Bis zu 1,38 Millionen Nummernschilder in Datenpanne bei Auftragnehmer der Grenzbehörde verwickelt

0


OTTAWA – Die Federal Privacy Watchdog sagt, dass eine Datenschutzverletzung bei einem Auftragnehmer der kanadischen Grenzbehörde bis zu 1,38 Millionen Nummernschildbilder und zugehörige Informationen betraf.

In einem Bericht, der seine Untersuchung detailliert beschreibt, führt das Büro des Datenschutzbeauftragten Unstimmigkeiten in der Art und Weise an, wie die Canada Border Services Agency Nummernschildinformationen verwaltet, und einen Mangel an Sicherheitsmaßnahmen.

Er hebt das Fehlen angemessener Vertragsklauseln hervor, um sicherzustellen, dass der privatwirtschaftliche Partner der Grenzschutzbehörde die Informationen ordnungsgemäß schützt.

Obwohl der Bericht im Mai fertiggestellt wurde, wurde er am Donnerstag im Parlament als Teil des Jahresberichts des Datenschutzbeauftragten Philippe Dufresne vorgelegt.

Der Wachhund leitete eine Beschwerde ein und begann seine Untersuchung nach Medienberichten von 2019 über einen Cyberangriff auf einen in den USA ansässigen Drittanbieter, der sowohl von der kanadischen Grenzbehörde als auch von ihrem amerikanischen Gegenstück eingesetzt wurde.

Damals teilte die kanadische Grenzbehörde dem Datenschutzbeauftragten mit, dass die Verletzung ungefähr 9.000 Fotos von Nummernschildern umfasste, die von Reisenden gesammelt wurden, die am Grenzübergang Cornwall, Ontario, nach Kanada einreisten.

Die Untersuchung ergab, dass die Anzahl der bei der Verletzung kompromittierter Nummernschild-Bilddateien der kanadischen Grenzbehörde viel höher war – bis zu 1,38 Millionen, einschließlich Duplikate.

Der Bericht besagt, dass etwa 11.000 davon im Dark Web gepostet wurden – den schattigen, unterirdischen Bereichen des Internets.

Es wurde auch festgestellt, dass die Bilddateien Metadaten enthielten, die die relevante Provinz oder den Staat, der mit dem Nummernschild verbunden ist, das Datum und die Uhrzeit der Aufnahme des Bildes und den numerischen Code, der den Grenzübergang darstellt, zusammen mit der Spurnummer enthielten.

Die Grenzschutzbehörde teilte dem Kommissar mit, dass sie die Nummernschildbilder nicht als personenbezogene Daten betrachte. Allerdings, heißt es in dem Bericht, seien bei der Bewertung der Behörde die zugehörigen Metadaten aus Zeit, Datum und Ort nicht berücksichtigt worden.

Der Datenschutzbeauftragte stellte fest, dass die Dateien für einige Personen personenbezogene Daten gemäß dem Datenschutzgesetz darstellten.

Obwohl einige persönliche Daten – zum Beispiel Krankenakten und Finanzdaten – fast immer als sensibel gelten, können je nach Kontext alle persönlichen Informationen sensibel sein, heißt es in dem Bericht.

„Diese Untersuchung unterstreicht den Wert der Zusammenarbeit von Programm-, Vertrags- und Datenschutzspezialisten, um zu beurteilen, ob die bei der Bereitstellung von Programmen und Diensten gesammelten Informationen als personenbezogene Daten gelten, und um Verträge mit geeigneten Datenschutzklauseln zu entwickeln, um sie zu schützen.“

Das Büro des Beauftragten kam schließlich zu dem Schluss, dass seine selbst eingeleitete Beschwerde begründet war, da die Grenzbehörde gegen Bestimmungen des Datenschutzgesetzes zur Weitergabe von Informationen verstoßen hatte.

Das Büro empfahl der Grenzbehörde, ihren Vertrag mit dem Dienstleister zu überprüfen, um klarzustellen, dass Bilddateien von Nummernschildern personenbezogene Daten darstellen und daher „angemessene Sicherheitsvorkehrungen für die Speicherung, Verwendung, den Zugriff und die Vernichtung“ erfordern.

Der Kommissar sagt, eine wichtige Lektion in dem Fall sei, dass Datenschutzverpflichtungen gelten, unabhängig davon, ob die Daten von einer Regierungsbehörde oder einem beauftragten Dritten verarbeitet werden, der in ihrem Namen handelt.

Der Beauftragte betrachtet die Beschwerde aufgrund der Reaktion der Grenzbehörde auf die Untersuchung und der Annahme der Empfehlungen als erledigt.



Source link-46