Begin mei 2024 bracht het Europees Parlement zijn personeel op de hoogte van een grootschalig datalek in het wervingsplatform van de instelling (genaamd "PEOPLE"). De inbreuk betrof de persoonsgegevens van meer dan 8.000 personeelsleden. Het ging onder meer om identiteitskaarten en paspoorten, uittreksels uit het strafregister, verblijfsdocumenten en zelfs gevoelige gegevens zoals huwelijksakten die iemands seksuele geaardheid onthullen. Het Parlement kwam er pas maanden na de inbreuk achter en lijkt nog steeds niet te weten wat de oorzaak was. Dit is vooral zorgwekkend omdat het Parlement zich al lang bewust is van de kwetsbaarheden in zijn cyberbeveiligingssysteem. EU-instellingen staan natuurlijk hoog op de lijst van hackers en buitenlandse tegenstanders. noyb heeft nu twee klachten ingediend bij de Europese Toezichthouder voor gegevensbescherming namens vier medewerkers van het Parlement.
De gegevens van alle sollicitanten op één plek. Voordat je kunt solliciteren naar een baan bij het Europees Parlement, moet je je registreren op het wervingsplatform PEOPLE. Daar verstrekken sollicitanten een heleboel persoonlijke gegevens aan de instelling. Dit omvat identiteitskaarten en paspoorten, verblijfs- en opleidingsdocumenten, maar ook gevoelige gegevens zoals uittreksels uit het strafregister en huwelijksakten die je seksuele geaardheid kunnen onthullen. Daarom is het des te belangrijker dat het EU-parlement de juiste veiligheidsmaatregelen neemt om te voorkomen dat derden toegang krijgen tot deze gegevens.
Duizenden getroffen door datalek. Op 26 april 2024 stelde het EU-parlement de Europese Toezichthouder voor gegevensbescherming (EDPS) op de hoogte van een grootschalig datalek bij PEOPLE, waarbij meer dan 8.000 huidige en voormalige werknemers betrokken waren. Het is nog onduidelijk wanneer en hoe het datalek heeft plaatsgevonden, maar de getroffenen is verteld dat elk document dat ze naar PEOPLE hebben geüpload in gevaar is gebracht. Op 31 mei adviseerde het Parlement de betrokkenen uit voorzorg hun identiteitsbewijzen en paspoorten te vervangen en bood aan de kosten te vergoeden. Ten tijde van het indienen van deze klacht is het nog onduidelijk hoe lang de aanvallers toegang hadden tot de persoonlijke gegevens van de aanvragers.
Lorea Mendiguren, advocaat gegevensbescherming bij noyb: "Deze inbreuk komt na herhaalde cyberbeveiligingsincidenten in EU-instellingen in het afgelopen jaar. Het Parlement is verplicht om te zorgen voor goede beveiligingsmaatregelen, aangezien zijn medewerkers waarschijnlijk doelwitten zijn voor kwaadwillenden."
Bekende kwetsbaarheden op het gebied van cyberbeveiliging. Dit incident is met name zorgwekkend omdat het Parlement zich al lang bewust is van zwakke plekken op het gebied van cyberbeveiliging: In november 2023 voerde de IT-afdeling van het Parlement een cyberbeveiligingsevaluatie - en concludeerde dat de cyberbeveiliging van de instelling "nog niet voldoet aan de industrienormen" en dat de bestaande maatregelen "niet volledig in lijn waren met het dreigingsniveau" van staatsgesponsorde hackers. Niet alleen dat, maar het PEOPLE-inbreuk vond plaats naast een aantal andere cyberaanvallen op EU-instellingen. Russische hackers vielen de website van het Parlement aan in november 2022 en verschillende Europese regeringen in de herfst van 2023. In februari 2024 kreeg het Parlement te maken met een andere inbreuk in zijn subcommissie veiligheid en defensie, toen twee Parlementsleden en een personeelslid Israëlische spyware op hun apparaten aantroffen.
Max Schrems, voorzitter van noyb: "Als EU-burger is het zorgwekkend dat EU-instellingen nog steeds zo kwetsbaar zijn voor aanvallen. Het rondzwerven van dergelijke informatie is niet alleen beangstigend voor de betrokken personen, maar kan ook worden gebruikt om democratische beslissingen te beïnvloeden."
Veel meer gegevens dan nodig. Het datalek onthult ook dat het Parlement niet voldoet aan de vereisten van de GDPR voor het minimaliseren en bewaren van gegevens. Artikel 4, lid 1, onder c) EU GDPR vereist dat EU-instellingen alleen gegevens verwerken die "adequaat, ter zake dienend en beperkt tot hetgeen noodzakelijk is in verband met de doeleinden waarvoor zij worden verwerkt". Desondanks bewaart het Europees Parlement wervingsdossiers 10 jaar. Dit is nog zorgwekkender als je bedenkt dat deze bestanden ook speciaal beschermde gevoelige gegevens bevatten onder artikel 9, die de etniciteit, politieke opvattingen, religieuze overtuigingen of seksuele geaardheid van mensen kunnen onthullen. In dit geval uploadde een klaagster een kopie van haar huwelijksakte naar het portaal. Hierdoor kon haar seksuele geaardheid worden vastgesteld.
Max Schrems, voorzitter van noyb: "De inbreuk toont ook aan dat het tijdig verwijderen van persoonlijke gegevens de impact van de inbreuk waarschijnlijk had kunnen beperken."
Twee klachten bij de EDPS. noyb heeft nu twee klachten ingediend bij de Europese Toezichthouder voor gegevensbescherming (EDPS) namens werknemers. De EDPS is de autoriteit die verantwoordelijk is voor inbreuken op de gegevensbescherming door EU-instellingen. Het EU-parlement lijkt artikel 4, lid 1, onder c) en f), en artikel 33, lid 1, van de GDPR te hebben geschonden. Bovendien weigerde het Parlement in het geval van één klager een na de inbreuk ingediend verzoek om gegevens te wissen onder verwijzing naar de bewaartermijn van 10 jaar, ondanks de zorgen van de klager gezien de inbreuk en het feit dat hij er al een aantal jaren niet meer had gewerkt. noyb verzoekt de EDPS gebruik te maken van zijn corrigerende bevoegdheden om het Parlement te gelasten zijn verwerking in overeenstemming te brengen met de voorschriften. Bovendien, noyb de EDPS voor om een passende administratieve boete op te leggen om soortgelijke schendingen in de toekomst te voorkomen.