Consultare publică despre proiectul de carte de identitate nouă: 42 de întrebări și un non-răspuns pentru MAI
Proiectul de lege pentru modificarea cărții electronice de identitate a stârnit ceva interes în mass-media și am scris și noi de curând pe acest subiect. Din păcate, textele supuse dezbaterii demonstrează doar o nouă cârpeală (a 10-a?) a unei legi mai vechi. Între timp, tot lipsesc analize de fond, studii cost-beneficiu sau de impact ale unei propuneri atât de ambițioase.
În loc de a răspunde concret pe proiectul de lege supus dezbaterii, preferăm să avem o abordare globală și mai constructivă și încercăm să punctăm la ce întrebări ar trebui să răspundă proiectul de lege și documentele sale conexe (expunere de motive, studii de impact etc.), în 4 categorii:
A. Date personale stocate – de la scop la audit
- Ce date este nevoie să fie stocate pe o carte de identitate (electronică sau nu)?
- S-a făcut un studiu de impact asupra datelor personale colectate, pentru a demonstra că datele care vor apărea pe cartea de identitate sunt absolut necesare pentru scopul urmărit?
- Cine are acces la datele din cartea de identitate?
- În ce condiții au acces instituțiile la datele din cartea de identitate?
- S-a făcut un studiu de impact asupra datelor personale colectate pentru a demonstra că cei care au acces și condițiile lor sunt absolut necesare pentru scopul urmărit?
- Unde sunt stocate datele colectate?
- Pe ce durată sunt stocate datele colectate?
- În ce condiții sunt stocate datele colectate?
- Cine verifică condițiile de stocare?
- Ce se întâmplă cu datele care sunt modificate și cât timp sunt păstrate? (track record)
- Există date care nu apar într-o bază de date centrală și sunt stocate doar pe cip?
- Cine are acces la aceste date de pe cip și în ce condiții?
- Poate un cetățean să verifice ce date sunt stocate pe cip?
- Cum poate să o facă, astfel încât să fie sigur că a citit toate datele stocate?
- S-a făcut un studiu de impact pentru întrebările 6-14, având în vedere viitorul Regulament al UE 679/2016, care va intra în vigoare din 25 mai 2018?
- Se va face un audit independent anual, cu rezultate publice, pentru chestiunile de la punctele 6-14?
B. În legătură cu cardul de sănătate
- S-a făcut o analiză a necesității folosirii aceluiași card pentru identificare și acces în sistemul de sănătate și în alte sisteme informatice?
- Această analiză a inclus și aspectele de securitate legate de folosirea aceluiași identificator în două sisteme informatice distincte?
- De fapt, ce date legate de sănătate sau conexe (date de asigurat) sunt stocate pe card?
- Sunt date medicale stocate electronic pe cip?
- Având în vedere că datele medicale sunt din categoriile speciale, are sens stocarea lor pe cardul de identitate?
- Dacă răspunsul la întrebarea 2 este pozitiv, având în vedere că datele medicale sunt din categoriile speciale, cum se respectă legea 677/2001 și viitorul Regulament al UE 679/2016, care va intra în vigoare din 25 mai 2018?
C. În legătură cu certificatul pus de MAI
- Identificarea cetățenilor în raportul cu sisteme publice de e-goverment trebuie să țină cont de analiza de risc, riscul legal și natura informației la care ai acces. Unde există această analiză a Guvernului României?
- Nu ar trebui să fie definite întâi nivelele de siguranță (assurance levels) necesare pentru diverse sisteme de e-government înainte de a propune o lege care să permită acest lucru?
- Nu ar trebui clar precizat că certificatul pus de MAI va fi folosit doar pentru sistemele de guvernare electronică care au nevoie de un grad ridicat de certitudine a identității persoanei (Stork QAA Level 4)?
- Ce condiții trebuie să îndeplinească un terț pentru a putea folosi funcția de identificare furnizată practic de MAI?
- Cine analizează necesitatea identificării atât de scrupuloase a unui cetățean prin sistemul MAI înainte de a-i fi furnizat un serviciu de către un terț?
- Ce date va păstra MAI despre interogările de identificare prin sistemul său și cine o să aibă acces la ele și în ce scop? (de exemplu - va ști MAI când te loghezi la sistemul de Internet banking al băncii tale?) Cât timp păstrează aceste date? Cine are acces la ele?
- Având în vedere că MAI participă în proiectul SII Analytics, nu înseamnă că toate aceste date colectate vor fi transferate către SRI, care le poate folosit în orice mod și fără vreo justificare sau control adecvat?
- Va putea avea cetățeanul titular de carte electronică de identitate posibilitatea de a accesa, de exemplu, sistemul de Internet banking al unei bănci prin alt identificator?
- Oare aceste identificări nu ar trebui să fie lăsate exclusiv la nivelul sectorului privat (semnături electronice calificate sau avansate) în funcție de interesul comercial al fiecăruia și pentru a nu fi acuzați de concurența neloială?
- Cine ar putea garanta că un asemenea sistem informatic, care în timp poate culege date extrem de sensibile care să monitorizeze orice cetățean, nu va fi folosit în scopuri care nu sunt prevăzute acum? (function creep) (de exemplu - dacă un Putin devine președintele României, nu ar putea el să afle instant cine ce anume face prin sisteme de e-government sau sisteme terțe?)
- Cum vor putea alți furnizori de certificate digitale să le pună pe cip-uri într-un mod securizat, dar fără a dezvălui date către MAI?
D. Analiza cost-beneficiu
- Care sunt costurile de implementare a cărții electronice de identitate?
- Cu cât costă proiectul în plus prin achiziționarea unor cip-uri care permit instalarea de certificate digitale?
- Există o analiză cost-beneficiu a întregului sistem informatic dezvoltat în plus față de capacitățile actuale?
- Există o analiză cost-beneficiu defalcată pe diversele tipuri de opțiuni ale cărții de identitate?
- Acest proiect nu duplichează (măcar parțial) costurile deja antamate de statul român pentru cardul de sănătate?
E. Întrebări fundamentale legate de identificarea cetățenilor
- La ce este bună o carte de identitate?
- În ce situații este nevoie de identificarea legitimă a cetățenilor?
- Ce metode pot fi folosite pentru identificarea legitimă a cetățenilor?
- La ce este mai bună o carte de identitate electronică?
Add new comment