The New York Times - Norveški informacijski pooblaščenec je izrekel eno najvišjih glob za zlorabo osebnih podatkov. Upravljavec aplikacije Grindr je bil oglobljen v višini 10 odstotkov letnega prometa na svetovni ravni, ker je nezakonito delil osebne podatke uporabnikov z oglaševalci. Globa v višini 100 milijonov norveških kron (9,6 milijona evrov) je najvišja možna po GDPR, ker je posredoval posebno občutljive osebne podatke.

Grindr je aplikacija za zmenkarije, ki jo uporabljajo geji. To pomeni, da se pri vsakem posredovanju katerikoli osebnih podatkov avtomatično pozna tudi spolna usmerjenost uporabnika, ker je eden izmed tako imenovanih občutljivih osebnih podatkov, ki morajo biti še posebej varovani. Upravljavec aplikacije se je zagovarjal, da to ne drži, saj da so nekateri uporabniki tudi heteroseksualno usmerjeni. Informacijski pooblaščenec je argument zavrnil z utemeljitvijo, da se aplikacija oglašuje kot namenjena ekskluzivno gejevski in biseksualni skupnosti. Ker je v nekaterih državah...

ZDNet - Tamkajšnji senat je namreč odobril nadaljnjo obravnavo ustavnega amandmaja, ki bo, če bo sprejet, pravico do varovanja osebnih podatkov na digitalnih platformah uvrstil med temeljne pravice in svoboščine državljanov. Predlagatelji menijo, da je taka zakonska zaščita odgovornost vsake države, uvrstitev med ustavne norme pa pomeni, da država področju priznava določeno pomembnost.

Brazilija v tem pogledu sodi med naprednejše države, saj so tam v začetku leta ustanovili urad nacionalnega informacijskega regulatorja, podoben organ, kot ga poznamo v državah članicah EU. V uradu pripravljajo zakonodajni okvir s tega področja, obenem pa so zadolženi tudi za preganjanje in kaznovanje...

Slo-Tech - Shranjevanje dokumentov, ki so dostopni na internetu, po zaporednih številkah, je slaba varnostna praksa, zlasti če imajo različne pravice glede dostopa. To je na primer razlog, da imajo posnetki na YouTubu naključne identifikacijske oznake. In to je tudi razlog (seveda ne edini!), da je ameriškemu zavarovalniškemu gigantu First American Financial Corp. na internet ušlo vsaj 885 milijonov osebnih podatkov. Kot razkriva Brian Krebs, so najstarejši zasebni dokumenti, ki so bili javno dostopni na internetu, stari 16 let.

Gre za digitalizirane dokumente, ki vsebujejo številke bančnih računov, višine nakazil, bančne izpiske, podatke o kreditih, davčne napovedi,...

Slo-Tech - Računi, izdani strankam spletne trgovine Proteini.si s športno prehrano in dodatki k prehrani, so bili prosto dostopni na na spletišču http://izpis.proteini.si/&#8221 (spletna stran je v tem času delovala samo na nešifrirani HTTP povezavi).

Brskanje po strežniški mapi je bilo sicer onemogočeno, zato “na prvo žogo” ni bilo mogoče dobiti seznama vseh računov. Vendar pa je bilo do seznama vseeno mogoče dostopati, in sicer tako, da smo spreminjali številke v imenu datoteke (npr. namesto “1-1-12645.pdf” bi zapisali “1-1-12644.pdf”, itd.).


Iz priloženih zaslonskih posnetkov je tako razvidno, da je bilo mogoče videti račune izdane pravnim in fizičnim osebam, pri čemer je bilo iz računov mogoče videti imena in naslove ter prebivališča fizičnih oseb, pa...

Slo-Tech - "Uhajanja podatkov ni bilo", je za različne slovenske medije na šlamastiko z osebnimi podatki svojih pacientov prek svoje PR službe odgovorila Splošna bolnišnica Izola. V odgovoru so podali večje število argumentov, zakaj naše poročanje ni bilo »pravilno«. V nadaljevanju bomo analizirali glavne argumente bolnišnice Izola in pokazali, kako smo prišli do dejstev, ki smo jih podali v članku Nov vrhunec digitalne transformacije v slovenskem zdravstvu: do podatkov zdravstvenega stanja Primorcev kar prek Googla.

1. »Uhajanja podatkov ni bilo«

Bolnišnica Izola se brani, da je Google javnosti omogočal dostop le do t.i. »snapshotov« oz. »posnetkov splenega mesta«, na katerem so se nahajali izvorni dokumenti. Dostop do samih izvornih dokumentov prek Googla naj ne bi bil mogoč.

Vendar, Google indeksira samo dokumente, ki so javno objavljeni na spletni strani. Sam obstoj posnetkov v Googlovem indeksu dokazuje, da so bili izvorni dokumenti javno dostopni na spletni strani SB Izola.

Google...

Slo-Tech - Izvidi in napotnice Slovencev, ki so se naročili na pregled v bolnišnici Izola od začetka leta 2016, so bili do preteklega tedna dostopni kar prek Googla. Kot je razvidno iz priloženih slik, je prišlo do (tudi za slovenske razmere) neverjetne »šlamastike« pri varovanju osebnih zdravstvenih podatkov pacientov bolnišnice. Vse podrobnosti sicer še niso znane, vse pa kaže, da je IT sistem avtomatično objavljal izvide in napotnice na spletu. Ker Google (in seveda drugi spletni iskalniki) avtomatično indeksira vso vsebino, ki ni zaščitena na platformah, kot je WordPress, je lahko kdorkoli na svetu preverjal zdravstveno stanje Primorcev.

Informacijski pooblaščenec je bil o »nepravilnostih« obveščen pretekli petek in je takoj odredil bolnišnici umik dokumentov s spleta. Kar...

Slo-Tech - Ko smo pred kratkim razkrili, da spletišče UKC Ljubljana, namenjeno naročanju pacientov na preglede preko spleta, ni uporabljalo HTTPS šifriranja, smo opozorili tudi na 14. člen Zakona o varstvu osebnih podatkov. Ta določa, da se “pri prenosu občutljivih osebnih podatkov preko telekomunikacijskih omrežij šteje, da so podatki ustrezno zavarovani, če se posredujejo z uporabo kriptografskih metod in elektronskega podpisa tako, da je zagotovljena njihova nečitljivost oziroma neprepoznavnost med prenosom.” UKC Ljubljana je po našem opozorilu na svoje spletišče namestil HTTPS šifriranje, sicer popolnoma neustrezno, a vendarle.

Kako pa je z ostalimi zdravstvenimi ustanovami?

Problema uporabe kriptografskih metod pri...

Slo-Tech - V lanskem letu se je v Sloveniji zgodil eden večjih incidentov na področju varstva osebnih podatkov v zdravstvu. V eni večjih slovenskih zdravstvenih ustanov niso bili ogroženi le osebni podatki zaposlenih, pač pa tudi osebni podatki pacientov. Dostopna je bila zdravniška dokumentacija, vključno z napotnicami, ki vsebujejo zelo občutljive osebne podatke pacientov. Vse skupaj je bilo široko odprto v splet, spletni strežnik zdravstvene ustanove pa sploh ni uporabljal HTTPS zaščitene povezave.

In zakaj javnost o tem incidentu ničesar ne ve? Preprosto zato, ker v Sloveniji prevladuje kultura skrivanja napak in pometanja le-teh pod preprogo. Namesto, da bi se o napakah pripravilo izčrpno poročilo, ki bi vsebovalo...