Австралийский сторожевой пес конфиденциальности нацелился на растущее число организаций, которые, по его словам, слишком долго оценивают нарушения данных или преуменьшают значение уведомлений клиентов.
Управление Австралийского комиссара по информации (OAIC) выпустило несколько предупреждений в своем последнем докладе [pdf] об уведомляемых нарушениях данных (NDB).
Признавая сложность некоторых нарушений, OAIC заявила, что это “все больше … наблюдаются случаи, когда организациям требуется гораздо больше времени, чем 30 дней, чтобы завершить свои оценки, с дальнейшими значительными задержками, прежде чем они уведомят затронутых лиц.”
“Дополнительное время, затраченное на оценку нарушения, должно быть разумным и оправданным в данных обстоятельствах, с уведомлением отдельных лиц, которое должно произойти как можно скорее”, — говорится в заявлении OAIC.
“Неоправданно задержанные уведомления подрывают схему НБР, лишая пострадавших лиц возможности принимать своевременные меры для защиты себя от вреда.”
Отчет OAIC показал, что для выявления трех процентов из 539 нарушений данных, зарегистрированных в период с июля по декабрь прошлого года, что эквивалентно 16 в реальном выражении, потребовалось более года.
Это было не просто медленное реагирование, которое раздражало OAIC — это было также то, как некоторые нарушения были в конечном счете раскрыты.
“Было несколько случаев, когда уведомления юридических лиц физическим лицам были недостаточными”, — говорится в сообщении ведомства.
“В этих случаях OAIC требовал, чтобы уведомления были пересмотрены и переизданы.”
В некоторых случаях нарушенные организации “предоставляли лицам, пострадавшим от нарушения данных, относительно общие рекомендации о том, что их” личные данные «могут быть раскрыты», без перечисления типов.
“В других случаях уведомляющие организации не предоставляли пострадавшим лицам достаточной информации о нарушении данных, чтобы понять риск, возникающий в результате этого”, — говорится в сообщении OAIC.
“Например, организация уведомила OAIC о нарушении данных, вызванном социальной инженерией, когда сотрудник организации был обманут злоумышленником в раскрытии личной информации о других лицах.
“Однако организация только уведомила лиц, пострадавших от нарушения данных, что это связано с раскрытием их личной информации «непреднамеренному получателю».
“В ответ на запросы OAIC организация признала, что она неправильно перефразировала описание допустимого нарушения данных, и переиздала уведомление, чтобы уточнить, что оно связано со злонамеренным субъектом.
“Подобные примеры могут не только не соответствовать обязательствам по представлению отчетности, но и негативно повлиять на способность человека принимать обоснованное решение о том, как наилучшим образом смягчить ущерб.”
