Divulgare la privacy e la cybersecurity nelle aziende
con spiegazioni semplici e operative, AI assisted
Osservatorio a cura del dott. V. Spataro 


Podcast Newsletter Dizionario Rassegna TG About







Accesso


Password persa ?

oppure

Dallo store:

La banca dati:

216 voci nel dizionario
3057 documenti
1309 temi
105 dossier

store
i prodotti

   accessi 2024-11-18 ·  NEW:   Appunta · Stampa · Cita: 'Doc 99050' · pdf

L'autorità norvegese sanziona la P.A. perche' non controlla abbastanza i log di accesso dei dipendenti

abstract:



Log e GDPR: risposte contrastanti e intermanente contraddittorie che pregiudicano la cybersecurity anche quando la vorrebbero promuovere, ovviamente con motivazioni giuridiche coerenti.

Vediamo perche' in analisi.

Sempre in analisi le traduzioni e sintesi gen ai della relazione di vigilanza sui rilievi tecnici compiuti. Un vero manuale di worst practices tipiche in tutte le aziende.

La nostra analisi del materiale documentale fornito dalla SA norvegese indica anche chiaramenti i comportamenti da tenere.

- Fonte: SA Norvegia




analisi:

L'analisi è riservata agli iscritti. Segui la newsletter dell'Osservatorio oppure il Podcast iscrizione gratuita 30 giorni

".'............... ......... ... .. .......... ... .... .. ........... .. ...... .. .. .......... ................... ........ ... .. ...... ........ ...... ..... ... .'...... .. ............. .. ......... ........., ... .'....., .. ......... .. .. ....... ........ . ........ ... .. ...... ............. . .. ...... .. .......... ........ .... ........ ..... ........". .. ..... ...... .......... ........ ...... .... .. ......... ..... (....... ... .......... .' ... ......... ........... ... .. ........ .. ....... .........)

... ......... ....'...... ...... .......... ... .. ...... ........... .. .. ....... ........... ..... .......... .. .......... ....... ....'...... ......... ............, . ... .... .... ..... ....... ....... ... ........... ... ..... ................

........ . ......, ... ............ ... .. ................. ..... .......

- ........ ............... . ....... ...... ............ . ......

- ........ .. ......... .. ......... .. ... ......... . .......

- ...... ........ ..... ........ ........... ..... ........ (?)

.. ... ...... ........ ......' ... ........... ..... . ..., .. ........... ...... . ..........

.'.' ........ ... ... .. ..... ...... .............. .. ........... ....... .... ............., ...... ......... ........ ....... .. ...', .. .. ..... ... ............. ..... .. ....... ... ... ..... .......

....... .. ....... ... ..:

..... ......... ... ........., .... . ..... ...... . .. ... ................. ........ .. .... ........... ..... .........:

..... ......

  1. ....... ... .........: ........ ....'........... ..... ...... ........ . ............. ........ .. ... ... ......... .. ............ ... ........... ... .... ......... ... ....... .. .......... ... . ........
  2. ....... .. .... .........:
    • .. ........ ..... ....... ........ ........., ... ..... ...... .......... . ..... ... ....... ...
    • ........ ......... .. ........ ..... ....... (........... . ...... .........), .. .. ..... ..... .. .... ....... ... ....... ... .... ..... .......... ... .....
  3. ...... ............:
    • .................. ... .... ........, ....... .... ......... ......... .... ......... ....... (...... . . .) . .... .. ...........
    • ........ .. ......... ........ ..... ......... .. ........
  4. .......... ... ...... .........:
    • ........ ........ ... .......... ....... ... ......... ....... (.. ....... ....... ............ ........ ........).
    • .......... ... ......... .... ......... .. .......... ....
    • ........ .. ...... ........ ... ..... ......... ..........., .... .......... .........
  5. ................ ....'...............:
    • ................ ... ....... .. ....... ... . ......., ... ........ ... ........ ... ........ ....... . ......... ...........
    • ................ .. .......... .. .......... ..... .............. ..... ............... (..................).

... ................. ........ .. ....

  1. ........ .. .. ....... .. ........ ..........:
    • .. ......... .. ....... . .......... ... .... ................ ............ . .......... (.......... ..... ..... .. . .. ....).
  2. ....... .............. ....:
    • ........ .......... ... ....... . .... ... ......... ... .. .... ........ (.......... ... ......... .. "................" . "......... .....").
  3. .......... .......... .. ...... ...........:
    • ....... .. ...... .......... ... ...... ........... ....... .. ...... ... ......... ......., .... .......... ........, .......... . ...... ....... (.......... ............... .. ....).
  4. ........ .. ......... . ......... ........:
    • ... ...... .. ......... ........ . ............. ................... ..... ....... (.......... ... ......... .. .............., .... . ....).
  5. ............ ... ........:
    • ... ....... .......... .... ....., . ........ ....... ........ ............ ......... .. ..... .. ......... ........ ....'......, ....... ... ...... ..... ............ (.......... ............... .(.)(.) ....).

---

........

... ........., . ........ .... ......... .... .. ....... ........ ... ....... .. ..., .. ........... .. ......... . ....., .. ....... .. ............. ........... ......... .... .. ............... ... ........ . .. ................ ........:

........... . ............. ... ........ .. .....

  • ...'........ .....: ........ .. .......... ....... .. ............. .. ......... .. ..., .......... ... ........... .............. ........ . ...... (.. ......., ........., .............. . .... ........ . ...........).
  • ....... .. ........:
    • . ........ .... ............ ........... ... ........., .... ......, ...., .... .. ........., . ....... ......... ........ ... ........ .. ......... ... ......... ..... ........
    • . ........ ... ............ . .. ....... ........., .. ....... ...... ............ .. ......... ....... ... ... .. ........ ... .. ........... ... .....

........ ........ ... . ........

  1. ....... ..... .. ........:

    • .. ....... ..... ... .......... ... ....... . .. ....... ......... .......... ............ . ........ .. ......... .. ..... . ...., ................. ... ..... ... ... ......... ... .. .... .......
    • ... ......., .. .......... ........ ...... ... .. ...... .. ..... ........ ... .. ....... ......... . .. ........ ..... ... ......... .........., ..... ... ...... ........ ..... ......... .. ........... ..........

  2. .................. ... ........:

    • . ........ ....... ......... ............ ... .............. ........ ......... ........... .. .... ........., .... ......, .......... ......... . ................ ...........
    • ..... .. ... ........ .. ..... ...... ... ....... ... ... ........ ....... ........ ............ ........., ........ ..... ............ ... ...... ..... .......... ....... .... .......... .. ...... ..... ......

  3. ....... ... ........ . .....:

    • . ....... .......... .. ............ ........ ...... .. .... (.. ......., ............., .........., .................).
    • ..... .. . ......... .... . ...... ....... ...... ........... .... ... .............. .........., .. .................. .. ...... . ........ ..... ........... ....... ........... .. ....... ... .. ............ . .. ......... ... .....

  4. .......... ... ........:

    • ...... ......., .... ....., ... .. ..... .,. ....... .. .......... . ...... ...... ... ......., ........... .. ....... ...... .. ......... ..... ........ . ..... ..... .......... ... ....... ......... .. ...... ............ .. ..... ......., ....... .'....... .. ........ .......... ......

................ ........ .. ....

  • ......... .. .............. ... .... (.... .(.)(.)):
    • ... ..... . .......... ... ........ .. ........ ..... ....... .. ...... ............ ... ........ .. .... .........
  • ......... . ............ (.... .(.)(.)):
    • . ........ ... .... ................ ........, .... ... .......... ... ................. ...... ..... .. ............ .............. ..........
  • ........ .. .... (...... ........ . .............):
    • .. ...... ... .......... . ........ .... ........ ............., .... ... ..... .. ......... ........ .. ... .......... ......... . .....

............... ... .......

.. ......... .......... ... ... .....:

  • .......... .. ......... ... ........:
    • ........ .'....... .... . ... .. .. ......... ....... .. ..........
    • ............ ...... ........ ... .......... .. ............ ........ .... .. ........ .. ..'......... .................
  • ......... ... ........:
    • ......... ... . ........ ... ......... ... ............ ..........
    • ....... .. ......... ... ....... ...... ..... ... ....... ............. .. ......... ... .........

...... ............ ........... .. ....... ............., ............ .. ....... ... .... ........ .. ... . .. ...... .. .......... ..........

---

... (..... .. ...' ..... ......... ........ .... ....... .....):

.. ......... ........ .... ....... ........ .... ... ... ..... ....... .......... ... ..., ... .. ....... .. ................. .. .... ... ... .. .......... ........ ... .... .......... .... ..'....... ...........:

........ ..... .......: ....... ........

  1. ....... . .......... .. .......:

    • ... ........ ......... ............. .... ........... . ...... ......... (..) ... ....... . .......... ... ........
    • ... ....... .... ........... ... .......: ..... ... .........., ......... . .... .. .... (... ".........", ".......... .........").
    • ..... ... ....... .. .... ........., ... ...... .......... ...... ....... .. .....

  2. ......... ... "......... ....." (................ .. ........):

    • ... ....... ...... ...... ........ .... ... ....... ......... . ....... .................
    • ........, .. ......... ......... ... ...... ......... ... ........ ............. ......... . .......... .. ..... ..... .............

  3. ........ ...........:

    • . ....... ... ........... .. ....... .. ....... .... ........ .. .... .........., ......... .. ......... . ...... .. ............ . .................. (.............. ..... ...............).
    • ....... ......... . .......... .......... ... ....... ...... ........., ........ . .......... ... . .... .......

................ ............

  1. ....... .... . ..........:

    • ...... ....... .... ..... permettono accessi molto estesi:
      • ..... ...... .......... ..... ....... . .... ... ........
      • .. ......, ..... ..... ....... ........., . ..... ..... ....... "..........." (........... ....... .......... ... ....... ...... ...... ....... ................).
    • .'.............. ... ...... . ....... ......... ..... ......... ........ ... ....... .. .... ........, ........... ... ...... .... . ......... (..........).

  2. ........ .. ......... . .........:

    • .......... ... ........ ... . ...... .. ............ ........ ... ....... ..........., ... ......... ........... ... ...... ......... .... ...........
    • ... ...... ......., .... ....., . ...... ...... .......... ... ....... ............., .......... .. ....... .. .......

  3. ........ .. .......... ..... ..............:

    • ... .................., ............ ..... ........ ....... ..... ......., ... ........ ... .......... ...............
    • .. ............ ..... .......... ........ ........., ...... ........ .... ..... .............. ... .........

  4. ....... . ........ . .........:

    • . ........ .... ........... . .. ...... ......... .. .......... ..... ......... ........... ... .... ..... ....... .. .........
    • .. ....... .... ....., ..... .......... ....... ...... ............ ......... .... .... . ...... .. ........., ..... ..... ........ .. ..........

  5. ....... . ......... .......:

    • ... ....... .. ..., ..... . ........., ....... ...... ......., ......... ........... ............. ... ....... .......... .................. ........., ....... .......... ...... ... .. .............

... ................. .. ....

  1. ......... .. .............. ... .... (.... .(.)(.)):

    • ... ....... ... .... ........ .. ...... .........., .......... .. ....... .. ........... ......... . ... ............

  2. ......... .. ......... (.... .(.)(.)):

    • ................ ..... ....... . .. ........ .. ......... ........... ............. .. ............ ... .....

  3. ......... ........ (.... ..(.)(.)):

    • .. ......... ..... ....... ... ........ ..........., . ... ......... ....... ... .......... .. ......... .........

............... . ......... .............

  1. ....... .. ....... .......... .........:

    • .......... ... ........ ..... ....... .......... ........... ...... .. ..... . ................ .......... ... .... ........
    • ............ .......... ... ........ ............... .'....... . ......... . ........ ... ............ ..........

  2. ........... ..... ......... ..... .......:

    • .......... ......... ... .......... .. ...... .. ............ .......... ... ....... ........ . ........... .. ..................

  3. .......... .............. ... ..............:

    • ...... ......... .. .......... ... ... .................., ... ......... ... .......... ....... .........

  4. ........ ..... ....... .......:

    • .......... ...... ......... . .......... .. ............. ........ ... ......... ... ......, ......... . ...... .. ....... ... ...........

...........

.. ........ .. ....... .. ... ........ .. ........ ........... ... ...... ...... ............. ... .. ................. .. ..... ...... ... .. ........ . ............ ............., ...... .......... ........ .. ......... .......... ........ . ........... ... ....... ... ......., ........... .. ........ .. ......... .. .............. . ..........

---

...... ..'..... ......... .. ... ..:

...... .. ........... . .... .. .... ........: ........ .. ............ ....... ... ...... .. ... .. ....., ... .... .......... ......... ....... .. ...... .. ............ ....... .. ... .. ....... ... ..... ....... ...... .. ... ......... ...... ... ....... .............. (...). ... ........ .... ..... .. .......... ..... .. ....... ........... ............ .. ............... ....... ...... .......... ... ... ........ .. ..... ....... ....... ...-............. ....: .... ....... ... .......... ......... .. ..... .. ...., .. .......... .... .. . ........... .. ... ........ ......., ......... ... .... .. ....... ...... .. .... .... ... .... .......... ......... ........ ........... ...... ....... ... ........ .. ..... ...... ... ...... .. ............ ....... .. . ..... ..... ..... ... .... .......... ................. ......, ... ......... ... ......... .. ... ....... ....... ..... ... . ..... ........ .. .. .... ..... .. .. .. ........., ..... ... .... .. ........ .... ... ....... ....... ...... ......... .... .... ...... .... .........,....... .... .... ...., ........ ....... .. ... .... .......... .......... ........... . .... .......... ..........., ... .. .. . ....... ........, ... ... ..... .... .. .. ........ .. ....... ...... .....-..... .......... .. ........ ..... .... ........ ...... ......... ..........., ... .. .... ......... ....... .. ...... . .... ....... ........... .......... ... .... .......... ......... ....... ... .. .......... .. ... .. ......... ...., ... ......... ... ........ .. ... .... .. ........ ..... ... .... ... ........ .. ... ........ .. ........ ... ....... ...... .... ... ...-............ ....... ... .. ... .... .......... ........., ... ... .... . ...... .. ........ .. ... ............ .. . ....... .... ......... . ........ .........., ... .... .......... ......... ... ... .... . ........ .. .......... .......... ... .... ........... ... .... ........... .......... ...... .. ... ............ .. ...... .......... .... ... .... .......... ..........., ... .... ........ ............... ....... ...... .......... ... ... ....... .. .... ... ............ .. ......... .......... .......... ... ......... . ...... .. ........ ...., .. ... ......., .... .......... ... .............. .........., ... . .... .. .......... ... ............. .. ... .......... .. .... .......... ... ... ............ .... .... .. .... .. ... .. .... ....,....... .... ..... ......... ....... .... ... ........ .... .... ... .... .. ........ .... ........ ... ... .... ..... .......... ........ ... ......... .. ........... .................. .......... .......... ... ......... .. ...... ... ....... ...... .. ........... .......... ...... ... ...... .......... ... ... ....... ..... .. .... ......... .. ...... ....... ... ... .. ... ........... ....... ..... ..... ...... ... ......... .. ... .... ..... ....... ... ..... ..... ....... .. ........ ..... .... .. .... ... .... .. . ......, ........... .......... ......... .. ...... .. . ...........-..-.... ............ .. .. ........ ....... .. ..... ...... ...... ... ............. .... ..., .......... ... .......... .. ........ ....... ...... .............. ... ... ... ........... .. ....... .......... .... ... ....... .... .......... .......... .. ... ..... .. .......... .......... .......... ....... . .... .... .... .......... .. ..... .. ....... .... .. ... .......... ... .. ......... .... .. .... .......... ..... ... ........ .. ... ....... ..... .. ..... ... ....... .. ...... ... ........ .. ......... ........ ....... ........ .... ... .. .... ..... ...... ..... ..... ..... .. ......... .. .......... .... .... .......... .... .. ........... .........., ..... ..... .... ...... ............ .... ..... .. ........ .... ........,....... .... ..... ..... ..... .. ......... ... .... .. ... ............ ......., ... .... .......... ......... ... .......... .... ... ... .... ......... ....... .......... .. ........ .... ... . .... .... ... ........ .. . ..... ...... .. ......., ....... ... ......... ........ .......... ...... .... ............ .. .... ......... .... ... ... ... ......... .......... .. ........ ........, ....... ........... ... ........ ..........., .. .... ... .... .. ........ .... ........ ... ......... ......... ................... ......... .... .. ........., ............. ... .........., ... .. .... .. .... .... ......... .... ... ............ ....... ...... .. ....,....... .... .....

........... . ........ ...........

...........

  1. ........ ..... ..... ........ ... ....: .. ......... ...... ... ....... .............. (...) .. ........ ..... ... ................. ..... ........ ..... ............ .......... .. ......... ..... ....... . ... .........
  2. ....... .. ........ ..........: .. ....... .. ........ ..... ... ... ........ ............. ... ......... .. ........ ..... ......... ..... .......... ... .....
  3. ....... .......: .. ... ........ ... ...... ............... .. .... ......... ........., .. ... ........ .. ....... ....... ... .. .......... ... .....
  4. ............... .......: ........ ..... ....... ... ............... .. ... .. ....... ... .. .......... ............

........ ...........

  1. ......... ........ (......... ....): .'............... ... .. .......... ... .... .. ........ ..'......... ...... .. ..., ............. ....... ... ..................
  2. ......... ........ (........ ....): .'............... .. .......... .. ......... .. ....... ... ............... . .. ...... ....... ...... .... ....
  3. ........ ..... ... (....... ....): .. ... .. ....... . .... ........, ........... .. ..... .. ....... ... .. ... ................. ..........., .. ........... .. ................
  4. ......... ...... (..... ....): .... ... ........... ............, .'............... .. .......... .. ......... ........, ......... ... ............... .. ... .. ........
  5. ....... ..... ... (...... ....): .. ... .. .......... .. ....... ...... .. ..........
  6. ......... . ..... .. ....... ....... ..... (...... ....): .'....... ........ ..... ....... .. ....... ....... ..... ... ... ......... ......, ... ... ........ ..... ...... ...... .. .. ......... .....

........... ... .. ............... .......

  1. ...... . ....... ..... ..........: .. ... .. .... ........... ......... ........ .. .... ......... ... .. ..... ....... . ........... .. .... ...... .. ......., ..... . ......... .......... .. ..........
  2. ........ ..........: .. ... ... .. ........ ............. .... ........ ......... .. .... ............... .... ......... ... .... ..........
  3. ........., ...................... . ...................: .. ............... ...... ...... ........, ............. . .........., . .. ...... ...., .'............... .. ........ ... .. ............... ....... ...... ........

............. ......

  • .... ...., ......... ........ ....'............... ... .. .......... ... ....: "......... ..... ... ..... ...... .......... ... ..... .. ..... ..... .......... ... ...., .. ... ........ .. ... ......... ........ . . ....... ... .... ........ .......... ..'............ .. ..... ..... .. .... ........., ....... ............ ......... .........."

.. ......., .. ......... .. ....... ... ............... ....... .... ... ........ ..... ..... .... ..'......... ............ ... .. ........ ..... ... ................. ..... ........ ..... ............ ... ...., ... .. ....... .. ........ .......... . .. ....... ....... ... .. .......... ... ..... .. ............... ........ ..... .......... .......... .'....... ..... ..., . .. ......... ........ ... .. ...... .. ... ......... ...... ... ....... ....... ......




index:

Indice

  • ... ................. ........ .. ....
  • ..... ......
  • ....... ... .........
  • ....... .. .... .........
  • ...... ............
  • .......... ... ...... .........
  • ................ ....'...............
  • ... ................. ........ .. ....
  • ........ .. .. ....... .. ........ .....
  • ....... .............. ....
  • .......... .......... .. ...... ........
  • ........ .. ......... . ......... ......
  • ............ ... ........
  • .....
  • ........... . ............. ... ........
  • ...'........ .....
  • ....... .. ........
  • ........ ........ ... . ........
  • ....... ..... .. ........
  • .................. ... ........
  • ....... ... ........ . .....
  • ....
  • ......... ... ....
  • .......... ... ........
  • .....
  • ................ ........ .. ....
  • ......... .. .............. ... .... (..
  • ......... . ............ (.... .(.)(.))
  • ........ .. .... (...... ........ . ....
  • ............... ... .......
  • .......... .. ......... ... ........
  • ......... ....... .. .........
  • ......... ... ........
  • ......... ........ .... .......
  • ........ ..... .......: ....... ........
  • ....... . .......... .. .......
  • ...... ......... (..)
  • ...... ..........
  • ......... ... "......... ....."
  • ........ ...........
  • ..................
  • ................ ............
  • ....... .... . ..........
  • .....
  • ...... ..........
  • .....
  • ........ .. ......... . .........
  • .....
  • ........ .. .......... ..... ...........
  • ..................
  • ....... . ........ . .........
  • .....
  • ....... . ......... .......
  • ... ................. .. ....
  • ......... .. .............. ... .... (..
  • ......... .. ......... (.... .(.)(.))
  • ......... ........ (.... ..(.)(.))
  • ............... . ......... ............
  • ....... .. ....... .......... .........
  • ........... ..... ......... ..... ......
  • .......... .............. ... ..........
  • ..................
  • ........ ..... ....... .......
  • ...........
  • ........ ..... ..... ........ ... ....
  • ....... .. ........ ..........
  • ....... .......
  • ............... .......
  • ......... ........ (......... ....)
  • ......... ........ (........ ....)
  • ........ ..... ... (....... ....)
  • ......... ...... (..... ....)
  • ....... ..... ... (...... ....)
  • ......... . ..... .. ....... ....... ...
  • ...... . ....... ..... ..........
  • ........ ..........
  • ........., ...................... . ....
  • .... ...., ......... ........ ....'.....
  • Misure tecniche e organizzative idonee
  • Gestione degli accessi non è sogg
  • Garantire che le valutazioni dei risch
  • Disponibilità di metadati sui doc
  • Non ha stabilito misure organizzative so
  • Le routine per la concessione dell'acces
  • Dati personali che sono trattati solo pe
  • In combinazione con un sistema carente p
  • Verificare l'audit annuale dell'accesso
  • NAV non ha stabilito un controllo sistem



testo:

L'Autorità norvegese per la protezione dei dati ha notificato una tassa di infrazione di 20 milioni di corone norvegesi e diversi ordini all'Agenzia per l'occupazione e il welfare (NAV). La notifica arriva dopo un supervisione all'inizio di quest'autunno ne abbiamo trovati diversi seri deviazione quando si trattava della sicurezza delle informazioni nei loro sistemi IT.

Avviso di commissioni e ordini a NAV

Aggiornamento 5 gennaio 2024

Abbiamo ricevuto feedback da NAV che esamineremo attentamente. Prenderemo quindi una decisione in cui fisseremo anche la somma finale per la tassa di infrazione. NAV avrà quindi la possibilità di presentare ricorso contro la decisione al Personal Protection Board.

– L'Autorità norvegese per la protezione dei dati prende la questione molto sul serio. NAV si trova in una posizione speciale dal punto di vista della privacy e i compiti che NAV è tenuto a svolgere comportano trattamento dei dati personali su larga scala. Include informazioni molto sensibili. Avvertiamo di un'elevata commissione di infrazione perché le nostre indagini mostrano un grave fallimento nella gestione di tali informazioni per un lungo periodo di tempo. Questo è ciò che afferma Line Coll, direttore dell'Autorità norvegese per la protezione dei dati.

Sfondo

L'Autorità norvegese per la protezione dei dati ha effettuato un'ispezione presso NAV il 6 settembre 2023. Il rapporto di ispezione preliminare è stato inviato al NAV il 1° novembre. NAV ha formulato le sue osservazioni sulla relazione il 22 novembre. L'Autorità norvegese per la protezione dei dati ha ora preparato un rapporto di ispezione finale e annuncia una decisione sul caso.

Le nostre principali conclusioni sono che i sistemi di gestione di NAV non sono soddisfacenti per garantire il rispetto delle norme sulla privacy e che anche garantire la riservatezza dei sistemi IT non è soddisfacente. Trattandosi di un avviso, NAV avrà la possibilità di formulare eventuali commenti anche sull'avviso. 

Controllo delle misure tecniche e organizzative

Durante l'ispezione abbiamo esaminato le misure tecniche e organizzative relative a gestione accessi, Controllo log e log nelle soluzioni IT nella parte statale del NAV.

Tra i principali risultati c'è che NAV si è organizzata in modo che un gran numero di dipendenti lavorino con casi provenienti da tutto il paese, all'interno di diverse aree di servizio, e quindi abbiano un accesso corrispondentemente ampio. Allo stesso tempo, non è stato stabilito alcun controllo sistematico sull'uso dei sistemi IT da parte dei dipendenti. Il risultato di ciò è, secondo l'Autorità norvegese per la protezione dei dati, che l'uso dei sistemi IT è in gran parte basato sulla fiducia. La mancanza di routine e di gestione significa che i dipendenti non hanno gli strumenti di cui hanno bisogno per gestire la fiducia e la responsabilità che viene loro data.

– NAV costituisce la spina dorsale del modello di welfare su cui è costruita la nostra società. La maggior parte dei cittadini norvegesi riceve benefici dal NAV durante la loro vita. Esiste quindi un elevato rischio per la privacy integrato nelle operazioni di NAV, il che significa che esistono requisiti rigorosi per la sicurezza dei dati personali, afferma Coll.

Hanno identificato molte violazioni

Nel valutare l'entità della tassa di infrazione, l'accento è stato posto sulla messa a disposizione del NAV categorie speciali dati personali per lungo tempo e circa un elevato numero di persone. Ciò è avvenuto senza che fossero istituiti i necessari meccanismi di sicurezza. È stato inoltre posto l'accento sul fatto che NAV ha mostrato intenti nelle violazioni, anche non allineandosi ai precedenti ordini emessi dall'Autorità norvegese per la protezione dei dati relativi alla stessa situazione.

– Le commissioni di infrazione devono essere efficaci, avere un rapporto ragionevole con la violazione e fungere da deterrente, e in questo caso siamo caduti su un'elevata commissione di infrazione, afferma Coll.

L'Autorità norvegese per la protezione dei dati ha individuato un totale di 12 violazioni di regolamento privacy. NAV ha quindi ricevuto avviso anche con l'ordine di rettificarli. Le ordinanze prevedono, tra l'altro, la creazione di un sistema completo e adeguato per le misure organizzative e le misure di attuazione relative alla gestione degli accessi. Nel valutare la tariffa si presuppone che il follow-up delle violazioni comporterà anche un onere finanziario per NAV.

NAV ha tre settimane per rispondere all'avviso. L'Autorità norvegese per la protezione dei dati deciderà quindi come decidere il caso prima che venga presa la decisione.

Gli ordini notificati:

  1. NAV non ha sufficientemente istituito un sistema di gestione che preveda misure tecniche e organizzative idonee a garantire e dimostrare che il loro Trattamento dei Dati personali sia effettuato in conformità del regolamento sulla protezione dei dati personali, cfr. articolo 5 n. 2 e articolo 24 n. 1 e 2. 
  2. La documentazione disciplinante di NAV per la gestione degli accessi è priva di misure tecniche e organizzative idonee a garantire e dimostrare che il loro Trattamento dei Dati personali sia effettuato in conformità al regolamento sulla protezione dei dati personali, cfr. articolo 32 n. 1 e 2, cfr. anche articolo 5 n. 2 e articolo 24 n. 1 e 2.
  3. La documentazione che disciplina NAV per la gestione degli accessi non è soggetta a regolari audit in conformità con i requisiti del Regolamento sulla protezione dei Dati personali articolo 32 n. 1 lettera d. 
  4. NAV non ha stabilito misure organizzative soddisfacenti per garantire che le valutazioni dei rischi siano effettuate in conformità dell'articolo 32 n. 2 del regolamento sulla protezione dei Dati personali al momento di istituire e sviluppare sistemi professionali. 
  5. La disponibilità di metadati sui documenti in Joark è troppo generale e ampia e non è compatibile con il principio di riservatezza di cui all'articolo 5 n. 1 lettera f del regolamento sulla protezione dei Dati personali e i requisiti per la sicurezza dei Dati personali di cui all'articolo 32 n. 1. 
  6. NAV non ha stabilito misure organizzative soddisfacenti per la formazione degli amministratori delle identità. La nostra conclusione è che si tratta di una deviazione dai requisiti del Regolamento sulla protezione dei Dati personali articolo 32 n. 1° e n. 4. 
  7. Le routine per la concessione dell'accesso sono obsolete e non forniscono indicazioni relative alle valutazioni discrezionali. Ciò è da considerarsi una deviazione dai requisiti per le misure organizzative secondo l'articolo 32 n. 1 e n. 4. 
  8. La disponibilità di dati personali che sono trattati solo per scopi di archiviazione (questioni storiche) è troppo generale e ampia e non è compatibile con il principio di riservatezza nel Regolamento sulla protezione dei Dati personali articolo 5 n. 1 lettera f e i requisiti per la sicurezza dei Dati personali nell'articolo 32 n. 1.
  9. NAV si è organizzato in modo tale da far sì che una percentuale significativa di utenti ne ottenga uno bisogno ufficiale per avere ampio accesso. In combinazione con un sistema carente per il controllo dei log (vedi relazione punto 7), ciò non è compatibile con il principio di riservatezza di cui all'articolo 5 n. 1 lettera f del regolamento sulla protezione dei Dati personali e con i requisiti per la sicurezza dei Dati personali di cui all'articolo 32 n. 1. 
  10. La mancanza da parte di NAV di misure tecniche e organizzative per la schermatura in base alle esigenze individuali è una deviazione dal requisito che le misure di sicurezza siano adattate al rischio del trattamento, cfr. Articolo 32 n. 1 e 2 del regolamento sulla protezione dei dati personali. 
  11. Il NAV non ha stabilito routine soddisfacenti per verificare l'audit annuale dell'accesso da parte dei gestori delle unità. Si tratta di una deviazione dal requisito di cui all'articolo 32 n. 1 lettera d del regolamento sulla protezione dei dati personali. 
  12. NAV non ha stabilito un controllo sistematico dei log. In combinazione con il fatto che una parte significativa dei dipendenti di NAV ha un ampio accesso (si veda la relazione punto 5.4/deviazione 9 di cui sopra), ciò può essere considerato una deviazione dall'obbligo di introdurre misure tecniche e organizzative adeguate per garantire e dimostrare che il Trattamento dei Dati personali è effettuato in conformità al regolamento sulla protezione dei dati personali, cfr. articolo 32 n. 1 e 2, cfr. anche articolo 5 n. 2 e dell'articolo 24, paragrafi 1 e 2, nonché dai requisiti per i controlli periodici di cui all'articolo 32, paragrafo 1, lettera d).

Scarica

Avviso di decisione sull'ordine e sulla tassa di infrazione (pdf).

Relazione di vigilanza (pdf).

Testo del 2024-11-18 - Fonte: SA Norvegia




Commenta



i commenti sono anonimi e inviati via mail e cancellati dopo aver migliorato la voce alla quale si riferiscono: non sono archiviati; comunque non lasciare dati particolari. Si applica la privacy policy.


  Newsletter
Ricevi gli aggiornamenti su L'autorità norvegese sanziona la P.A. perche' non controlla abbastanza i log di accesso dei dipendenti e gli altri post del sito:

Email: (gratis Info privacy)






Nota: il dizionario è aggiornato frequentemente con correzioni e giurisprudenza