I början av maj 2024 informerade Europaparlamentet sin personal om ett omfattande dataintrång i institutionens rekryteringsplattform (kallad "PEOPLE"). Intrånget påverkade personuppgifterna för mer än 8 000 anställda. Det handlade om ID-kort och pass, utdrag ur belastningsregistret, uppehållstillstånd och till och med känsliga uppgifter som vigselintyg som avslöjar en persons sexuella läggning. Parlamentet fick reda på intrånget först flera månader efter att det inträffat, och verkar fortfarande inte veta orsaken. Detta är särskilt oroande eftersom parlamentet länge har varit medvetet om sårbarheter i sitt cybersäkerhetssystem. EU:s institutioner står naturligtvis högt upp på listan över hackare och utländska motståndare. noyb har nu lämnat in två klagomål till Europeiska datatillsynsmannen för fyra parlamentsanställdas räkning.
Uppgifter om alla sökande på ett ställe. Innan du kan söka jobb hos Europaparlamentet måste du registrera dig på dess rekryteringsplattform PEOPLE. Där förser de sökande institutionen med massor av personuppgifter. Det handlar om ID-kort och pass, bostads- och utbildningshandlingar, men också känsliga uppgifter som utdrag ur belastningsregistret och vigselintyg som kan avslöja sexuell läggning. Detta gör det ännu viktigare att EU-parlamentet vidtar lämpliga säkerhetsåtgärder för att skydda dessa uppgifter från att tredje part får tillgång till dem.
Tusentals drabbade av dataintrång. Den 26 april 2024 informerade EU-parlamentet Europeiska datatillsynsmannen (EDPS) om ett omfattande dataintrång i PEOPLE, som påverkade mer än 8 000 nuvarande och tidigare anställda. Det är fortfarande oklart när och hur dataintrånget faktiskt inträffade, men de drabbade har fått veta att varje enskilt dokument som de laddat upp till PEOPLE har äventyrats. Den 31 maj rådde parlamentet de berörda personerna att byta ut sina ID-handlingar och pass som en försiktighetsåtgärd och erbjöd sig att ersätta dem för kostnaderna. Vid tidpunkten för inlämnandet av detta klagomål är det fortfarande oklart hur länge angriparna kunde få tillgång till de sökandes personuppgifter.
Lorea Mendiguren, dataskyddsjurist på noyb: "Detta intrång kommer efter upprepade cybersäkerhetsincidenter i EU:s institutioner under det senaste året. Parlamentet har en skyldighet att säkerställa lämpliga säkerhetsåtgärder, med tanke på att dess anställda sannolikt är mål för dåliga aktörer."
Kända sårbarheter i cybersäkerheten. Denna incident är särskilt oroande eftersom parlamentet länge har varit medvetet om sårbarheter i cybersäkerheten: I november 2023 genomförde parlamentets IT-avdelning en cybersäkerhetsgranskning - och drog slutsatsen att institutionens cybersäkerhet "ännu inte har uppfyllt industristandarderna" och att befintliga åtgärder var "inte helt i linje med hotnivån" som utgörs av statligt sponsrade hackare. Inte nog med det, PEOPLE-intrånget inträffade samtidigt som ett antal andra cyberattacker mot EU-institutioner. Ryska hackergrupper attackerade parlamentets webbplats i november 2022 och flera europeiska regeringar under hösten 2023. I februari 2024 drabbades parlamentet av ett annat intrång i sitt underutskott för säkerhet och försvar, när två ledamöter och en anställd hittade israeliska spionprogram på sina enheter.
Max Schrems, ordförande för noyb: "Som EU-medborgare är det oroande att EU:s institutioner fortfarande är så sårbara för attacker. Att sådan information florerar är inte bara skrämmande för de drabbade individerna, utan kan också användas för att påverka demokratiska beslut."
Mycket mer data än nödvändigt. Dataintrånget avslöjar också att parlamentet inte följer GDPR:s krav på minimering och lagring av data. Artikel 4.1 c EU:S ALLMÄNNA DATASKYDDSFÖRORDNING kräver att EU:s institutioner endast behandlar uppgifter som är "adekvata, relevanta och begränsade till vad som är nödvändigt med hänsyn till de ändamål för vilka de behandlas". Ändå är EU-parlamentets lagringstid för rekryteringsfiler 10 år. Detta är ännu mer oroande när man tänker på att dessa filer också innehåller särskilt skyddade känsliga uppgifter enligt artikel 9, som kan avslöja människors etnicitet, politiska åsikter, religiösa övertygelse eller sexuella läggning. I det här fallet laddade en klagande upp en kopia av sitt vigselbevis till portalen. Detta gjorde det möjligt att fastställa hennes sexuella läggning.
Max Schrems, ordförande för noyb: "Intrånget visar också att om man bara hade gjort sig av med personuppgifterna i tid hade man sannolikt kunnat begränsa konsekvenserna av intrånget."
Två klagomål till Europeiska datatillsynsmannen. noyb har nu lämnat in två klagomål till Europeiska datatillsynsmannen (EDPS) på uppdrag av anställda. Datatillsynsmannen är den myndighet som ansvarar för EU-institutionernas överträdelser av dataskyddsbestämmelserna. EU-parlamentet förefaller ha brutit mot artikel 4.1 c och f samt artikel 33.1 i EU:s dataskyddsförordning. I en klagandes fall avslog parlamentet dessutom en begäran om radering som gjordes efter överträdelsen, med hänvisning till lagringsperioden på 10 år, trots klagandens oro med tanke på överträdelsen och det faktum att de inte hade arbetat där på flera år. noyb begär att Europeiska datatillsynsmannen ska använda sina korrigerande befogenheter för att beordra parlamentet att bringa sin behandling i överensstämmelse. I tillägg till detta, noyb föreslå att datatillsynsmannen ålägger en lämplig administrativ sanktion för att förhindra liknande överträdelser i framtiden.
