Švedsko nadzorno tijelo izreklo je opomenu pružatelju zdravstvene skrbi zbog slanja osjetljivih podataka putem nešifriranih e-mailova, što je kršenje članka 32(1) GDPR-a.
U 2022. godini švedsko nadzorno tijelo primilo je prijavu o povredi podataka u vezi s obradom podataka pacijenata od strane voditelja obrade. Prema izvješću, osobni podaci pacijenata (uključujući njihove osobne identifikacijske brojeve i zdravstvene podatke) obrađeni su putem nesigurnih e-mailova. Pokrenuta je istraga po službenoj dužnosti.
Istragom je utvrđeno da je voditelj obrade implementirao alat za šifriranje e-pošte (uz standardno šifriranje tijekom prijenosa) kako bi osigurao internu komunikaciju.
Voditelj obrade je zahtijevao od svih svojih zaposlenika da koriste alat za šifriranje svih osjetljivih podataka poslanih putem internih e-mailova. Međutim, osoblje nije uvijek slijedilo ovu politiku: najmanje 15 e-mailova poslano je nešifrirano između 2010. i 2022.
Švedsko nadzorno tijelo je primijetio da ova praksa potencijalno izlaže osobne podatke u određenim rizicima: na primjer, ako član osoblja slučajno proslijedi e-mail neželjenom primatelju, primatelji bi je mogli pročitati. Rizik od nenamjernog otkrivanja bio je posebno visok jer voditelj obrade nije pratio promet e-mail računa, tj. primljene i poslane e-mailove svojih zaposlenika.
Osim toga, utvrđeno je kako je voditelj obrade koristio automatizirani sustav poruka vezan uz spajanje identifikacijskih brojeva. Te poruke bile su nešifrirane i sadržavale su osobne podatke pacijenata.
Zaključak
Nadzorom je utvrđeno da voditelj obrade nije proveo odgovarajuće sigurnosne mjere, kršeći članak 32(1) GDPR-a.
Nadzorno tijelo je izreklo opomenu voditelju obrade. U tom smislu, utvrđeno je da je voditelj već poduzeo korake za rješavanje nedostatka sigurnosti prije donošenja odluke. Konkretno je:
- proveo analizu rizika i ranjivosti;
- izbrisao e-poruke koje su sadržavale nešifrirane osjetljive podatke;
- bolje uputio osoblje o svojoj politici o zaštiti podataka;
- promijenio svoj automatizirani sustav poruka;
- implementirao sustav upozorenja zaposlenicima da će poslati e-poruke koje sadrže osobne identifikacijske brojeve, kako bi se spriječilo slučajno otkrivanje.
Što je članak 32. GDPR-a?
Možda najšire raspravljani skup zahtjeva za usklađenost unutar GDPR-a su oni koji se nalaze u članku 32.
To je zato što on sadrži mjere koje organizacije moraju provesti kako bi spriječile kibernetičke napade, ranjivosti sustava i baza podataka te bilo koje povrede podataka.
Članak 32. GDPR-a utvrđuje tehničke i organizacijske mjere koje organizacije trebaju provesti kako bi zaštitile osobne podatke koje pohranjuju.
GDPR ne ulazi u detalje o tome kako bi ti procesi trebali izgledati. To je zato što se najbolje prakse - posebno kada je riječ o tehnologiji - brzo mijenjaju, a ono što se sada smatra prikladnim možda neće biti za nekoliko godina.
Koje god mjere usvojite trebale bi adekvatno zaštititi vaše sustave od povreda podataka i drugih potencijalnih problema. A kako ćete to znati- jeste li proveli procjene rizika?
To uključuje incidente poput pristupa sustavima neovlaštene osobe (bilo da se radi o zaposleniku ili trećoj strani) ili mogućnost da zaposlenici šalju osjetljive informacije izvan organizacije.
Postoje mnogi drugi čimbenici koji utječu na zaštitu podataka, poput vaše razine transparentnosti prema ispitanicima i vaše svrhe obrade njihovih podataka. Međutim, oni nisu obuhvaćeni člankom 32. GDPR-a, koji se posebno usredotočuje na sigurnu obradu osobnih podataka.
Konkretno, navodi se da morate identificirati i ublažiti rizike koje predstavlja obrada podataka, „posebno od slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji se prenose, pohranjuju ili na drugi način obrađuju“.
Minimalni zahtjevi za usklađenost u članku 32.
Svaka organizacija djeluje jedinstveno i ima svoje rizike, stoga ne postoji jedinstveni skup praksi zaštite podataka koji funkcionira za sve.
Zato GDPR zahtijeva da implementirate mjere koje su primjerene vašim okolnostima i rizicima s kojima se suočavate.
To bi moglo uključivati:
- Pseudonimizaciju osobnih podataka
To možete učiniti zamjenom imena i jedinstvenih identifikatora ispitanika referentnim brojem, koji možete unakrsno referencirati putem zasebnog dokumenta. Na taj način, informacije predstavljaju puno manji rizik ako se otkriju. Ovo je relativno jednostavan pristup sigurnosti podataka i važno je zapamtiti da pomaže samo do određene mjere - ako netko neovlašteno upadne u vaše sustave, možda će moći pronaći odgovarajuće podatke i identificirati ispitanike.
Neke organizacije mogu ići korak dalje i šifrirati osobne podatke.
Kao i kod pseudonimizacije, šifrirani podaci su nečitljivi osim ako nemate drugi podatak - što je, u ovom slučaju, ključ za dešifriranje.
Međutim, dodatna sigurnost čini pristup podacima nezgodnijim, pa vjerojatno ne biste šifrirali bazu podataka koju redovito koristite.
Ovaj je postupak puno prikladniji za arhive, datoteke kojima pristupate samo povremeno ili podatke koji se prenose.
- Mjere za zaštitu povjerljivosti, integriteta i dostupnosti osobnih podataka
Povjerljivost znači da osjetljive informacije pregledavaju samo ovlaštene osobe, integritet znači da su informacije točne, a dostupnost znači da su informacije dostupne kada je to potrebno.
Kad je riječ o povjerljivosti, postoje dvije stvari na koje morate obratiti pozornost: kako spriječiti treće strane da neovlašteno uđu u vaše sustave i kako spriječiti svoje zaposlenike da otkriju osjetljive informacije nekome trećem tko nije ovlašten primiti i obraditi te informacije.
Prvi problem može se riješiti mjerama poput programa protiv zlonamjernog softvera, obuke osoblja o osvješćivanju i skeniranja ranjivosti sustava.
U međuvremenu, možete smanjiti rizik od zlouporabe od strane zaposlenika stvaranjem strogih politika o rukovanju osobnim podacima.
Trebali biste staviti naglasak na pravilno čuvanje podataka i provedbu odgovarajućih mjera zaštite kada se podaci pohranjuju u oblaku. Isto tako, trebali biste usvojiti mjere kako biste spriječili zaposlenike da zlonamjerno zloupotrebljavaju osobne podatke.
Integritet podataka može se osigurati mjerama poput kontrola pristupa i audit logova, a dostupnost podataka robusnim BCMS-om (sustav za upravljanje kontinuitetom poslovanja).
- Mjere za vraćanje podataka u slučaju prekida
U slučaju fizičkog ili tehničkog incidenta koji utječe na vaše poslovanje, morate biti spremni brzo vratiti pristup osobnim podacima.
To možete učiniti stvaranjem i redovitim održavanjem sigurnosnih kopija, što će spriječiti gubitak podataka. To bi trebalo biti nadopunjeno planom odgovora na incidente.
- Redovito testirajte učinkovitost ovih mjera
Morate biti sigurni kako tehničke i organizacijske mjere koje ste usvojili i dalje funkcioniraju kako je predviđeno.
To bi mogao biti problem ako se organizacijska struktura promijenila, zbog čega određeni procesi više nisu relevantni.
Alternativno, pregled vaših mjera mogao bi otkriti da se proces ne provodi na ispravan način, tehnologija je neispravna ili se rizik promijenio.
Kakav god problem bio, morate redovito testirati svaku tehničku ili organizacijsku mjeru koju usvojite. To može biti, na primjer, revizija, skeniranje ranjivosti sustava ili test penetracije.
Kontrolni popis za članak 32. GDPR-a
Kako biste ostali u skladu sa svojim obvezama iz članka 32., britansko tijelo za zaštitu podataka, ICO (Ured povjerenika za informacije), izradilo je kontrolni popis za usklađenost.
- Pregledajte trenutačno stanje i troškove provedbe prilikom razmatranja mjera informacijske sigurnosti.
- Izradite politiku informacijske sigurnosti kako biste pratili tehničke i organizacijske mjere.
- Izradite dodatne, specifične politike za rješavanje mjera informacijske sigurnosti.
- Redovito pregledavajte i ažurirajte politike kako biste osigurali da funkcioniraju kako treba i poboljšajte ih gdje je to moguće.
- Provedite osnovne tehničke kontrole poput onih specificiranih utvrđenim okvirima kao što je Cyber Essentials.
- Procijenite je li potrebno provesti nove mjere ako se promijene okolnosti obrade podataka.
- Provedite mjere za zaštitu povjerljivosti, integriteta i dostupnosti osobnih podataka.
- Provedite mjere za vraćanje pristupa osobnim podacima u slučaju prekida.
- Redovito pregledavajte tehničke i organizacijske mjere, ističući područja za poboljšanje.
- Gdje je to primjereno, provedite mjere koje su u skladu s odobrenim kodeksom ponašanja ili mehanizmom certificiranja.
- Osigurajte da svaki izvršitelj obrade također provodi odgovarajuće tehničke i organizacijske mjere te pazite na redovan audit izvršitelja obrade.
Agencija za zaštitu podataka je također pripremila određene edukacije kao i smjernice te pitanja putem kojih možete procijeniti gdje ste sa stupnjem usklađenosti.
Presidov upitnik o usklađenosti možete naći ovdje.
