De AVG is in het leven geroepen om EU-burgers meer controle te geven over hun persoonlijke gegevens. En wat het aantal klachten betreft, is het doel “bereikt”: het afgelopen jaar zijn Europeanen vaker overtredingen door bedrijven gaan melden, en de bedrijven zelf kregen en begon kwetsbaarheden snel te dichten om geen boete te krijgen. Maar ‘plotseling’ bleek dat de AVG het meest zichtbaar en effectief is als het gaat om het ontwijken van financiële sancties of de noodzaak om eraan te voldoen. En nog meer: de bijgewerkte regelgeving is ontworpen om een einde te maken aan het lekken van persoonlijke gegevens en wordt de oorzaak ervan.
Laten we je vertellen wat hier aan de hand is.
Фото - - ontspatten
Wat is het probleem
Volgens de AVG hebben EU-burgers het recht om een kopie op te vragen van hun persoonlijke gegevens die zijn opgeslagen op de servers van een bedrijf. Onlangs werd bekend dat dit mechanisme kan worden gebruikt om de PD van iemand anders te verzamelen. Een van de deelnemers aan de Black Hat-conferentie , waarbij hij van verschillende bedrijven archieven met persoonsgegevens van zijn verloofde ontving. Namens haar stuurde hij relevante verzoeken naar 150 organisaties. Interessant is dat 24% van de bedrijven alleen een e-mailadres en een telefoonnummer nodig had als identiteitsbewijs. Nadat ze deze hadden ontvangen, stuurden ze een archief met bestanden terug. Ongeveer 16% van de organisaties vroeg daarnaast om foto's van een paspoort (of ander document).
Als gevolg hiervan kon James de burgerservice- en creditcardnummers, de geboortedatum, de meisjesnaam en het woonadres van zijn ‘slachtoffer’ achterhalen. Eén dienst waarmee je kunt controleren of een e-mailadres is gelekt (een voorbeeld van een dienst zou zijn ), stuurde zelfs een lijst met eerder gebruikte authenticatiegegevens. Deze informatie kan leiden tot hacking als de gebruiker de wachtwoorden nooit heeft gewijzigd of ergens anders heeft gebruikt.
Er zijn nog meer voorbeelden waarbij gegevens in verkeerde handen terechtkwamen nadat ze ‘per ongeluk’ waren verzonden. Dus drie maanden geleden een van de Reddit-gebruikers persoonlijke informatie over uzelf van Epic Games. Ze stuurde zijn politie echter per ongeluk naar een andere speler. Vorig jaar speelde zich een soortgelijk verhaal af. Amazon-klant Een archief van 100 megabyte met internetverzoeken aan Alexa en duizenden WAF-bestanden van een andere gebruiker.
Фото - - ontspatten
Experts zeggen dat een van de belangrijkste redenen voor het optreden van dergelijke situaties de onvolledigheid van de Algemene Verordening Gegevensbescherming is. De AVG specificeert met name het tijdsbestek waarbinnen een bedrijf moet reageren op verzoeken van gebruikers (binnen een maand) en specificeert boetes – tot 20 miljoen euro of 4% van de jaaromzet – voor het niet naleven van deze vereiste. De feitelijke procedures die bedrijven moeten helpen de wet na te leven (bijvoorbeeld ervoor zorgen dat gegevens naar de eigenaar worden gestuurd) worden daarin echter niet gespecificeerd. Daarom moeten organisaties zelfstandig (soms met vallen en opstaan) hun werkprocessen opbouwen.
Hoe kan ik de situatie verbeteren?
Een van de meest radicale voorstellen is om de AVG af te schaffen of radicaal opnieuw te maken. Er is een mening dat de wet in zijn huidige vorm niet werkt, omdat dat zo is en overdreven streng, en je moet veel geld uitgeven om aan al zijn eisen te voldoen.
Zo moesten de ontwikkelaars van de game Super Monday Night Combat vorig jaar noodgedwongen hun project annuleren. Volgens de makers is het budget nodig om systemen opnieuw te ontwerpen voor de AVG , toegewezen aan het zevenjarige spel.
“Kleine en middelgrote bedrijven beschikken vaak niet over de technologische en menselijke hulpbronnen om de vereisten van toezichthouders te begrijpen en de nodige voorbereidingen te treffen”, zegt Sergey Belkin, hoofd van de ontwikkelingsafdeling van de IaaS-provider. . “Dit is waar grote leveranciers en IaaS-providers te hulp kunnen komen door veilige IT-infrastructuur te huur aan te bieden. Bij 1cloud.ru plaatsen we onze apparatuur bijvoorbeeld in een datacenter, volgens de Tier III-norm en helpen klanten te voldoen aan de vereisten van de Russische Federale Wet 152 “Over Persoonsgegevens”.
Фото - - ontspatten
Er is ook een tegengesteld standpunt, namelijk dat het probleem hier niet in de wet zelf zit, maar in de wens van bedrijven om alleen formeel aan de eisen te voldoen. Een van de bewoners van Hacker News : de reden voor het lekken van persoonlijke gegevens ligt in het feit dat organisaties de eenvoudigste verificatiemechanismen, die worden gedicteerd door gezond verstand.
Hoe dan ook zal de Europese Unie de AVG in de nabije toekomst niet loslaten, dus de situatie die tijdens de Black Hat-conferentie aan het licht kwam zou voor bedrijven een stimulans moeten zijn om meer aandacht te besteden aan de beveiliging van persoonsgegevens.
Waarover schrijven we op onze blogs en sociale netwerken:
1cloud-infrastructuur in Moskou in Dataruimte. Dit is het eerste Russische datacenter dat de Tier III-certificering van het Uptime Institute heeft behaald.
Bron: www.habr.com