INPS meldt bij een Datalek bij de Autoriteit Persoonsgegevens
(door Dr.Giuseppe Gorga) Op 14 mei 2020 werd het nationale instituut voor sociale zekerheid (INPS) geconfronteerd met verschillende schendingen van cyberbeveiligingsprotocollen op zijn servers. Het incident werd gemeld aan de Garant voor de bescherming van persoonsgegevens zoals vereist door art. 33 van de AVG waarin de thema's en methoden van rapportage worden uiteengezet.
Schendingen van persoonlijke gegevens ten nadele van INPS hebben geleid tot ongeautoriseerde toegang van gebruikers tot de hoofdsite (www.inps.it) met de relatieve weergave van persoonlijke gegevens van derden.
Deze "knal" deed zich voor als gevolg van de grote vraag van Italiaanse burgers naar de verstrekking van de bonus voor de aankoop van oppasdiensten (de zogenaamde "oppasbonus") en voor het verzoek om diensten ter ondersteuning van het inkomen , gekoppeld aan de noodsituatie van COVID19, voorzien door het wetgevingsdecreet 18/2020.
In verband hiermee heeft het instituut, om een adequaat niveau van bruikbaarheid van de diensten en bescherming tegen DDOS-aanvallen te garanderen, besloten om een CDN-dienst (Content Delivery Network) te gebruiken, die wordt beschouwd als 'geschikt voor het beheer van deze dienst. serviceleveringsmodel.
Het bedrijf Leonardo is ook betrokken en biedt systeemondersteuning door een "technische tabel" te vormen tussen INPS, Microsoft en laatstgenoemden.
Daarnaast zal het instituut gebruik maken van het technologieaanbod van Microsoft, op het gebied van inhoudsdistributie, gebaseerd op Akamai-technologie. Al deze tegenmaatregelen zullen echter onvoldoende blijken om de stroom van verzoeken op te vangen.
In het licht van het uitbreken van de noodsituatie heeft INSP drastisch gekozen voor een tijdelijke sluiting van haar website. Deze beslissing was nodig om de optimalisatie van het portaal www.inps.it uit te voeren en het verkeer van tussenpersonen en burgers te beperken.
Een andere beschermende maatregel voor het Instituut, om de verspreiding van persoonlijke gegevens te beperken, was het creëren van een speciale violazionedatiGDPR@inps.it-box, zodat u rapporten en bewijsmateriaal met betrekking tot het datalek kunt verzenden.
Uit de verschillende rapporten hebben we vernomen dat de gegevens die door derden werden getoond voornamelijk betrekking hadden op persoonsgegevens, woonplaats en elektronische contacten, gevonden door een aantal proefpersonen van maximaal 819 personen.
In dit verband verklaarde het INPS dat "rekening houdend met het soort gegevens dat wordt weergegeven en in aanmerking genomen dat de mogelijkheid om in de loop van de tijd op een volledig willekeurige en beperkte manier te kijken plaatsvond door proefpersonen die geen connectie en interesse lijken te hebben met die betrokken zijn, […] is van mening dat de schending niet van dien aard is dat deze een hoog risico inhoudt voor de rechten en vrijheden van individuen ”.
Niet onbelangrijk, de verdere anomalieën die uit deze analyse naar voren kwamen, zelfs als ze niet rechtstreeks verband hielden met het portaal van het instituut, zoals bijvoorbeeld de ongeautoriseerde toegang tot persoonsgegevens die al op 31 maart 2020 plaatsvond en anomalieën die werden aangetroffen in het kader van de procedure COVID-19 vrijwaring.
Concluderend, de Privacy Garant volgens art. 58, par. 2, lett. e) van het Reglement, draagt het INPS op om de schendingen van de persoonsgegevens in kwestie onverwijld aan alle betrokken belanghebbenden te melden. Verder wordt het INPS gevraagd om mee te delen welke initiatieven er zijn ondernomen om het probleem op te lossen en om voldoende gedocumenteerde feedback te geven conform art. 157 van de Code, binnen 20 dagen na de datum van ontvangst van de bepaling.
Dit moet ons doen nadenken over hoe onze gegevens altijd potentieel in gevaar zijn als we niet alle mogelijke kritieke problemen in gebreke stellen.