Aplikacija Covid19 Alert koje je nizozemsko ministarstvo zdravstva, socijalne zaštite i sporta jučer predstavilo kao jednu od mjera borbe protiv širenja opake zaraze već je danas suočena s ozbiljnim sigurnosnim izazovima.
Naime, otkriveno je kompromitiranje osobnih podataka na način da su u izvornom kodu pronađena imena, email adrese i lozinke 200 korisnika iz druge aplikacije.
Opći je zaključak da je do ovog sigurnosnog propusta došlo prije svega zbog žurbe i neadekvatne sigurnosne provjere prije puštanja u javnost.
Ipak, u ovoj nesreći nalazimo i malo sreće, jer se radi o aplikaciji koja alarmira korisnika da je u mogućem bliskom kontaktu sa zaraženom osobom.
Ideja je temeljena na pan-europskoj platformi utvrđenoj od strane Europske komisije koja ne prikuplja osobne podatke korisnika niti njihove podatke o zdravlju, ne prati lokaciju i kretanje korisnika, već putem drugih tehnologija (NFC i Bluetooth) javlja moguć blizak kontakt.
Zamislimo samo kakvih razmjera bi bile štete za pojedine osobe kada bi njihovi zdravstveni podaci, predviđanja zdravstvenog stanja i lokacije kretanja iscurili uslijed sigurnosnih propusta, zajedno s njihovim mobilnim brojem.
Stoga je važno, u skladu i s okvirom koji je odredila Europska komisija, izbjegavati prikupljanje podataka o zdravlju, obitelji i lokaciji kretanja, uz osiguranje pune anonimnosti osoba.
Ukoliko bismo koristili terminologiju GDPR-a, uvijek imajmo na umu članak 5. GDPR-a i temeljna načela svake obrade podataka, između kojih je ključno poštivati slijedeća:
1. Načelo zakonitosti, poštene obrade i transparentnosti prema osobama čiji se osobni podaci uzimaju
2. Svrha prikupljanja i korištenja osobnih podataka mora biti strogo ograničena, izričita, posebna i svakako zakonita
3. Podaci koji se prikupljaju moraju biti strogo povezani sa samom svrhom, primjereni istoj i ograničeni s obzirom na svrhu
4. Podaci moraju uvijek biti točni i ažurirani, te ukoliko nisu, moraju se promtpno brisati ili ispraviti
5. Podaci se mogu pohranjivati samo na onaj rok koji je nužan s obzirom na svrhu
6. Mora se zajamčiti sigurnost i integritet prikupljenih podataka i zaštita od njihove zlouporabe, neovlaštene ili nezakonite obrade, neželjenog gubitka, uništenja ili oštećenja
Nizozemsko rješenje palo je na načelu br. 6. Samim time nije zadovoljeno ni zadnje načelo:
7. Pouzdanost, ili još bolje na engleskom - accountability, predstavlja odgovornost voditelja obrade da ispunjava sva prethodno navedena načela i da to može i dokazati
Više o povredi podataka u Nizozemskoj na ovom linku:
https://www.zdnet.com/article/proposed-government-coronavirus-app-falls-at-the-first-hurdle-due-to-data-breach/