Neue Datenschutzprobleme, die durch die COVID-19-Pandemie entstanden sind, wurden von Behnam Dayanim, Partner und globaler Vorsitzender der Datenschutz- und Cybersicherheitspraxis bei Paul Hastings LLP, während einer Sitzung auf dem RSAC 365 Virtual Summit diskutiert.
Da die COVID-19-Impfstoffe nun weltweit ausgerollt werden, bereiten sich viele Organisationen darauf vor, die sichere Rückkehr der Mitarbeiter in ihre Büros zu ermöglichen. Nach Ansicht von Dayanim ist es wichtig, die Speicherung sensibler personenbezogener Daten im Zusammenhang mit dieser Rückkehr zu hinterfragen und in Frage zu stellen. Er zitierte eine kürzlich durchgeführte IAPP/EY-Studie, in der die Datenerfassung von Organisationen bei der Rückkehr von Mitarbeitern an den physischen Arbeitsort analysiert wurde. Zu den Ergebnissen gehörte, dass 76 % der Organisationen ihre Mitarbeiter gebeten haben, sie zu benachrichtigen, wenn bei ihnen eine COVID-19-Diagnose gestellt wird, dass 53 % der Organisationen ihre Mitarbeiter über persönliche Reisen befragt haben und dass 23 % der Organisationen Temperaturtests von Mitarbeitern durchgeführt haben. Er fragte: „Besteht wirklich die Notwendigkeit, das zu dokumentieren, oder reicht es einfach zu wissen, dass man diesen Prozess eingeführt hat?“
Dayanim sagte auch, dass es wahrscheinlich ist, dass Arbeitgeber in den nächsten Monaten ihre Mitarbeiter bitten werden, sie darüber zu informieren, ob sie geimpft wurden oder nicht. „All diese Dinge sind ziemlich neu; nicht die Arten von Fragen, von denen man normalerweise erwartet hätte, dass Arbeitgeber ihre Angestellten fragen“, fügte er hinzu.
Ein weiteres Datenschutzproblem betrifft Organisationen, die sensible COVID-bezogene Daten über ihre Mitarbeiter mit Dritten teilen. Es hat sich zum Beispiel gezeigt, dass drei von zehn Organisationen gebeten wurden, anonymisierte COVID-Daten an Regierungsstellen oder NGOs weiterzugeben, während 20% die Namen der diagnostizierten Mitarbeiter an andere Mitarbeiter oder Regierungsstellen weitergegeben haben.
In den kommenden Monaten ist es wichtig, dass Verfahren eingeführt werden, um die Sammlung und Verwendung von Daten dieser Art zu schützen, so Dayanim. Dazu gehört die Überlegung, ob es notwendig ist, solche Daten zu halten, wer sie sammelt und wie diese Informationen an andere Mitarbeiter weitergegeben werden sollten. „Das sind die Art von Fragen, über die wir jetzt nachdenken müssen, bevor wir eine groß angelegte Wiedereröffnung haben, denn auch nach der Impfung wird es eine ziemlich große Anzahl von Menschen geben, die nicht geimpft wurden und daher für das Virus anfällig sein könnten“, merkte er an und fügte hinzu, dass „es wirklich wichtig sein wird, einen Prozess zu haben, der damit umgeht.“
In den USA ansässige Organisationen müssen auch beachten, dass COVID-19-Tests oder Temperaturkontrollen nicht unter die Bestimmungen des Federal Health Insurance Portability and Accountability Act (HIPAA) fallen. Das heißt, wenn sie mit Dritten zusammenarbeiten, um solche Tests durchzuführen, ist es wichtig, den Vertrag sorgfältig auf seine Bestimmungen zum Datenschutz zu überprüfen, da die einfache Angabe, dass der Datenschutz unter den HIPAA fällt, nicht ausreicht. Dayanim erklärt: „Sie müssen diese Bestimmung dahingehend ändern, dass sie entweder sagen, dass sie die HIPAA-Anforderungen einhalten werden, unabhängig davon, ob der HIPAA gilt, oder dass sie spezifische Anforderungen an den Datenschutz und die Sicherheit einbauen.“
Abschließend riet Dayanim Organisationen, „Ihre Wiedereröffnungsprotokolle zu überprüfen, zu verstehen, welche Art von Daten Sie sammeln und wie Sie sie schützen, und zu fragen, zu hinterfragen: Müssen wir diese Informationen sammeln?“
Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com
Italien CERT warnt vor einer neuen Credential Stealing Android Malware