rörde företaget Dedalus Biologie som är ett företag specialiserat på mjukvarulösningar till medicinska analyslaboratorier. Nyheten kom efter att en nyhetsartikel publicerats som skrev att konfidentiella uppgifter från nästan 500,000 patienter hade stulits och laddats upp på en hemsida.
I sin undersökning konstaterade dataskyddsmyndigheten att laboratorierna var personuppgiftsansvariga och Dedalus Biologie var personuppgiftsbiträde. Myndigheten fastslår att personuppgiftsbiträdesavtalet som upprättades inte var i enlighet med GDPR. Exempelvis fann man att ett av avtalen hänvisade till föråldrade bestämmelser i GDPR. Utöver det bristande avtalet fann även myndigheten att företaget hade behandlat mer data än vad som var nödvändigt enligt de givna instruktionerna. Dessutom konstaterade myndigheten att företaget brustit i sina skyldigheter enligt GDPR genom flera brister i de tekniska och organisatoriska åtgärderna för att säkerställa uppgifternas säkerhet. På grund av de flera allvarliga överträdelserna enligt GDPR valde myndigheten att utföra en stor sanktionsavgift på €1,500,000.
