חוקר אבטחה: הזכות לגישה ב- GDPR מנוצלת לפגיעה בפרטיות

אחת מכל ארבע חברות חשפה מידע אישי בעקבות בקשה מתחזה בשם מישהו אחר לגישה למידע. המידע שנחשף כלל בין היתר מידע פיננסי, סיסמאות, פרטי נסיעות, ציונים, ביקור במסעדות ומידע על עבר פלילי. כך התברר בניסוי שערך מומחה אבטחה מול חברות מארה"ב ובריטניה תוך ניצול הזכות לגישה בתקנות הגנת המידע האירופיות (GDPR). מבין 83 החברות שנבדקו בניסוי כ- 24% מהחברות סיפקו מידע אישי מבלי לזהות כלל את המבקש וכ- 16% דרשו אמצעי זיהוי שניתן לזייפו בנקל או לאתרו באינטרנט.

בדברי ההסבר לסעיף העוסק בזכות נושא המידע לגישה נקבע כי בעל השליטה חייב לאמת בכל האמצעים הסבירים העומדים לרשותו את זהותו של מבקש הגישה. חשיפת מידע אישי לגורם שאינו מורשה או מבלי לבצע אימות זיהוי היא ארוע אבטחה חמור. מומחה האבטחה מצא כי חברות בינוניות רבות לא ביצעו אימות זיהוי כנדרש. חברות אלו נכשלו למרות שהכירו את דרישות הרגולציה מכיוון שלא נערכו ויישמו תהליכים למימוש זכויות נושאי המידע. לעומתם חברות הענק, ובמיוחד חברות הטכנולוגיה, קיימו לרוב היטב את דרישת האימות. החברות שהצליחו במבחן דרשו בין היתר אימות מבוסס תעודת זהות או דרכון או התעקשו על ראיון טלפוני מקדים. מקור: BBC (מאת: ליאו קוליון)