Нидерландският орган за защита на данните се развихри

Глоби болница, община и Booking.com от началото на годината

Нидерландският орган за защита на данните (DPA) наложи глоба на община Enschede от 600 000 евро, тъй като общината използва Wi-Fi проследяване в центъра на града по начин, който не е разрешен. Това направи възможно проследяването на купувачи и хора, които живеят или работят в центъра на града.

През 2017 г. община Enschede решава да измери натовареността в центъра на града с помощта на сензори. Общината наема фирма, специализирана в преброяването на минувачите.

Измервателните кутии по търговските улици улавяха WiFi сигналите от мобилните телефони на преминаващите хора. Телефоните се регистрират с уникален код.

Могат да се преброяват телефоните в даден момент около измервателната кутия. За по-дълъг период от време, това „броене“ се променя в проследяване на хора, ако се проследи кой телефон преминава през измервателната кутия.

Разследване на DPA в община Enschede показва, че случаят е такъв. Следователно неприкосновеността на личния живот на гражданите не е била гарантирана по подходящ начин, тъй като те могат да бъдат проследени, без това да е необходимо.

DPA също не намира доказателства това за проследяване на отделни лица. Но внедряването на Wi-Fi проследяване, което прави това възможно, само по себе си е сериозно нарушение на GDPR.

„Поверителността на гражданите трябва да е на първо място“

„Ако можете да следите хората чрез телефона им, това е много лошо“, казва вицепрезидентът на DPA Моник Вердие. „Защото всеки има право да се разхожда по улиците свободно и ненаблюдавано. …“

Общината и две участващи компании имаха достъп до данните. Вердие посочва, че  има модел: някой пристига ли на едно и също място в 8 часа сутринта всеки ден. И тя или той си тръгва в 17:00?  Тогава този някой работи там.

Нарушението започва през май 2018 г. Намесата на DPA кара общината да спре проследяването на Wi-Fi на 1 май 2020 г.

Използването на WiFi проследяване е подчинено на строги изисквания и в повечето случаи е забранено.  „Тъй като тази техника засяга толкова много живота на хората, можете да използвате WiFi проследяване само в екстремни случаи“, казва Вердие.

В някои ситуации на общините е разрешено да обработват лични данни чрез WiFi проследяване, например ако това е законово задължение.

DPA глобява Booking.com за забавяне при докладване на нарушение на данните

DPA наложи глоба от € 475 000 на Booking.com, тъй като на компанията отне твърде много време, за да докладва за нарушение на данните. Когато настъпи нарушението, престъпниците получават личните данни на над 4000 клиенти. Те също така се възползват от информацията за кредитната карта на почти 300 души.

При телефонна измама, насочена към 40 хотела в Обединените арабски емирства през декември 2018 г., престъпниците убеждават персонала на хотела да разкрие данните за влизане в своите акаунти в системата на Booking.com.  По този начин престъпниците получават достъп до данните на 4 109 души, които са резервирали хотелска стая в ОАЕ.  Данните включват техните имена, адреси и телефонни номера, както и подробности за резервацията им.

Престъпниците също имат достъп до информацията за кредитната карта на 283 души. В 97 случая е получен и кодът за сигурност на кредитната карта. Престъпниците също се опитват да получат информацията за кредитната карта на други жертви, представяйки се като служители на Booking.com в имейли или по телефона.

„Клиентите на Booking.com рискуваха да станат жертва на сериозна кражба“, казва заместник-председателят на DPA Моник Вердие, „дори престъпниците да не са получили информация за кредитна карта, а само нечие име, данни за контакт и информация за резервация.  В крайна сметка тези подробности могат да бъдат използвани от измамниците за „фишинг“.

„Представяйки се в имейли или по телефона като хотелски персонал, те се опитват да откраднат пари от хората. Такъв подход може да изглежда много достоверен, ако измамникът знае точно кога сте направили резервация и каква стая сте резервирали, след което поиска да платите за въпросните нощувки. По този начин могат да се откраднат големи суми пари.

За нарушението е съобщено на 13 януари 2019 г., но не е подаден сигнал до DPA до 7 февруари, което е 22 дни по-късно: нарушенията на данните трябва да бъдат докладвани в рамките на 72 часа.  На 4 февруари 2019 г. Booking.com информира засегнатите клиенти за нарушението.  Компанията предприема и други мерки за ограничаване на щетите, като например да предложи да компенсира всякакви загуби.

„Предприемането на бързи действия е от съществено значение, не на последно място за жертвите на нарушението. След получаване на доклада DPA може да нареди на компанията незабавно да предупреди засегнатите. Това може да попречи на престъпниците да имат седмици, в които да се опитват да измамят клиентите. Според г-жа Verdier, „Компания с такъв размер, която съхранява ценни лични данни на милиони клиенти в своите системи, носи огромна отговорност. Клиентите поверяват личните си данни на Booking.com. И компанията трябва да направи всичко възможно, за да защити правилно тези данни. Това означава не само да се гарантира добра сигурност за предотвратяване на пробиви, но и да се предприемат бързи действия, ако се случи най-лошото.“

Booking.com няма да обжалва глобата.  Главното седалище на Booking.com е в Холандия, поради което холандският DPA извърши разследването.  Тъй като това беше международен въпрос, DPA координира разследването с други европейски надзорни органи за защита на данните.

Задължението за докладване на нарушения на данни означава, че както компаниите, така и публичните органи трябва незабавно (и при всички случаи в рамките на 72 часа) да информират DPA, ако претърпят сериозно нарушение на данните. В определени случаи те трябва да информират и лицата, чиито лични данни са изтекли.

Нидерландският надзорен орган глоби болницата OLVG за неадекватна защита на медицинските досиета 

Нидерландският орган за защита на данните (DPA) наложи глоба в размер на 440 000 евро на базираната в Амстердам болница OLVG заради неадекватната защита на медицинските досиета на пациентите. Между 2018 и 2020 OLVG не разполага с достатъчно предпазни мерки, за да предотврати неоторизиран достъп до записите.

Не извършва правилни проверки кой е имал достъп, до какви записи и има недостатъци в сигурността на информационните системи. В отговор на разследването на DPA OLVG прави необходимите подобрения.

„Би трябвало да можете да разчитате, че каквото и да обсъдите с Вашия лекар, ще остане поверително“, заяви заместник-председателят на DPA Моник Вердие. „… Пациентите имат право да очакват, че членовете на персонала ще имат достъп до техните медицински досиета само ако това е необходимо за лечението. Мерките за сигурност на OLVG не могат да гарантират това. Това е сериозно нарушение и затова DPA наложи тази глоба. “Освен медицинска информация, записите на пациентите съдържат и лични данни … адреси и телефонни номера. Този тип данни също трябва да бъдат правилно защитени, за да се избегнат рискове като измама със самоличност.

След разследването DPA заключи, че има структурни недостатъци в начина, по който OLVG осигурява достъп до медицинските досиета. По-конкретно, той установи две нарушения на закона за защита на данните:

  • Всеки път, когато член на персонала има достъп до медицински записи, тези данни трябва да се записват в дневник. Освен това болницата трябва редовно да преглежда този дневник за достъп, за да може да предприеме своевременни стъпки, ако установи, че някой е имал достъп до запис, когато всъщност не е упълномощен да го направи. OLVG има автоматизирана процедура, която регистрира кой има достъп и до кои файлове, но не преглеждат дневниците достатъчно често, за да проверяват за случаи на неоторизиран достъп.
  • Добрата сигурност изисква двуфакторно удостоверяване, за да се установи самоличността на потребител, който иска достъп до запис на пациента. OLVG не изисква двуфакторно удостоверяване, когато се иска достъп от болницата. Достъпът от място извън болницата е осигурен с двуфакторно удостоверяване.

„Здравният сектор постоянно е в топ 3 на секторите с най-много нарушения на данните през последните няколко години. И говорим за сектор, който съхранява много силно чувствителни лични данни “, каза г-жа Вердие. „Защитата на данните за пациентите е от решаващо значение.  Пациентите споделят много информация с доставчиците на здравни услуги – и е жизненоважно те да го направят, може би сега повече от всякога заради COVID-19. Но това означава, че хората трябва да могат да имат увереност, че техните данни са в безопасност. Затова молим болниците и други доставчици на здравни услуги да разгледат добре как защитават данните си за пациентите и да предприемат стъпки за подобряване на това, където е необходимо. “

OLVG подобри сигурността на своите системи по време на разследването на DPA.

Болницата въведе структурна процедура за преглед на дневниците за достъп, както и двуфакторно удостоверяване за достъп до медицински записи от болницата.

OLVG няма да подаде възражение или жалба срещу решението на DPA за налагане на глоба.

Можете да споделите: