Brittany Kaiser: Intervenția străinilor în alegerile din România încă este o amenințare (VIDEO)

INTERVIU EXCLUSIV

Vizualizari: 3244

Facebooktwittergoogle_plusredditpinterestlinkedinmail

În calitate de fost Director de dezvoltare a afacerilor la Cambridge Analytica, Brittany Kaiser este un celebru denuntator, demascând modul în care au fost influențați și manipulați oamenii, transformand datele în adevarate arme în acest război psihologic. Fondatorul organizației Own Your Data și al campaniei #OwnYourData promovează și implementează educația digitală și participă activ la proiecte de educație în domeniul protecției datelor. Este personajul principală al documentarului original Netflix „The Great Hack” și autorul cărții Targeted.

Participand la #WebSummit 2019, a acceptat să ofere un interviu în exclusivitate pentru Dpo-NET.ro despre interventiile straine in campaniile electorale din ROMANIA si importanta DPO-ului si recomandari pentru fiecare dintre noi.

În acest weekend avem alegeri prezidențiale în România. Referitor la informațiile care au vizat țara noastră, prezentate în documentarul Netflix, ne puteți oferi mai multe detalii? Ca o glumă, știți cine a câștigat deja aceste alegeri?

Nu am informații despre consultanții politici internaționali care lucrează acum în România, dar cu siguranță Cambridge Analytica a lucrat în România. Nu-mi amintesc pentru ce partid, însă Cambridge Analytica nu a fost singura companie. Cambridge Analytica avea și o companie similară care reprezenta cealaltă parte. Deci, este foarte important ca oamenii să fie conștienți că influența străină în alegeri este o realitate, companiile de consultanță politică sunt reale și nu au dispărut doar pentru că Cambridge Analytica nu mai există.

Așadar, este important ca oamenii să-și amintească că, în timpul alegerilor, ar putea fi ținta unor dezinformari. Ar putea fi influențați prin mesaje care să îi determine să nu ia parte la procesul electoral. Încercați să nu share-uiți astfel de mesaje mai departe pe rețelele de socializare. Întotdeauna ieșiți la vot, nu deveniți indiferenți față de ce se întâmplă pe scena politică și rămâneți implicați, indiferent de ce vă sugereaza o reclamă pe Facebook.

Există o soluție pentru combaterea știrilor false și a dezinformării?

Există soluții, dar abia acum încep să create. Cred că are de-a face foarte mult cu tehnologia blockchain, este foarte importantă identificarea și urmărirea faptelor și verificarea provenienței știrilor, dacă respectă ghidurile etice sau dacă jurnaliștii de investigație sunt persoane reale.
Trebuie să putem verifica articolele fără o documentare serioasă și din surse îndoielnice, pe care orice persoană le poate publica.

Care este cel mai bun sfat pentru mine ca catățean și consumator?

Sfatul meu este ca toată lumea să aibă grijă la modul în care sunt protejate datele personale. Trebuie să citiți termenii și condițiile, înainte de a descărca o aplicație și să realizați că în acel moment datele voastre sunt deja colectate. Dacă decideți că nu sunteți de acord cu termenii, atunci trebuie să vă dați seama că nu puteți utiliza aplicația respectivă, alegând confidențialitatea în dentrimentul confortului. Și dacă începeți să faceți acest lucru zilnic, atunci treptat veți fi capabili să recunoaști o prelucrare corecta și transparentă, și veți putea decide dacă vă împărtășiți datele sau să vă păstrați confidențialitatea, realizând că totul are un cost.

Dacă ne referim la Responsabilii cu protecția datelor, aveți o recomandare pentru aceste persoane care au devenit protectorii confiențialității ?

Fiecare Responsabil cu protectia datelor trebuie să impună organizației pentru care lucrează utilzarea datelor clienților, într-un mod cât se poate de transparent. Spuneți-i clientului ce date colectați despre el, nu utilizați politici de confidențialiatete confuze, spuneți clientului ce date doriți de la el, cereți-i să își actualizeze propriile date. "Acestea sunt datele tale pe care noi le deținem. Datele acestea mai sunt actuale? Încă vă plac aceste lucruri? Aveți aceeași culoare preferată? Aveți aceleași prefeințe pentru micul dejun?". Dacă veți răsplăti clienții oferindu-le un stimulent pozitiv, probabil că veți obține un set date relevante, în timp real, pe care le puteți utiliza eficient. Astfel, oamenii vor avea ocazia să inteleagă de ce aveti nevoie de datele lor și să își dea acordul pentru prelucrarea acestora.

Când un DPO lucrează pentru o organizație, acesta luptă pentru protejarea intereselor companiei sau pentru interesele persoanelor?

Responsabilii cu protectia datelor acționează în interesul persoanelor și se asigură că organizațiile respectă regulile etice pentru a-și proteja clienții.

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Cătălina Lungu: „De Black Friday, vânătorii de chilipiruri se pot transforma în victime”

INTERVIU EXCLUSIV

Vizualizari: 1050

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Cătălina Lungu este Responsabil cu protecția datelor (DPO) si Consultant GDPR la Proactiv Cons SRL , fiind licențiată în managementul firmei și absolventă a cursurilor postuniversitare în protecția datelor cu caracter personal (2019). Din luna mai 2019 este Director de Comunicare în cadrul Asociației Specialiștilor în Confidențialitate și Protecția Datelor din România, în iulie 2019 câștigând și titlul de “Best DPO of Romania” acordat de Universitatea de Medicină, Farmacie și Științe și Tehnologie din Târgu Mureș, în cadrul concursului “Papiu Ilarian Data Protection Moot”. Cu o experiență antreprenorială de peste 17 ani în domeniul producției, cunoaște în detaliu mecanismele organizaționale. Avand în vedere succesul de care se bucura perioada "Black Friday" in Romania si riscurile care au aparut in privinta prelucrarii datelor cu caracter personal, Cătălina a acceptat sa ofere un interviu in exclusivitate pentru dpo-net.ro. 

Black Friday este cea mai aglomerată perioadă de cumpărături a anului, pentru că, să fim sinceri, tuturor ne plac discounturile. Dar goana dupa chilipiruri ne face sa ignoram mici detaliii. La ce ar trebui să fie atenți cumparătorii să în această perioadă, în special în ceea ce privește protejarea datelor personale?

C.L: Având în vedere faptul că în această perioadă atenția cumpărătorilor este direcționată într-o mai mare măsură către a analiza multitudinea de oferte lansate de magazinele participante la BlackFriday2019, pentru a putea lua cea mai bună decizie de cumpărare și dată fiind presiunea dată de perioada scurtă de valabilitate și disponibilitate a ofertelor, cea mai mare parte a persoanelor care fac cumpărături online omite, din păcate, să acorde în continuare, sau în mod adăugat, atenție și modului în care datele cu caracter personal le sunt prelucrate. Acesta este un bun moment când este de datoria profesioniștilor care lucrează în domeniul protecției datelor cu caracter personal să tragă semnalul de alarmă și să îndeplinească oarecum un rol de ”reminder” cu privire la riscurile pe care comerțul online le comportă sub acest aspect.

De fapt, persoanele vizate, în această perioadă, trebuie să manifeste un interes sporit pentru modul în care datele lor cu caracter personal sunt folosite de titularii de site-uri, într-un mod direct proporțional cu dorința acestora de a menține propriile date personale în condiții de păstrarea a confidențialității, ca un manifest al dreptului acestora la intimitate și viață privată.

Cât de tare ne poate afecta o încălcare a acestora sau o eventuală bresă de securitate? Care sunt cele mai frecvente riscuri la care se expun „online shopper-ii” de  Black Friday

C.L: În primul rând, pentru a putea răspunde la această întrebare, este necesar să cunoaștem natura cumpărăturilor accesate online, în condițiile în care divulgarea unor anumitor tipuri de cumpărături comportă mai multe riscuri decât pot genera alte tipuri. Pentru a avea o dimensiune clară a acestei afirmații, vă invit să vă imaginați o situație în care ajung publice informații cu privire la cumpărarea, de către o persoană, a unor suplimente alimentare pentru tratarea infertilității sau achiziționarea unor gadget-uri dintr-un sex-shop virtual; acestea sunt date cu caracter personal de natura celor sensibile, așa cum sunt și datele financiare constituite de prețul de achiziție a cumpărăturilor efectuate. Putem aminti, prin urmare, un risc de devoalare a intimității persoanei vizate prin divulgarea neautorizată a cumpărăturilor prilejuite de această campanie, devoalare ce poate conduce spre etichetări, desconsiderări sau judecăți emise de terții care iau la cunoștință aceste date, terți printre care se pot afla prieteni, dar mai ales alți oameni cu care titularul datelor nu este în relații armonioase. Decizia de a face cunoscute și, mai ales cui, datele personale este și trebuie să rămână în continuare apanajul proprietarului acestora, respectiv persoana vizată. 

Datele cu caracter personal, indiferent de tipul și categoria din care fac parte, odată puse la dispoziția mediului online, sunt expuse diseminării necontrolate în lipsa măsurilor de securitate adecvate, iar prejudiciile persoanelor vizate sunt multiple, semnificative și cu efecte pe o perioadă nelimitată de timp.

Dincolo de aspectele emoționale și de imagine, prejudiciile persoanelor vizate pot fi și de natură financiară, prin prisma accesării unor date financiare (cont bancar, număr card, etc.) de către persoane cu interese ilicite. Universul prelucrărilor de date cu caracter personal în mediul online este expus necontenit amenințărilor de tipul inserării de viruși și viermi de rețea, de troieni, rootkit-uri sau spargerea calculatorului pentru colectarea datelor pe care acesta le conține. O categorie de amenințări virtuale demne de luat în seamă sunt tehnicile de phishing și pharming care induc fraudulos în eroare  utilizatorii de internet. De altfel, statistic vorbind, peste 90% dintre atacurile cibernetice sunt îndreptate împotriva utilizatorilor casnici de internet, iar evenimente online de anvergura campaniei Black Friday prilejuiesc o întețire a activităților infracționale online. Toate aceste informații se regăsesc inclusiv în Ghidul consumatorului de reduceri, pus la dispoziție de Asociația Specialiștilor în Confidențialitate și Protecția Datelor, disponibil pe site-ul propriu (www.ascpd.ro), în secțiunea campanii de informare.

Un alt risc, care nu este deloc de neglijat, este partajarea neautorizată a adresei de mail a persoanei vizate, de către site-ul pe care aceasta a comandat produse, cu diverse alte magazine online ce preiau această adresă și ulterior efectiv o bombardează cu newsletters, promoții inimaginabile și alte asemenea comunicări de marketing ce ajung efectiv să agreseze persoana vizată care, dintr-o dată, constată că se află într-o gravă criză de timp, mai ales, pentru a solicita fiecăruia restricționarea transmiterii acestui tip de corespondență.

În lumina celor spuse deja pe acest subiect, ca și conduită generală, recomandarea mea este ca fiecare utilizator să utilizeze site-uri sigure și să verifice informațiile pe care le accesează, pentru a nu fi o nouă victimă a știrilor false ce sunt atât de mult utilizate în mediul online sub denumirea de fake-news.

Dar magazinele online, ce trebuie ele să facă pentru a-și proteja clienții și implicit să se asigure că nu fac obiectul unei anchete a autorității de supraveghere și eventual a unei sancțiuni?

C.L: Pentru comunicațiile din mediul online, în completarea GDPR dar nu neapărat, acționează prevederile Legii 506/2004, a cărei încălcare este constatată și sancționată tot de Autoritatea Națională de Supraveghere a Prelucrărilor de Date cu Caracter Personal. Și, dacă tot veni vorba despre sancțiuni, aș dori să aduc în discuție un argument solid în favoarea aplicării unitare a sancțiunilor privind neconsemnarea consimțământului prealabil, exprimat în mod expres și fără echivoc a persoanei vizate cu privire la transmiterea de mesaje comerciale de către doi operatori de date cu caracter personal care diferă ca și grad de notorietate și dimensiunea afacerii promovate prin site-ul propriu. Este vorba despre amendarea, pentru aceeași abatere și cu aceeași sumă de 10.000,00 lei, atât a cunoscutului magazin online gestionat de Elefant Online S.A. (https://www.dataprotection.ro/?page=Amenda_Elefant_Online&lang=ro) , cât și a operatorului Artmark Holding S.R.L. (https://www.dataprotection.ro/?page=Comunicat_Presa_Amenda_Artmark&lang=ro), mai puțin cunoscut publicului larg. De aici, putem constata fără echivoc, tratamentul egal al operatorilor de date cu caracter personal, în evaluarea abaterilor constatate pentru acest tip de prelucrare de date cu caracter personal, indiferent că este vorba de o companie consacrată cu o cifră de afaceri importantă ori de o firmă de mai mici dimensiuni, cu un grad de notorietate mai mic. În ambele cazuri, prejudiciul de imagine este cel mai apăsător, dat fiind că acest tip de prejudiciu are ca rezultantă scăderea încrederii utilizatorului site-ului respectiv.

Revenind într-un registru mai plăcut și mai aproape de zona de control a operatorilor de date în mediul online, reiterez faptul că, pentru asigurarea legalității prelucrărilor de date personal, titularii site-urilor trebuie în mod permanent să se asigure că persoana vizată ce le calcă pragul virtual este informată corespunzător cu privire la utilizarea datelor cu caracter personal prin publicarea și menținerea în formă actualizată a unei note de informare/politică privind prelucrarea acestor date conform cerințelor instituite prin GDPR, a unei politici de utilizare cookies și punerea la dispoziția vizitatorului a unei modalități facile e acordare neviciată a consimțământului de prelucrare precum și de retragere necondiționată a acestuia; la completarea formularelor de înscriere la newsletter se vor urma pașii corecți și concreți de obținere a acordului asumat pentru prelucrările viitoare, prin acordarea garanțiilor adecvate privind prelucrarea datelor furnizate cu acest prilej. Totodată, se va avea în vedere facilitarea exercitării drepturilor persoanei vizate, drepturi consemnate în cuprinsul Cap. III din Regulamentul (U.E.) 679/2016.

Ca specialist în protecția datelor vedeți totul dintr-o altă perspectivă. Cum ați caracteriza „online shopper-ul” din România? Este el conștient de riscuri? Știe el cum să își protejeze datele?

C.L: Din păcate, populația României se află încă în zorii procesului de conștientizare a importanței datelor cu caracter personal, așa cum ne și arată concluziile studiilor de dată recentă. Este nevoie de un efort susținut al mediului profesional în domeniul protecției datelor cu caracter personal pentru a realiza o educație punctuală, în baza unor planificări realiste și de ansamblu a acțiunilor de întreprins în acest sens. 

Și, referindu-ne la pașii primordiali ai acestui proces ce nu poate fi decât unul îndelungat și laborios, găsesc că prima categorie de persoane vizate a căror ochi ai minții trebuiesc deschiși cu privire la datele cu caracter personal sunt copiii, ca semințe a unui viitor mai rațional și conștient despre impactul datelor cu caracter personal la nivel micro, dar și macro, din punct de vedere social. De altfel ASCPD își propune cu prioritate să realizeze acest lucru în viitorul apropiat, ca o inițiativă privată, posibil a fi susținută datorită cotizațiilor membrilor ce au ales să se înscrie în acest ONG și, în acest fel, să pună umărul la împlinirea acestui început.

Cu alte cuvinte, este chiar mult de lucru la acest capitol, dată fiind și lipsa de reacție a oamenilor la introducerea supravegherii video ce utilizează tehnologia de recunoaștere facială în spațiile publice. Este adevărat, așa cum spune și zicala românească „unde-i lege, nu-i tocmeală”, însă și legile sunt făcute tot de oameni pentru oameni și trebuie să rămână printre prioritățile astringente asigurarea dreptului oamenilor la intimitate și viață privată. 

În același context, nu pot rămâne într-un registru pesimist cu privire la percepția importanței datelor cu caracter personal de către persoana vizată, în condițiile în care, din datele făcute publice de Autoritate, numărul plângerilor primite de acesta este într-o continuă creștere semnificativă – un indicator ce ne arată că oamenii încep să se trezească în a-și apăra dreptul la protecția datelor cu caracter personal. Să rămânem încrezători, așadar!

Ce îi sfătuiți pe cei care vânătorii de chilipiruri, în special în această perioadă?  Cum se pot ei proteja în mediul online pentru a nu cădea în plasa persoanelor rău intenționate?

C.L: La această întrebare îmi propun să răspund într-un mod cât mai punctual și voi promova recomandările generale făcute de ASCPD cu privire la securizarea activităților online a persoanei vizate, cu acest prilej. Prin urmare, pentru a fi echipați corespunzător navigării în magazinele online, ne vom asigura că avem echipamentele IT folosite cu soluții firewall și antivirus instalate și active, vom evita accesarea rețelelor de WiFi când facem cumpărături online și pentru acesta furnizăm datele cu caracter solicitate în momentul cumpărării - pentru aceste tipuri de activități vom utiliza exclusiv rețelele personale sau pe cele publice criptate (care utilizează Virtual Private Network). Vom prefera să cumpărăm produsele dorite de pe site-uri cunoscute sau verificate (de văzut dacă adresa site-ului respectiv începe cu https://www.....), iar parolele utilizate vor fi diferite pentru fiecare cont în parte, neintuitive (lipsite de predictibilitate) și compuse dintr-un șir complex de caractere alfanumerice și caractere speciale. Plata cumpărăturilor efectuate la comercianții online se va face cu carduri de credit, pentru trasabilitatea operațiunii efectuate și vom trata cu un grad ridicat de suspiciune ofertele cu reduceri nesustenabil de mari, în condițiile în care o reducere de 95% n-ar putea fi considerată realizabilă -  o tehnică asociată fenomenului de fake-news, nimic mai mult decât un paravan folosit cu scopul extragerii ilegale a unui volum semnificativ de date cu caracter personal din dispozitivul ce accesează „oferta”. O atitudine vigilentă în mediul online înseamnă să nu accesăm ofertele senzaționale anunțate printr-un link primit pe e-mail (cu atât mai mult de la expeditori necunoscuți), mesaje text, rețele de socializare sau găsite pe site-uri obscure, deoarece acesta este foarte probabil să ascundă programe malware care, odată instalate clandestin în device, se vor îndestula cu toate datele personale găsite acolo. O soluție fiabilă și confortabilă de gestionare securizată a corespondenței electronice este aceea de a utiliza o adresă de email dedicată shopping-ului online, reducând astfel posibilitatea pierderii datelor noastre cu caracter personal dar și a unei cantități considerabile de timp necesar a fi alocat activității de igienizare a căsuței poștale electronice, în caz contrar.

În completarea recomandărilor descrise până acum, îndrum persoanele ce fac cumpărături online să citească efectiv informările puse la dispoziție pe site-ul accesat, cu privire la prelucrările ce vizează propriile date personale și să nu furnizeze datele personale fără a ști exact cum urmează să fie folosite acestea. Atenție la faptul că, odată obținut consimțământul persoanei vizate, până la retragerea acestuia, prelucrările efectuate în acest interval sunt legale, sens în care se diminuează semnificativ posibilitatea sancționării operatorului de date pe temeiul nerespectării principiului legalității consemnat de GDPR. În același timp, la părăsirea site-ului după finalizarea comenzii, este dezirabilă delogarea din contul de pe site-ul respectiv, pentru a nu lăsa ușa întredeschisă hacker-ilor ce efectiv vânează acest tip de oportunități în a-și procura seturi de date cu caracter personal pe care le mai apoi valorifică pe piețele negre de profil.

Ce putem face dacă realizăm că suntem victime ale unei breșe de securitate? Ce drepturi avem și cum trebuie să reacționăm odată ce știm că datele noastre au fost expuse? 

C.L: Condiția de bază, sine qua non exercitarea drepturilor persoanei vizate să fie posibilă, este aceea ca persoana respectivă să cunoască, măcar în linii mari, care îi sunt drepturile pe care GDPR le garantează. Orice persoană fizică trebuie să știe că, pe lângă deja celebrul drept de a-și retrage oricând și necondiționat consimțământul dat, mai are și dreptul la informare cu privire la toate operațiunile de prelucrare în care sunt implicate datele lui, dreptul de a avea acces la prelucrările la care datele sale sunt supuse de oricare dintre operatori,  dreptul de a-și rectifica/actualiza datele prelucrate de operator, dreptul la ștergerea datelor – cunoscut și sub sintagma „dreptul de a fi uitat”, dreptul la restricționarea prelucrării – care intră în rezonanță cu obiectul amenzilor pe Legea 506/2004 amintite anterior, dreptul la portabilitatea datelor către un alt operator la cerere, dreptul la opoziție când identifică prelucrări ce sunt excesive și dreptul de a nu face obiectul unei decizii automatizate, inclusiv crearea de profiluri mai ales fără intervenția factorului uman. Pentru a consolida impunerea respectării acestor drepturi, legiuitorul a prevăzut și consemnat, în oglindă, principii de prelucrare pe care operatorul de date este obligat să le respecte, ca de exemplu cum este formulat principiul transparenței prelucrărilor în balans cu dreptul la informare a persoanei vizate, deoarece informând-o pe aceasta, implicit principiul în discuție este transpus în realitatea curentă.

În situația în care, informată și vigilentă fiind, persoana vizată constată încălcarea oricăruia dintre drepturile sale, în spiritul bunei credințe și ca o dovadă a dorinței exclusive de rezolvare, însă nu obligatoriu, firesc este a se consuma o etapă amiabilă în cadrul căreia, în baza solicitării persoanei vizate, operatorul de date să constate și eventual să remedieze situația constatată în termen de 30 zile, 60 zile în situații excepționale justificate corespunzător. Persoana vizată poate inclusiv să se adreseze Autorității cu o plângere, prin completarea formularului disponibil online pe site-ul ANSPDCP – www.dataprotection.ro, aceasta având obligația să se autosesizeze din oficiu și să demareze cercetarea necesară pentru soluționare.

Riscurile despre care ne-ați vorbit mai devreme, sunt aplicabile doar mediului online sau pot fi întâlnite și offline? Sunt mai mici riscurile dacă mergem la un magazin fizic să ne facem cumparaturile?

C.L: Mulțumesc pentru această întrebare, deosebit de utilă, în situația în care mediul online al prelucrărilor de date cu caracter personal acaparează aproape toată atenția și prelucrările de date din mediul offline al operatorilor de date tind să fie lăsate într-un con de umbră. Ei bine, da, și magazinele offline au anumite obligații de îndeplinit când vine vorba de interacțiunea cu persoana vizată, interacțiune prilejuită de punerea în vânzare a produselor din portofoliu. 

Recomandarea mea pentru persoana vizată este ca în acest mediu să acorde atenție sistemului de supraveghere video ce este utilizat și să citească informările specifice disponibile în loc vizibil sau să solicite comerciantului aceste informații în lipsa afișării lor. Persoana vizată trebuie informată în ce scop este folosit acest sistem, care este temeiul prelucrării, pentru ce perioadă sunt stocate înregistrările, cu cine și în ce condiții sunt partajate aceste înregistrări și să îi fie comunicate date de contact în vederea exercitării drepturilor pe care le are. Totodată, trebuie știut faptul că nu este permisă orientarea obiectivului camerelor de luat vederi către interiorul cabinelor de probă sau la casă către dispozitivul în care se introduce codul PIN al cardului, în momentul efectuării plății.

O altă chestiune care persoana vizată e bine să manifeste un real interes este capacitatea magazinului de a asigura confidențialitatea tranzacției financiare la achitarea produselor, prin asigurarea limitei de discreție cuvenite pentru tastarea PIN-ul de la card,spre exemplu, în condiții de confidențialitate deplină. Magazinul trebuie să aibă o politică generală de confidențialitate a datelor cu caracter personal, disponibilă public, caz în care și varianta publicată online este acceptată.

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Gradul de conformare GDPR, în domeniul sanitar românesc, nu a depășit 15%

INTERVIU EXCLUSIV

Vizualizari: 4721

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Regulamentul General privind Protecția Datelor (GDPR-General Data Protection Regulation) a apărut pentru a oferi un grad de control într-o lume dominată de tehnologie, iar conformarea la acest Regulament nu înseamnă altceva decât crearea cadrului în care datele cu caracter personal și special ale pacienților să fie protejate. Atacurile cibernetice asupra spitalelor din România demonstrează vulnerabilitatea sistemului sanitar în fața avansului tehnologiei, dar și lipsa de interes și implicare a conducerii spitalelor pentru a avea un plan de conformare adecvat, pentru că incidentele de securitate trebuie văzute ca o chestiune de regulă, apar ca urmare a nerespectării unui soi de disciplină într-un anumit domeniu. În sistemul sanitar românesc gradul de conformare GDPR se află sub pragul de 15%, atrage atenția Marius Dumitrescu, președintele Asociației Specialiștilor în Confidențialitate și Protecția Datelor (ASCPD). Într-un interviu acordat Revistei Health, președintele ASCPD a oferit mai multe detalii despre riscurile neconformării GDPR, care sunt vulnerabilitățile, dar și care ar fi măsurile necesar a fi implementate pentru protejarea datelor pacienților.

A trecut mai mult de un an de la aplicarea Regulamentului UE 679/2016 și în România vorbim deja  de breșe de securitate în sistemul sanitar. Din acest fapt se poate deduce că sistemul încă nu este pregătit întru totul pentru protejarea datelor cu caracter personal?

MD: Spitalele sunt o țintă a atacurilor ransomware în toată lumea, nu doar în România. Foarte multe astfel de incidente au fost raportate de spitale și înainte de 25 mai 2018, dar în ultimii ani am observat că specialiștii vorbesc despre o creștere exponențială a numărului de cazuri. Sunt trei întrebări la care autoritățile române și managerii spitalelor trebuie să găsească răspunsuri cât mai curând: ”de ce sunt vizate spitale din România?”, ”de ce sunt
așa de multe incidente în domeniul sanitar?” și, poate cea mai importantă întrebare, ”putem evita să devenim ținta unui atac cibernetic?”.

Ransomware-ul este un virus sau mai bine spus un software malițios care blochează accesul la fișierele stocate într-un sistem informatic, solicitând plata unei sume de bani în schimbul redobândirii accesului la acestea. De cele mai multe ori, fișierele criptate de malware nu pot fi decriptate nici după efectuarea plății către atacatori. Acest tip de malware nu urmărește o vulnerabilitate a sistemului informatic ci o eroare umană, de cele mai multe ori fiind transmis ca atașament al unui e-mail, sub forma unei facturi, a unei comenzi sau alt tip de document, păcălind astfel utilizatorii mai puțin conștienți sau vigilenți. Interesant este faptul că acest tip de malware nu ar fi putut depăși filtrele antivirușurilor existenți pe piață, ceea ce subliniază o primă problemă din spatele acestui atac în spitalele din România: spitalele atacate nu aveau sisteme antivirus actualizate, iar angajații acestora nu au fost instruiți cu privire la  identificarea unor asemenea atacuri.

La o analiza mai atentă a infrastructurii din domeniul sanitar românesc identificăm încă un număr mare de echipamente conectate care nu beneficiază de ultimele patchuri de securitate sau chiar folosesc sisteme de securitate care nici măcar nu mai sunt actualizate de producători. De exemplu Windows XP, care nu mai beneficiază de suport și actualizare din partea Microsoft este folosit în continuare pe scară largă în sistemul sanitar românesc, făcând posibilă funcționarea aparatelor de radiografii dentare, RMN-uri sau CT-uri. Prin infectarea unuia dintre aceste computere cu sistem de operare învechit se poate infecta apoi foarte simplu întreaga rețea.
Evident, ne întrebăm de ce nu sunt așa de ușor de înlocuit aceste sisteme de operare învechite și răspunsul ar trebui sa îl căutăm fie la producătorii de echipamente medicale care ar trebui să actualizeze gratuit softurile de interfață cu echipamentul astfel încât să funcționeze în aceiași parametrii și pe sistemele de operare mai noi, fie la managementul unităților medicale care au amânat investițiile în sisteme noi de operare din lipsă de fonduri sau pur și simplu pentru că echipamentele funcționează normal, chiar dacă sunt vulnerabile în fața atacurilor cibernetice.

Ce tip de malware a infectat sistemele din spitalele românești?

MD: În urma unei investigații derulate de specialiști în securitate cibernetică din cadrul CERT-RO, Cyberint și Bitdefender, s-a constatat că formele de malware responsabile de atacurile cibernetice recente asupra unor spitale din România au fost Maoloa și Phobos. Acești doi malware nu sunt o noutate absolută, Maoloa fiind prima dată descoperit în februarie 2019, iar Phobos era cunoscut încă din decembrie 2018.

ASCPD a tras un semnal de alarmă încă de la începutul anului 2019, în urma sondajului „GDPR in HEALTH România” realizat în decembrie 2018.  Astfel, ASCPD a semnalat atunci faptul că 37,44% dintre instituțiile sanitare cuprinse în analiză s-au confruntat cu incidente de securitate și cu toate acestea 73,85% din total nu au implementat un plan de reacție la incidentele de securitate. 70,26% încă foloseau adrese de email @yahoo.com sau @gmail.com în interes profesional în interiorul rețelei, expunând astfel organizația unor riscuri care pot fi evitate. Mai mult, 11,28% nu aveau implementate sisteme tehnice de protecție antivirus, cel mai des invocând lipsa fondurilor. Fiecare organizație, nu doar cele din domeniul sanitar, trebuie să implementeze un plan de răspuns la incidente de securitate prin care să identifice și să descrie rolurile și responsabilitățile echipei de răspuns în cazul unei breșe de securitate și apoi să realizeze simulări practice pentru a testa modul de reacție a angajaților în cazul unui atac cibernetic.

Securizarea datelor pacienților este importantă într-un sistem de sănătate. De ce în spitalele publice din România nu s-au luat obligatoriu măsuri pentru a proteja aceste date?

MD: Accesarea datelor pacienților este crucială pentru îndeplinirea actului medical. Astfel, în urma atacului cibernetic din iunie 2019, sute de pacienți români nu au putut beneficia de serviciile medicale în spitalele afectate, fiind invitați să revină ulterior sau încurajați să apeleze la serviciile altui spital. Recunoașterea valorii acestor date de către ministrul Sănătății este un cuțit cu două tăișuri.

Deși semnalul era orientat spre mobilizarea instituțiilor medicale în vederea prevenirii altor atacuri, atunci când afirmi că “10.000 de euro sunt nimic față de datele stocate acolo”, recunoscând că în trecut s-a optat pentru plata recompenselor solicitate de atacatori pentru decriptarea datelor, acest mesaj poate fi perceput de atacatori drept o încurajare de a continua atacurile și de a solicita recompense mult mai mari.

Recuperarea datelor, fie că este realizată de specialiști în IT sau prin achitarea recompensei solicitate de atacatori, este mult mai costisitoare decât adoptarea măsurilor de securitate necesare prevenirii unor asemenea atacuri. În totală contradicție cu mesajul ministrului Sănătății, instituțiile și companiile cu competențe în domeniul securității cibernetice, printre care CERT-RO, Cyberint și Bitdefender, sfătuiesc utilizatorii infectați “să nu plătească atacatorilor taxele de decriptare solicitate”.

Plata recompensei nu reprezintă o garanție că infractorii își vor onora promisiunea și le vor reda accesul la date și, în plus, ar putea fi țintite din nou de aceeași grupare, întrucât au deja un istoric de buni platnici. Echipa CERT-RO îndeamnă fiecare operator să raporteze astfel de incidente de securitate la numărul de telefon 1911 sau pe mail (alerts@cert.ro), cu includerea a două fișiere infectate (criptate) pentru analiză. Se recomandă să fie atașate acele fișiere într-o arhivă, protejate cu o parolă, care să fie specificată în textul mesajului.

După atacul cibernetic asupra spitalelor Ministerul Sănătății a emis o adresă prin care a informat unitățile spitalicești ce măsuri trebuie luate pentru a preveni atacurile cibernetice, recomandări emise inițial de CERT-RO. ASCPD a atras atenția că pe lângă cele recomandate de CERTRO ar mai fi nevoie de o serie de măsuri, necesar a fi implementate. Despre ce este vorba?

MD: Apreciem ca foarte importante aceste recomandări, însă atragem atenția că  prevenirea atacurilor cibernetice nu ar trebui să se limiteze la această listă, motiv pentru care am mai sublinia câteva măsuri importante: auditarea sistemelor IT în vederea identificării vulnerabilităților; implementarea unor politici clare privind prelucrarea datelor personale; criptarea datelor stocate pe dispozitivele mobile (laptop, tabletă, memorii USB) pentru
a împiedica accesarea datelor în caz de pierdere sau furt; criptarea datelor personale transmise prin e-mail; interzicerea accesării datelor de pe CD, DVD, stick-uri USB sau altele asemenea, dacă provin din surse nesigure; echipamentele de lucru care stochează date personale vor fi parolate, vor fi blocate atunci când nu vor fi utilizate (ctrl+alt+del → lock this computer); asigurarea unui sistem de management al accesului, astfel încât fiecare utilizator să se logheze la echipamentul de lucru cu user și parolă proprii.

Una dintre cele mai importante aspecte pe care nu am regăsit-o în adresa Ministerului este necesitatea instruirii personalului. Un personal instruit va fi mult mai vigilent, va identifica eventuale pericole și va cunoaște procedurile pe care trebuie sa le urmeze pentru a identifica, semnala sau limita efectele unui atac cibernetic.

Conștientizarea pericolelor în domeniul securității este o parte esențială a formării angajaților și este cel mai eficient mod de a menține companiile în siguranță, de la intruși și hackeri. Procesul de digitalizare atrage după el și metode tehnice avansate de securitate, care cresc gradul de protecție al vieții private, dar trebuie să conștientizăm în primul rând că cea mai mare vulnerabilitate în cadrul unei organizații este chiar resursa umană. Este nevoie de educație a personalului mai mult decât de investiții mari în soluții tehnice de securitate.

Dincolo de educația personalului cât este de important ca operatorul de date, în cazul spitalelor, managerii, să renunțe doar la a căuta soluții formale și să aleagă complianța la GDPR personalizând implementarea acestui Regulament pe unitatea pe care o conduce?

MD: În tot acest GDPR este vorba despre oameni, sau mai bine spus despre NOI! Nu este vorba despre creşterea birocraţiei şi despre proceduri sufocante. Este vorba despre respectul pe care trebuie să îl acordăm şi să îl obţinem unii de la ceilalţi, respect de care am uitat datorită banilor obţinuţi prin tranzacţionarea datelor personale şi a informaţiilor confidenţiale, efect direct al evoluţiei exponenţiale a tehnologiei.

Noi, ca operatori de date, trebuie să renunţăm la a mai căuta soluţii formale. Complianţa GDPR nu se obţine apăsând butonul „Print“, orice operator care alege această cale rămâne la fel de expus riscurilor. Spitalele din România sunt atacate pentru că sunt vulnerabile și este profitabil având în vedere valoarea informațiilor și caracterul sensibil și mai ales precedentele create prin plata rascumpărării accesului la date. Putem evita aceste incidente dacă în
primul rând renunțăm la mentalitatea că “mie nu mi se poate întâmpla” și investim în instruirea resurselor umane, implementând planuri și proceduri de lucru în caz de atac cibernetic și alocând fonduri pentru a impune măsuri adecvate de protecție tehnică și organizatorică.

După data de 25 mai 2018, au fost aplicate amenzi pentru neconformare în spitalele din Europa?

MD: Spitalul Haga din Olanda a fost amendat în acest an pentru neasigurarea unui grad adecvat de securitate a datelor pacienților săi., cu suma de 460.000 euro. Spitalul Barreiro din Portugalia a primit o amendă de 400.000 euro pentru incapacitatea de a asigura confidențialitatea și integritatea datelor din sistemul lor. În urma investigației s-a constatat că angajații spitalului au avut acces la datele pacientului prin profiluri false.

Participați frecvent la conferințe GDPR organizate la nivel European. Din informațiile prezentate care este gradul de implementare al GDPR în alte țări din Europa și cum stă România la acest capitol?

MD: Procentul de operatori care au adoptat și implementat principiile GDPR este greu de calculat cu exactitate, dar având în vedere că numai în domeniul public avem peste 42.000 de autorități, toate cu obligația de a fi implementat deja măsuri tehnice și organizatorice, și cunoscând sistemul sanitar din ultimii 18 ani, estimez că gradul de implementare nu a depășit procentul de 15%. Putem, în schimb, să analizăm poziția țării noastre din punct de vedere al notificării breșelor de securitate și a investigațiilor derulate de autoritățile de supraveghere europene. România este extrem de departe de media europeană în ceea ce privește plângerile privind prelucrările ilegale de date personale. De exemplu, în perioada cuprinsă între 25 mai 2018 și până în februarie 2019 la nivelul UE au fost raportate nu mai puțin de 59.000 de breșe de securitate. Campioni la acest capitol au fost olandezii, cu 15.400 breșe notificate, în timp ce România număra la acea vreme doar 270. Analizâd această situație am găsit două răspunsuri posibile: ori noi, românii, suntem un popor norocos și atacurile cibernetice ne evită, ori nu recunoaștem o breșă de securitate nici dacă ne împiedicăm de ea.

Mai mult, din Raportul European Data Protection Board, care cuprinde datele înregistrate de autoritățile de supraveghere în primele 9 luni de la aplicarea GDPR-ului, aflăm că autoritățile europene de supraveghere au deschis în total 94.622 de investigații, din care aproape 65.000 au survenit în urma notificărilor privind încălcarea datelor (a breșelor de securitate). În România s-au efectuat 460 de investigații din oficiu (69 din sesizări și 391 în urma
încălcărilor notificate autorității) și 456 de investigații dispuse în urma plângerilor persoanelor vizate, care erau aproximativ 5000.

Unul dintre motivele pentru care avem acești indicatori este bugetul Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal care este cu aproape 50% mai mic decât necesarul estimat de EDPB și în al doilea rând schema de personal a autorității care este mult subdimensionată, necesitând o suplimentare de 142%. Conform datelor oferite de reprezentantul autorității, chiar dacă în orgnigramă sunt prevăzute 85 de posturi, structura organizatorică actuală numără 34 de angajați, cu tot cu șoferi și personal TESA. Apreciez că a fost o muncă titanică să efectuezi acest număr de investigații cu un așa număr redus de persoane angajate în cadrul Autorității.

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Adriana Ceaușescu: „Trebuie să învățăm că implementarea GDPR este un efort de echipă”

Adriana Ceaușescu este Ofiter Securitatea Informatiei si Protectia Datelor pentru companii din domeniul Asigurarilor si Sanatatii și a urmat cursurile IAPP, participând totodată la intocmirea codului de conduita […]

Timis Horea: Frica de amenzi GDPR a oprit inovația în multe domenii

De profesie medic, Timis Horea este expert in Management Sanitar si fost director de proiecte europene pe componenta socio-medicala, la Primaria Alba Iulia, director de spital, director al […]

Radu Crahmaliuc: „Spitalele de stat din România nu sunt pregătite să ne proceseze datele”

Radu Crahmaliuc este fondatorul Cloud☁mania, una dintre cele mai populare platforme independente de cunoștințe și servicii din Europa de Est Centrală care s-a dezvoltat pe următorul principiu: „cele […]

Adrian Munteanu: În România găsim „un număr imens de „consultanți GDPR„ care au apărut de nicăieri”

Cu o experiență de peste 13 ani în proiecte de audit (internet banking, securitate IT, proiecte IT, proiecte finanțate prin fonduri UE), consultanță (continuitatea afacerii, analiză de impact, […]

Filip Truță: „Noua soluție Bitdefender 2020 protejează intimitatea utilizatorilor”

Filip Truță, security analyst la Bitdefender, a acordat un interviu in exclusivitate  pentru dpo-NET .ro despre GDPR și despre tehnologiile noi din soluția de securitate Bitdefender 2020 care […]

Gordon Wade: “ANSPDCP este pregătită să treacă de la o abordare tolerantă la una activă”

Gordon Wade este avocat specializat în confidentíalitatea și protecția datelor la PwC Legal Middle East, cu sediul în Dubai, și a acceptat cu entuziasm să ofere un interviu […]

Nicolae Ploeșteanu: „ONG-urile sunt cele care trebuie să se implice cel mai mult în România”

Nicolae Ploeșteanu a absolvit studiile juridice în anul 1995, la București și este Doctor în drept din anul 2005, făcând numeroase specializări în țară și în străinătate, în […]

Ana-Maria Udriște: “ Este foarte important să alegi o persoană care să te ajute în implementarea GDPR și să te facă să înțelegi că documentația nu este suficientă”

“România, trei amenzi GDPR, două premiere europene”, așa am putea sintetiza contextul în care se află țara noastră, asistând în ultimele zile la o lecție GDPR în trei […]

Daniel Suciu: A fost nevoie de două amenzi pentru a readuce GDPR-ul în vizorul operatorilor

În cei peste 30 de ani de activitate profesională, Daniel Suciu s-a implicat activ în aproape toate ariile de interes pentru Protecția datelor. A avut curiozitatea și oportunitatea […]

Andrei Săvescu: Uniunea Europeană încearcă să pună presiune pe operatori, prin intermediul cetățenilor

Andrei Săvescu este membru în Baroul București din 1994 și are o vastă experiență atât ca avocat, cât și ca arbitru la Curtea de Arbitraj Comercial de pe […]

Analizăm prima amendă GDPR din România împreună cu Cristiana Deca

Anunțul primei amenzi GDPR în România a răsunat pe toate canalele de știri, stârnind interesul multora, motiv pentru care am rugat-o pe Cristiana Deca, unul dintre primii specialiști […]

Sergiu Bozianu: În Republica Moldova putem aplica amenzi contravenționale persoanelor cu funcție de răspundere

Sergiu Bozianu este în primul rând un profesionist în domeniul protecției datelor din Republica Moldova, ultima funcție publică fiind cea de director adjunct în Direcția Generală Supraveghere și […]