Hackerangriff auf die IT-Systeme der Region Latium: Sanktionen durch den Datenschutzbeauftragten
Mit drei Bußgeldern in Höhe von 271.000 EUR, 120.000 EUR und 10.000 EUR, die jeweils gegen LAZIOcrea (das Unternehmen, das die regionalen Informationssysteme verwaltet), die Region Latium und ASL Roma 3 verhängt wurden, hat der Datenschutzgarant das Verfahren abgeschlossen, das nach dem Hackerangriff auf das regionale Gesundheitssystem in der Nacht vom 31. Juli auf den 1. August 2021 eingeleitet wurde. Die Datenpanne – verursacht durch Ransomware, die über den Laptop eines Mitarbeiters der Region in das System eingeschleust wurde – blockierte den Zugang zu vielen Gesundheitsdiensten und verhinderte unter anderem die Verwaltung von Buchungen, Zahlungen, die Entnahme von Meldungen und die Registrierung von Impfungen. Lokale Gesundheitsbehörden, Krankenhäuser und Pflegeheime konnten bestimmte regionale Informationssysteme, in denen die Gesundheitsdaten von Millionen von Patienten verarbeitet werden, für einen Zeitraum von einigen Stunden (48) bis zu mehreren Monaten nicht nutzen.
Die von der Behörde durchgeführten Untersuchungen und Inspektionen ergaben, dass LAZIOcrea und die Region Latium, wenn auch mit unterschiedlichen Aufgaben und Verantwortungsebenen, zahlreiche und schwerwiegende Verstöße gegen die Datenschutzgesetze begangen hatten, die vor allem auf die Einführung veralteter Systeme und das Versäumnis zurückzuführen waren, angemessene Sicherheitsmaßnahmen zu ergreifen, um Verletzungen des Schutzes personenbezogener Daten unverzüglich zu erkennen und die Sicherheit der Computernetze zu gewährleisten.
Die unzureichende Sicherheit der Systeme führte dazu, dass die regionalen Gesundheitseinrichtungen während des Cyberangriffs nicht in der Lage waren, auf das System zuzugreifen und bestimmte Gesundheitsdienstleistungen für ihre Patienten zu erbringen. Die Nichtverfügbarkeit der Daten wurde insbesondere durch den Cyberangriff verursacht, durch den etwa 180 virtuelle Server unzugänglich wurden, sowie durch die Entscheidung von LAZIOcrea, alle Systeme abzuschalten, da es nicht in der Lage war, festzustellen, welche Systeme kompromittiert waren, und auch nicht, die weitere Ausbreitung der Malware zu verhindern. Darüber hinaus hat LAZIOcrea nicht die notwendigen Maßnahmen ergriffen, um die Datenpanne und ihre Folgen zu bewältigen, insbesondere im Hinblick auf die Einrichtungen, für die es als Datenverantwortlicher fungiert (angefangen bei den zahlreichen betroffenen Gesundheitseinrichtungen).
Die Region Latium hätte ihrerseits in ihrer Eigenschaft als für die Datenverarbeitung Verantwortlicher eine wirksamere Aufsicht über LAZIOcrea ausüben müssen, um ein den Risiken angemessenes Sicherheitsniveau sowie einen durchdachten Datenschutz zu gewährleisten.
Bei der Festlegung der Höhe der Sanktionen berücksichtigte der Garante die Art und Schwere der Verstöße sowie den Grad der Verantwortung, insbesondere von Einrichtungen wie LAZIOcrea und der Region Latium.
Gegen Asl Roma 3, das im Gegensatz zu anderen Einrichtungen des Gesundheitswesens die Datenschutzverletzung, die durch die Nichtverfügbarkeit der in einigen Systemen verarbeiteten Gesundheitsdaten von Patienten verursacht wurde, nicht gemeldet hat, verhängte die Aufsichtsbehörde eine Sanktion in Höhe von 10.000 EUR.
Gesundheitsdossier: der Datenschutzgarant sanktioniert eine Asl
Der Datenschutzbeauftragte hat gegen eine lokale Gesundheitsbehörde (Asl) Sanktionen verhängt, weil sie die Zugangsmodalitäten zur elektronischen Gesundheitsakte (Dse) nicht korrekt konfiguriert hatte. Die Behörde wurde aufgrund einer Reihe von Beschwerden und Berichten tätig, in denen die unrechtmäßige Verarbeitung personenbezogener Daten durch das System zur Archivierung und Berichterstattung über die von dem Gesundheitsunternehmen erbrachten Dienstleistungen behauptet wurde. Insbesondere wurde über wiederholte Zugriffe auf das DSE durch Mitarbeiter des Gesundheitswesens berichtet, die nicht an der Patientenversorgung beteiligt waren. In einem Fall war es einer Asl-Fachkraft tatsächlich gelungen, ohne ihr Wissen die Laboruntersuchungen ihres Ex-Mannes einzusehen, obwohl dieser nicht in ihrer Obhut war.
Die von der Behörde durchgeführten Kontrollen ergaben, dass das Dse-Verwaltungssystem den Angehörigen der Gesundheitsberufe die Möglichkeit bot, den Grund für die Einsichtnahme in die Gesundheitsakte manuell durch eine Selbstbescheinigung anzugeben. Der Zugang zu dem Dokument wurde auch standardmäßig einer großen Liste von Fachleuten gewährt, die nichts mit dem Behandlungspfad des Patienten zu tun hatten, einschließlich des Verwaltungspersonals.
All dies verstößt gegen die „Leitlinien zum Thema Gesundheitsdossier“ vom Juni 2015, in denen die Behörde feststellte, dass „der für die Datenverarbeitung Verantwortliche bei der Identifizierung der Berechtigungsprofile besondere Aufmerksamkeit walten lassen und technische Authentifizierungsmethoden für das Dossier anwenden muss, die die für jede Einrichtung spezifischen Zugriffsfälle widerspiegeln“, um zu gewährleisten, dass der Zugriff auf das Dossier nur auf das Gesundheitspersonal beschränkt ist, das im Laufe der Zeit in den Prozess der Patientenversorgung eingreift.
Schließlich hat der Datenschutzbeauftragte weitere Verstöße festgestellt, darunter das Versäumnis, ein Warnsystem einzurichten, mit dem anormale oder riskante Verhaltensweisen in Bezug auf die von den Datenverarbeitern durchgeführten Vorgänge (z. B. in Bezug auf die Anzahl der durchgeführten Zugriffe, die Art oder die Zeitspanne dieser Zugriffe) festgestellt werden können.
Neben der Verhängung der Verwaltungsstrafe wies die Behörde die Asl daher an, alle erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen, um die Sicherheit der verarbeiteten personenbezogenen Daten zu gewährleisten und neue missbräuchliche Zugriffe zu verhindern.
Pa: Website-Transparenz, Garant fordert mehr Schutz für personenbezogene Daten
Die positive Stellungnahme der Garante Privacy an Anac zu 14 Standardveröffentlichungsschemata, die die Regeln vorgeben, die öffentliche Verwaltungen befolgen müssen, um ihren Online-Transparenzpflichten nachzukommen.
Die Schemata, die im Transparenzdekret (Decreto Legislativo Nr. 33/2013) vorgesehen sind, tragen den verschiedenen Anmerkungen des Amtes Rechnung.
Um die Vertraulichkeit der interessierten Parteien zu gewährleisten und das Risiko möglicher Sanktionen wegen Verletzung der Datenschutzbestimmungen zu vermeiden, müssen sich die PAs unter anderem darauf beschränken, in der Rubrik „Transparente Verwaltung“ ihrer Websites nur die notwendigen Daten zu veröffentlichen, z.B. die Telefonnummer, die E-Mail-Adresse und den Namen des Büros – und nicht die Daten des Mitarbeiters -, an die sich der Bürger für Anfragen an die Verwaltung wenden kann. Und bei den Ergebnissen öffentlicher Auswahlverfahren müssen sie den Vornamen, den Nachnamen (bei Homonymie das Geburtsdatum) und die Position in der Rangliste der Gewinner und der erfolgreichen Bewerber veröffentlichen, die nach dem Durchblättern der Rangliste als Gewinner erklärt werden. Darüber hinaus müssen die EVs bei der Veröffentlichung von Daten über Zahlungen die Identifikationsdaten von Empfängern wirtschaftlicher Leistungen von weniger als eintausend Euro im Kalenderjahr unkenntlich machen und zwar in jedem Fall dann, wenn sich aus der Veröffentlichung Informationen über den Gesundheitszustand oder wirtschaftlich-soziale Härten ableiten lassen.
In ihrer positiven Stellungnahme zu den Standardveröffentlichungsregelungen forderte die Garante Anac jedoch auf, das Schutzniveau zu erhöhen. So müssen die öffentlichen Verwaltungen bei der Veröffentlichung von Daten über die Leistungsbeurteilung und die Verteilung von Prämien vermeiden, zu detaillierte Daten zu veröffentlichen, anhand derer der Arbeitnehmer und die Höhe der an ihn gezahlten (oder nicht gezahlten) Prämie ermittelt werden können. Stattdessen können sie Daten über den Gesamtbetrag der zugewiesenen Prämien und den Betrag der tatsächlich ausgezahlten Prämien veröffentlichen. Die Garante bittet auch zu prüfen, ob es ratsam ist, eine Übergangszeit vorzusehen, um den öffentlichen Verwaltungen die Möglichkeit zu geben, sich schrittweise an die neuen Methoden der Veröffentlichung auf den Websites der Institutionen anzupassen.
Abhörmaßnahmen der EU-Staatsanwaltschaft: Zustimmung des Datenschutzgaranten zur nationalen Datenbank
Der Datenschutzbeauftragte gab grünes Licht für den Erlass zur Einrichtung eines nationalen Archivs für Protokolle und Aufzeichnungen von Abhörmaßnahmen, die von der Europäischen Staatsanwaltschaft (EPPO) angeordnet wurden, und zwar über Standorte, die in einigen nationalen Staatsanwaltschaften festgelegt wurden. Die Behörde forderte jedoch, dass zusätzliche technische Maßnahmen zum Schutz der Daten getroffen werden.
EPPO ist eine unabhängige EU-Einrichtung, die am 1. Juni 2021 ihre Arbeit aufnimmt, ihren Sitz in Luxemburg hat und für die Ermittlung und Verfolgung von Straftaten zum Nachteil der finanziellen Interessen der EU zuständig ist.
Der Entwurf eines Dekrets des Justizministers, der von der Garante geprüft wurde, regelt die Modalitäten der Speicherung und der Abfrage der im Archiv enthaltenen Daten sowie die Personen, die über die in den Dienststellen der beauftragten europäischen Staatsanwälte eingerichteten Arbeitsstationen Zugang haben. Das nationale Archiv ist somit zugänglich für den anklagenden Richter und seine Hilfskräfte, den Staatsanwalt und seine Hilfskräfte, einschließlich der beauftragten Beamten der Kriminalpolizei, sowie für die Anwälte der Parteien, die erforderlichenfalls von einem Dolmetscher unterstützt werden. Das nationale Archiv, das unter der ausschließlichen Leitung und Aufsicht des Europäischen Staatsanwalts oder in den vorgesehenen Fällen des abgeordneten Europäischen Staatsanwalts geführt wird, bewahrt die vollständige Fassung aller Protokolle und Aufzeichnungen von Abhörmaßnahmen, die in Verfahren durchgeführt wurden, in denen der Europäische Staatsanwalt seine Zuständigkeit ausgeübt hat, sowie alle anderen diesbezüglichen Unterlagen auf.
In ihrer befürwortenden Stellungnahme zum Entwurf des Dekrets vertrat die Garante die Auffassung, dass das Dekret keine besonderen datenschutzrechtlichen Bedenken aufwirft, forderte jedoch – in Analogie zu den nationalen Systemen – den Einsatz kryptografischer Techniken für den Informationsfluss und die Datenspeicherung unter Verwendung sicherer Netzwerkprotokolle und robuster Verschlüsselungsalgorithmen, auch unter Berücksichtigung etwaiger Empfehlungen der Nationalen Agentur für Cybersicherheit.
Die Behörde forderte auch die Einführung von Mehrfaktor-Authentifizierungsverfahren für Computer, wobei die Zugangsdaten und Authentifizierungsgeräte dem Benutzer zugewiesen und hoffentlich direkt vom Justizministerium verwaltet werden. Schließlich muss der Verordnungsentwurf Maßnahmen zur Gewährleistung der Betriebskontinuität und der Wiederherstellung im Katastrophenfall (Systemwiederherstellung) sowie zur Erkennung von anomalem oder risikoreichem Verhalten mittels spezifischer Warnmeldungen enthalten, die eine Nachverfolgung der durchgeführten Vorgänge und mindestens einmal jährliche Audits vorsehen.
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10002052