Een Australische pathologisch laboratorium dat in 2022 de gegevens van 223.000 patiënten lekte heeft een boete van omgerekend 3,3 miljoen euro gekregen. Medlab Pathology werd in februari 2022 het slachtoffer van een ransomware-aanval waarbij er ook gegevens van 223.000 patiënten werden gestolen. Dit werd echter niet ontdekt door de forensisch specialisten die destijds waren ingehuurd, aldus het lab.

In juni van dat jaar werd het lab gewaarschuwd door het Australische Cyber Security Centre (ACSC) dat gegevens van patiënten op internet waren geplaatst. Volgens Medlab, dat eerder was overgenomen door Australian Clinical Labs, was de aangeboden dataset "complex en ongestructureerd" en kostte het verschillende maanden om te bepalen welke gegevens er waren gestolen en van wie. Daardoor zou het acht maanden hebben geduurd voordat het lab patiënten kon waarschuwen.

Van ruim 28.000 patiënten werden creditcardgegevens en namen buitgemaakt, waaronder ook duizenden CVV-nummers. Verder kregen de aanvallers van ruim 17.000 patiënten de gezondheidsdossiers met betrekking tot het laboratoriumonderzoek in handen en werden ook meer dan 128.000 zorgverzekeringsnummers met namen gestolen.

Volgens een Australische rechtbank heeft het medische lab nagelaten om redelijke maatregelen te nemen voor het beschermen van persoonlijke informatie. Daarnaast had het lab uitgebreider onderzoek moeten uitvoeren of er na de cyberaanval een datalek had plaatsgevonden. Als laatste had het lab de Australische privacytoezichthouder moeten informeren.

Bij het bepalen van de hoogte van de boete liet de rechter meewegen dat het lab meewerkte met het onderzoek, het inmiddels een programma is gestart om de cybersecurity te versterken, het lab excuses heeft gemaakt en heeft erkend dat het aansprakelijk is. Het is de eerste bestuursrechtelijke boete die onder de Australische Privacy Act wordt opgelegd.