Il Commissario per la privacy ha emesso un avviso di conformità alla Reserve Bank of New Zealand, innescato da un attacco informatico nel dicembre 2020.

Questa è la prima volta che il Commissario per la privacy ha emesso un avviso di conformità da quando ha ricevuto questi nuovi poteri con il Privacy Act 2020.

Il cyber-attacco è stato una significativa violazione di uno dei sistemi di sicurezza della Banca e ha sollevato la possibilità di una debolezza sistemica nei sistemi e nei processi della Banca nella protezione delle informazioni personali.

Come parte dell’indagine sulla violazione, la Banca ha assunto KPMG per intraprendere una revisione indipendente dei suoi sistemi e processi. La revisione ha rivelato molteplici aree di non conformità con il principio 5 del Privacy Act.

L’Autorità è rincuorata dalla velocità e dalla completezza della risposta della Banca. È stata avvisata non appena il cyber-attacco è stato identificato, ed è stata costruttiva e aperta durante tutto il processo di indagine di conformità e si ritiene lieta di vedere il modo positivo con cui hanno affrontato le conseguenze dell’attacco.

L’avviso di conformità emesso fornisce un modello per la Banca che segnala al Commissario per la Privacy la conferma dei miglioramenti alle loro politiche e procedure, volte a rendere i sistemi più sicuri.

I risultati dell’OPC sono coerenti con i risultati e le raccomandazioni della revisione di KPMG. L’autorità accetta questi risultati e la completa responsabilità per le eventuali mancanze identificate nei loro sistemi e operazioni.

Il Direttore della banca ha una dettagliata programmazione di lavori attualmente in corso. Ciò ha avuto inizio subito dopo la violazione dei dati attraverso il programma di miglioramento dei servizi aziendali (BSIP) che continua ad essere una priorità chiave qui a Te Pūtea Matua.

Lo stesso Direttore vuole ringraziare ancora una volta l’OPC per il sostegno durante l’episodio e la collaborazione adottata durante l’indagine.

Il ruolo dell’Autorità come regolatore è quello di fornire i migliori risultati in campo privacy per tutti i neozelandesi, utilizzando i poteri a disposizione. Dove si identificano problemi che compromettono la sicurezza delle informazioni personali, si utilizzeranno i poteri di conformità per assicurarsi che questi rischi siano affrontati. Questo avviso di conformità fornisce anche un’opportunità di apprendimento per la Banca e altre agenzie. L’OPC apprezza la maturità e l’apertura che la Banca ha mostrato durante questo processo, e spera che anche altri possano imparare da questa situazione.

Il Privacy Act permette la pubblicazione di avvisi di conformità caso per caso, se il Commissario per la Privacy ritiene che sia auspicabile farlo nell’interesse pubblico.

Pubblicare i dettagli completi dell’avviso di conformità potrebbe compromettere alcuni degli sforzi in corso per rettificare completamente le questioni che sono state identificate. Tuttavia, l’Autorità ha deciso che è necessario riconoscere pubblicamente i passi intrapresi dalla Banca, per fornire al pubblico la garanzia che questi problemi siano stati affrontati.

Background

• Un avviso di conformità è un avviso scritto dal Commissario per la Privacy ad un’agenzia del settore pubblico o privato che l’agenzia sta violando i suoi obblighi legali sotto il Privacy Act.
• Il principio 5 del Privacy Act sostiene che le agenzie che detengono informazioni personali devono avere ragionevoli misure di sicurezza in atto per proteggere la privacy personale.

FONTE: AUTORITÀ PER LA PROTEZIONE DEI DATI DELLA NUOVA ZELANDA- OPC