Varnost, uhajanje podatkov in izsiljevalska programska oprema: napadi, ki jih je treba jemati resno.

Pravna ura št. 32 – Februar 2021

Varnost, uhajanje podatkov in izsiljevalska programska oprema: napadi, ki jih je treba jemati resno. Tisk je odmeval konec februarja Obsežno uhajanje podatkov v medicinskem sektorju.

Občutljive informacije o več kot 500.000 ljudeh, vključno s krvnimi skupinami in številkami socialnega zavarovanja, so bile prodane na specializiranem forumu, preden so bile prosto objavljene na internetu.

Na tem seznamu podatkov so tudi uporabniška imena in gesla, ki so tem pacientom omogočila povezavo z zdravstvenimi centri in analitičnimi laboratoriji, ki jih je prizadelo uhajanje podatkov.

Sodna preiskava je v teku, primer pa sta prevzela tako ANSSI kot CNIL.

Resnost kršitve podatkov je tako v številu prizadetih ljudi kot v občutljivi naravi podatkov.

To je priložnost, da pregledamo ukrepe, ki jih je treba sprejeti za odziv na takšne napade, in predvsem, da se pred njimi vnaprej zaščitimo.

CNIL, ANSSI in ministrstvo za pravosodje so objavili več priročnikov, ki upravljavcem podatkov pomagajo pri zaščiti pred takimi varnostnimi kršitvami., pa naj gre za notranjo napako ali napad izsiljevalske programske opreme.

Priporočila, ki jih je objavila zlasti CNIL, navajajo različne faze upravljanja varnosti obdelave podatkov.

V bistvu je primerno:

• Opredelite obdelavo podatkov in njeno podporo (strojna oprema, programska oprema, komunikacijski kanali, papirnati nosilci):

• Ocenite tveganja, ki jih povzroča vsak postopek obdelave, in opredelite morebitne vplive na pravice in svoboščine zadevnih oseb v primeru nezakonitega dostopa do podatkov, neželene spremembe podatkov ali izginotja podatkov.

Ko se obdelujejo posebne kategorije podatkov, kot so zdravstveni podatki, je vpliv kršitve varnosti podatkov na posameznike, na katere se nanašajo osebni podatki, še večji.

Zato takšno zdravljenje zahteva temeljito oceno tveganja.

• Ugotovite vire tveganja (človeške vire in nečloveške vire).
• Analizirajte možne grožnje, tj. možne sprožilne dogodke (npr. vandalizem, degradacija zaradi naravne obrabe, polna skladiščna enota, napad zavrnitve storitve).
• Določite obstoječe ali načrtovane ukrepe za obravnavo posameznega tveganja (npr. varnostne kopije, šifriranje). Ukrepi morajo biti sorazmerni s tveganji. Kadar so podatki, ki se obdelujejo, občutljivi, je treba zagotoviti še posebej visoko raven varnosti. Shranjevanje gesel v obliki navadnega besedila v datotekah upravljavca bi zato moralo biti prepovedano: informacije morajo biti šifrirane in sprejeti morajo biti močni ukrepi za preverjanje pristnosti.
• Ocenite resnost in verjetnost tveganj glede na prejšnje elemente.

V primeru kršitve varnosti podatkov je treba nemudoma sprejeti ustrezne ukrepe za zaustavitev kršitve in omejitev vpliva na prizadete posameznike.

Odgovorna oseba mora o kršitvi obvestiti tudi CNIL v 72 urah po tem, ko jo je izvedela.

Prav tako ima dolžnost, da posamezne osebe obvesti, kadar je verjetno, da bo uhajanje podatkov povzročilo veliko tveganje za njihove pravice in svoboščine.  To velja, kadar gre za občutljive podatke, kot so zdravstveni podatki.

Glede na obsežno uhajanje podatkov, do katerega je prišlo konec februarja, so zato potrebne informacije od prizadetih.

Škoda je lahko izjemno resna za paciente, katerih zdravstvena oskrba je lahko prizadeta, pa tudi za upravljavce podatkov, katerih ugled in poslovanje sta ogrožena.

CNIL poudarja, da se je število obvestil o kršitvah podatkov v letu 2020 povečalo za 24%, število kršitev, povezanih z napadi kripto omar na zdravstvene ustanove (bolnišnice, EPHAD-e, domove za ostarele, laboratorije itd.), pa se je v enem letu potrojilo.

Poleg tega se dve tretjini sankcij, ki jih je naložila CNIL, nanašata na kršitve obveznosti glede varstva podatkov, kar je trend, ki se odraža po vsej Evropi.

In tudi

Francija:

Aplikacija »tousanticovid« se razvija z namenom integracije sistema za opozarjanje uporabnikov glede na morebitno ponovno odprtje športnih dvoran, restavracij ali dvoran za nastope. 

CNIL, ki je prejel osnutek odloka, je na splošno podal pozitivno oceno, hkrati pa zahteval, da bi bil sistem za beleženje obiskov obvezen le za kraje z visokim tveganjem (težko izvedljivi pregradni ukrepi) in da ne bi smel biti obvezen na krajih, kjer bi obisk verjetno razkril občutljive podatke (kot so na primer verski objekti).

Po objavi njegove smernice za uporabo piškotkov Oktobra lani je CNIL spomnil, da rok za skladnost poteče konec marca.

Poslala je pismo dvesto javnim organom in glavnim zasebnim akterjem, v katerem je poudarila zlasti potrebo, da se uporabniku omogoči enako preprosto sprejemanje ali zavračanje piškotkov (gumb »konfiguriraj«, ki je pogosto prisoten v pasicah, te zahteve ne izpolnjuje).

Evropa:

• Belgija: Organ za varstvo podatkov objavlja podroben vodnik o tehnike čiščenja podatkov in uničevanja nosilcev podatkov, refleks, ki ga prepogosto zanemarjamo, ko se znebimo računalniškega orodja.

• Združeno kraljestvo: Evropska komisija objavlja osnutek sklepa o raven varstva, ki jo zagotavlja Združeno kraljestvo obdelavo osebnih podatkov kot enakovredno tisti v Evropski uniji.

Če Evropski odbor za varstvo podatkov in predstavniki držav članic podprejo to oceno, se lahko prenosi podatkov v Združeno kraljestvo nadaljujejo brez dodatnih pogojev.

Prav tako je treba opozoriti, da je Evropski nadzornik za varstvo podatkov 22. februarja izdal mnenje, v katerem je ponovno poudaril, da se o varstvu podatkov kot temeljni pravici v okviru trgovinskih sporazumov med Evropsko unijo in Združenim kraljestvom ne da pogajati.

• Evropa – e-zasebnost Po štirih letih pogajanj so države članice EU končno sprejele skupno stališče glede zaščite elektronskih komunikacij.

Pričakuje se, da bo uredba o e-zasebnosti posodobila veljavno direktivo, med drugim z določitvijo pravil o zaupnosti komunikacij, varstvu metapodatkov ter pravilih, ki veljajo za piškotke in druge sledilnike.

Besedilo mora še obravnavati Evropski parlament, njegova končna različica pa bo začela veljati dve leti po objavi.

• Evropa – zdravstveni potni list Evropska komisija je 1. marca napovedala, da pripravlja projekt skupnega potnega lista za države članice, ki bi olajšal gibanje ljudi v trenutnih razmerah pandemije.

Ta potni list bi vseboval osebne podatke o cepljenju, pridobljeni imunosti ali testih, ki jih je opravila zadevna oseba.

Komisija zagotavlja, da bodo sprejeti ukrepi za preprečevanje kakršne koli diskriminacije ali zlorabe v zvezi z zasebnostjo zadevnih oseb.

Mednarodno:

ZDRUŽENE DRŽAVE AMERIKE: Po Kaliforniji približno deset ameriških zveznih držav pripravlja zakonodajo o varstvu osebnih podatkov, vključno z zvezno državo New York in zvezno državo Washington.

Na splošno ti zakoni zagotavljajo manj obsežne pravice za uporabnike kot GDPR in jim raje dajejo pravico do ugovora obdelavi njihovih podatkov, kot pa da bi zahtevali njihovo predhodno soglasje.

V vsakem primeru imajo prednost, da izboljšujejo preglednost obdelave podatkov in ameriškim potrošnikom zagotavljajo pravna sredstva.

Anne Christine Lacoste

Anne Christine Lacoste, partnerica pri Olivier Weber Avocat, je odvetnica, specializirana za pravo podatkov; bila je vodja mednarodnih odnosov pri Evropskem nadzorniku za varstvo podatkov in delala na izvajanju GDPR v Evropski uniji.