De Singaporese privacytoezichthouder heeft een boete van 647.000 euro opgelegd voor het grootste datalek in de Singaporese geschiedenis waarbij de gevoelige gegevens van 1,5 miljoen mensen werden gestolen. Uit onderzoek bleek dat aanvallers door een reeks beveiligingsmissers toegang kregen tot een database met allerlei gevoelige informatie.

Volgens onderzoekers hadden de aanvallers het specifiek voorzien op de persoonlijke en medische data, waaronder het medicijngebruik, van de Singaporese premier. De database werd beheerd door SingHealth, de grootste zorgaanbieder in Singapore en onderdeel van het ministerie van Volksgezondheid.

Volgens de Singaporese Personal Data Protection Commission (PDPC) had Integrated Health Information Systems (IHiS), verantwoordelijk voor de it-systemen van de publieke zorgsector in Singapore, geen adequate beveiligingsmaatregelen getroffen om de data die het beheerde te beschermen. De dienstverlener kreeg daarom een boete van omgerekend 485.000 euro opgelegd.

SingHealth, dat eigenaar van de gehackte database is, moet een boete van omgerekend 162.000 euro betalen. De privacytoezichthouder stelde dat het personeel van SingHealth dat it-incidenten afhandelde onbekend was met het incident response proces, te afhankelijk was van IHiS en er niet in slaagde en ook geen stappen nam om de informatie die IHiS verstrekte te begrijpen. Niet eerder heeft de Singaporese privacytoezichthouder dergelijke hoge boetes opgelegd (pdf).