I begyndelsen af maj 2024 informerede Europa-Parlamentet sine ansatte om et omfattende databrud i institutionens rekrutteringsplatform, der har navnet ”People”.
Datalækket indeholder personoplysningerne for mere end 8.000 nuværende og tidligere medarbejdere og omfattede ID-kort og pas, uddrag af straffeattester, opholdsdokumenter og endda følsomme data som vielsesattester, der afslører en persons seksuelle orientering.
Den danske EU-parlamentariker Morten Løkkegaard (V) har tidligere fortalt til Computerworld, at han er chokeret over lækket, der også berører hans ansatte.
Parlamentet fandt først ud af bruddet flere måneder efter, at det var sket og kender stadig ikke kende årsagen til datalækket.
Det massive databrud får nu privatlivsaktivisten Max Schrems' organisation noyb (none of your business) til at indgive to klager til Den Europæiske Tilsynsførende for Databeskyttelse på vegne af fire ansatte i EU-Parlamentet.
'Kan bruges til at påvirke demokratiske beslutninger'
Ifølge noyb afslører databruddet, at Parlamentet ikke overholder GDPR's krav om dataminimering og -opbevaring.
Derudover mener organisationen, at Parlamentet længe har været opmærksom på cybersikkerhedssårbarheder – men ikke har gjort nok for at beskytte sig mod angreb.
I november 2023 foretog Parlamentets IT-afdeling en gennemgang af cybersikkerheden og konkluderede, at institutionens cybersikkerhed ”endnu ikke har opfyldt branchestandarderne”, og at de eksisterende foranstaltninger ”ikke var helt på linje med trusselsniveauet” fra statssponsorerede hackere.
På noyb's hjemmeside udtaler formand Max Schrems:
"Som EU-borger er det bekymrende, at EU's institutioner stadig er så sårbare over for angreb. Det er ikke kun skræmmende for de berørte personer, at sådanne oplysninger flyder rundt, men de kan også bruges til at påvirke demokratiske beslutninger."
Noyb anklager EU-Parlamentet for at have overtrådt artikel 4, stk. 1, litra c) og f), og artikel 33, stk. 1, i EU's databeskyttelsesforordning.
Tilbød penge for at få nyt ID
Det er stadig uklart, hvornår og hvordan databruddet faktisk fandt sted, men de berørte har fået at vide, at hvert eneste dokument, de har uploadet til "People", er blevet kompromitteret.
For at søge job i Europa-Parlamentet skal man registrere sig på ”People”, som samler persondata som ID-kort og pas, bopæls- og uddannelsesdokumenter, men også følsomme data som uddrag af straffeattester og vielsesattester, der kan afsløre din seksuelle orientering.
Den 31. maj rådede Parlamentet de berørte personer i lækket til at udskifte ID og pas som en sikkerhedsforanstaltning, og Parlamentet tilbød at godtgøre dem for omkostningerne.