Државниот завод за ревизија изврши ревизија на информациски системи како ревизија на усогласеност на тема „Усогласеност на процедури за безбедност на податоците од Централен регистар на население“ кај Министерството за дигитална трансформација, правен наследник на МИОА за период од 2019 година до 2024 година.
Врз основа на извршената ревизија, преку примена на ревизорски техники и методологија, добиено е разумно уверување дека освен за состојбите кои се однесуваат на капацитетот на човечки ресурси, недефинирани чувствителни работни позиции, отсуство на процедури за активностите поврзани со функционирање на ЦРН, отсуство на процедури за утврдување на исполнување на стандардите за квалитет на податоците, отсуство на дефинирани стандарди за примена на ИТ безбедност, отсуство на системски контроли за размена на податоци меѓу институциите кои би спречиле заобиколување на ЦРН, во сите материјални аспекти се во согласност со релевантната законска и подзаконска регулатива, стратешки документи, договори и воспоставени политики.
Централниот регистар на население е интегрирана база на лични податоци на населението во Република Северна Македонија и се води во електронска форма во Министерството за дигитална трансформација.
Базата се генерира врз основа на автоматско интегрирање на податоците содржани во поединечните бази на податоци што ги водат надлежните органи, како Министерството за внатрешни работи, Министерството за дигитална трансформација -Управа за водење на матични книги и надлежниот орган за водење на адресниот регистар на Република Северна Македонија.
Законот за Централниот регистар на население го уредува водењето на поединечните бази на податоци, како и пристапот и обработката на податоците содржани во регистарот од страна на другите субјекти. Овие податоци се однесуваат на личните податоци на граѓаните на Република Северна Македонија, како и на податоците за странски државјани со регулиран престој подолг од една година.
Во рамки на спроведената ревизија беа опфатени две клучни области и тоа: законската рамка и безбедност на личните податоци кај ЦРН и изворниците на податоци, Министерство за внатрешни работи и Управа за водење на матични книги. Секој изворник на податоци е должен извршениот упис, промена или бришење во поединечната база на податоци да го интегрира во ЦРН во реално време, со отстапување од 5 минути од времето на уредно извршениот упис, промена или бришење. Од направените анализи утврдено е дека синхронизацијата на податоците меѓу изворниците со ЦРН е на дневна основа , што остава можност за фреквентни промени на податоци кај изворниците во текот на 24 часа без синхронизација со ЦРН.
Ваквата состојба овозможува можни разлики на податоците помеѓу податоците во ЦРН и податоците во изворникот, со што се зголемува ризикот институциите да користат и обработуваат не ажурирани податоци за граѓаните.
Од направените анализи на имплементацијата на законската и подзаконската регулатива која се однесува на Централниот регистар на население утврдено е дека отсуствуваат механизми за потврдување на стандардизиран квалитет на податоците во изворниците на податоци, како и отсуство на Правилник за стандардите и правилата за безбедност на информациските системи што се користат во органите за електронска комуникација.
Дополнително, постои и неусогласеност во однос на барањата за интеграцијата и синхронизацијата на податоците од изворниците во реално време. Исто така, Регистарот за правните лица кои имаат пристап до ЦРН, не содржи целосни податоци за правните лица.
Пристапот до податоците од ЦРН е овозможен единствено преку Платформата за интероперабилност, а институциите и субјектите се должни да обезбедат усогласеност со технолошките стандарди за да пристапат до податоците од ЦРН.
Иако органите на државната управа, единиците на локалната самоуправа и другите државни органи основани согласно со Уставот и со закон, кои обезбедуваат услуги за остварување на правата и обврските од интерес и за потребите на населението во Република Северна Македонија се должни да ги користат податоците од Регистарот единствено заради остварување на своите законски утврдени надлежности или заради извршување на дејноста за која се регистрирани и имаат право на пристап до податоците од ЦРН, само 52 институции и 11 приватни компании се поврзани на платформата за интероперабилност што укажува на ограничена примена на системот и недоволна искористеност на неговиот капацитет.
Анализата на правните лица приклучени на Платформата за интероперабилност покажа дека државните институции во значително помал процент ги користат податоците од ЦРН, само 13,46%, во споредба со приватните компании, кај кои овој процент изнесува 36,36%.
Извршена е анализа на доставените извештаи за преземени податоци од ЦРН, при што утврдено е дека од воспоставувањето на регистарот вкупно се реализирани 19.769.806 повици, од кои 44.261 биле неуспешни. Процентот на успешност на повиците изнесува високи 99,78% што укажува на стабилна техничка функционалност на системот.
Објавениот регистар на надлежни органи и други субјекти што користат податоци од ЦРН на веб страната на Министерството за дигитална трансформација, содржи нецелосна евиденција на податоците за овие правни субјекти, но и до кои податоци граѓаните имаат дозвола за пристап. Овие состојби не се усогласени со законски утврдените надлежности на институциите, што може да ја наруши заштитата на личните податоци и да ја намали довербата во институциите.
Во делот на безбедност на личните податоци во ЦРН и изворниците на податоци утврдено е дека отсуствуваат системски контроли за размена на податоци меѓу институциите кои би спречиле заобиколување на ЦРН. Воедно отсуствуваат пишани процедури за доделување на пристап на правните субјекти кои ги користат податоците, како и контролни механизми за потврдување на минималните стандарди за административна безбедност на системите кај изворниците на податоците.
Со ревизијата е утврдено дека постои недоволен број на вработени кои се ангажирани за извршување на активности за реализација на должностите во повеќе сектори и одделенија, како и отсуство на раководители во клучни организациски единици.
Дополнително, не се дефинирани чувствителни работни позиции во актот за систематизација на работните места во министерството за дигитална трансформација, а отсуствуваат и процедури за активностите поврзани со функционирање на ЦРН од страна на надлежното министерство.
За надминување на констатираните состојби дадени се препораки со цел преземање на мерки и активности за подобрување на состојбите со зајакнување на човечките капацитети, воведување пишани процедури и прирачници, системски контроли за безбедност и размена на податоци, како и автоматизиран надзор на несовпаѓања во базите на лични податоци.