INPS-Bericht an die Datenschutzbehörde wegen Datenschutzverletzung
(von Dr. Giuseppe Gorga) Am 14. Mai 2020 erlitt das nationale Institut für soziale Sicherheit (INPS) auf seinen Servern mehrere Verstöße gegen Cybersicherheitsprotokolle. Der Vorfall wurde dem Garanten zum Schutz personenbezogener Daten gemäß Art. 33 gemeldet. XNUMX der DSGVO, in dem die Themen und Methoden der Berichterstattung dargelegt sind.
Verstöße gegen personenbezogene Daten zum Nachteil von INPS haben zu einem unbefugten Zugriff der Benutzer auf die Hauptseite (www.inps.it) mit der relativen Anzeige personenbezogener Daten Dritter geführt.
Dieser "Knall" trat aufgrund der großen Nachfrage der italienischen Bürger nach der Bereitstellung des Bonus für den Kauf von Babysitterdiensten (der sogenannte "Babysitting-Bonus") und nach dem Antrag auf Einkommensunterstützung auf , verbunden mit der Notsituation von COVID19, die im Gesetzesdekret 18/2020 vorgesehen ist.
In diesem Zusammenhang hatte das Institut beschlossen, einen CDN-Dienst (Content Delivery Network) zu verwenden, der als "für die Verwaltung geeignet" angesehen wird, um ein angemessenes Maß an Benutzerfreundlichkeit der Dienste und Schutz vor DDOS-Angriffen zu gewährleisten Servicebereitstellungsmodell.
Das Unternehmen Leonardo ist ebenfalls beteiligt und bietet Systemunterstützung, indem es eine "technische Tabelle" zwischen INPS, Microsoft und letzterem erstellt.
Darüber hinaus wird das Institut das Technologieangebot von Microsoft für die Verteilung von Inhalten nutzen, das auf der Akamai-Technologie basiert. Alle diese Gegenmaßnahmen werden sich jedoch als unzureichend erweisen, um den Anforderungsfluss zu bewältigen.
Angesichts des Ausbruchs des Notfalls hat sich INSP drastisch für eine vorübergehende Schließung seiner Website entschieden. Diese Entscheidung war notwendig, um das Portal www.inps.it zu optimieren und den Verkehr von Vermittlern und Bürgern zu begrenzen.
Eine weitere Schutzmaßnahme für das Institut, um die Verbreitung personenbezogener Daten einzuschränken, bestand darin, ein spezielles Feld für Verstöße gegen die Datenschutzbestimmungen zu erstellen, um die Übermittlung von Berichten und Beweismitteln bezüglich des Datenschutzverstoßes zu ermöglichen.
Aus den verschiedenen Berichten ging hervor, dass es sich bei den von Dritten angezeigten Daten hauptsächlich um personenbezogene Daten, Wohnorte und Telematikkontakte handelte, die von einer Reihe von Personen mit höchstens 819 Personen gefunden wurden.
In diesem Zusammenhang erklärte INPS, dass "unter Berücksichtigung der Art der angezeigten Daten und unter Berücksichtigung der Tatsache, dass die Möglichkeit der Anzeige im Laufe der Zeit von Probanden, die offenbar keinen Zusammenhang und kein Interesse mit diesen haben, auf völlig zufällige und begrenzte Weise stattgefunden hat […] ist der Ansicht, dass die Verletzung kein hohes Risiko für die Rechte und Freiheiten des Einzelnen darstellt. “
Nicht unerheblich sind die weiteren Anomalien, die sich aus dieser Analyse ergeben haben, auch wenn sie nicht direkt mit dem Portal des Instituts verbunden sind, wie beispielsweise der unbefugte Zugriff auf personenbezogene Daten, der bereits am 31. März 2020 aufgetreten ist, und Anomalien, die im Rahmen des Verfahrens festgestellt wurden COVID-19-Entschädigung.
Abschließend kann der Datenschutzgarant gemäß Art. 58, par. 2, lett. e) der Verordnung befiehlt dem INPS, die Verstöße gegen die betreffenden personenbezogenen Daten unverzüglich allen Beteiligten mitzuteilen. Darüber hinaus wird INPS gebeten, mitzuteilen, welche Initiativen ergriffen wurden, um das Problem zu lösen, und ein angemessen dokumentiertes Feedback gemäß Art. 157 des Kodex innerhalb von 20 Tagen ab dem Datum des Eingangs der Bestimmung.
Dies muss uns darüber nachdenken lassen, wie unsere Daten immer potenziell gefährdet sind, wenn wir nicht alle möglichen kritischen Probleme in Verzug bringen.