De la inceputul anului, am avut o serie de cereri, de la clienti vechi sau de la posibili clienti, referitor la implementare GDPR. In online, in offline – e si asta o foarte buna intrebare.

Nu ne era initial clar daca a fost un spike de amenzi/ controale/ tras de urechi (fapt ce are darul sa suscite un interes asa de brusc fata de un subiect latent). Sau poate businessuri mature incep sa se iasa din „survival mode” si sa fie atente la inevitabilele gap-uri de compliance, securitate, in general amprenta digitala.

Din discutiile avute, a cam fost un mix de ambele. Fara a intra in detalii prea personale (ca tot vorbim de GDPR), au fost si institutii care au inasprit prevederi in anumite verticale (sau mai degraba chiar au pus in practica niste lucruri). Si a fost intr-adevar si componenta de compliance, pe care firmele in crestere incep sa o ia cat de cat in serios.

Pai si care e solutia? 

a. Ca abordare globala, securitate sta la intersectia a 3 factori majori: oameni (personal calificat, autorizat, pregatit, responsabil) + proceduri (clare, eficiente, aplicabile, safe) + tehnologie.

Prin urmare, si o implementare a GDPR pleaca fix de la aceste trei zone de interes.

b. Daca ai asta in grija ta in companie, trebuie sa evaluati intern cat de acut va fi efortul sa faci o implementare „la sange” care sa lase cat mai putin toleranta fata de risc. Sunt destule companii care aleg sa faca putin due dilligence si sa contureze un set de proceduri, cateva masuri in offline si online care sa dea dovada unor bune intentii si preocupari fata de subiect, in cazul unui control.

Ce inseamana exigent: de exemplu, daca vrei sa iti fie procesele interne auditate de un expert certificat ISO  27001.

c. Daca nu faci GDPR intern si vrei sa externalizei – poti colabora cu Data Protection Office, in regim de outsourcing. Un DPO extern, care asigura GDPR, ia in calcul (fara a se limita la):
– audit procese, tehnologie interna. modificari daca e cazul. (in echipa client, in procese – intervine activ)
– analiza de risc securitate fizica, cibernetica
– revizuiri politici prelucrari date, contracte cu terti, generare de proceduri noi daca e cazul. implementare
Ce da la schimb:
– legatura cu autoritatile statului, la nevoie.
-administrare registru evidenta prelucrari date pers.
-…altele.

d. La nivel de responsabilitate finala, legea considera ca, fundamental, ii revine operatorului de date (a clientului/ beneficiarului, adica). Dar, operatorul se poate indrepta catre DPO (sa pretinda abateri cf Codul Muncii, neglijenta, altele). Deci: responsabilitatea ramane, pentru DPO.

Asa ca un DPO profesionist si inteligent isi ia in calcul toate acestea, cand face o oferta comerciala (nu doar orele de munca, ci si responsabilitate, risc, disponibilitate dupa implementare si consultanta ad-hoc etc).

e. Online.
Ce poate inseamna, pe scurt, GDPR pentru situri: server secure, acces limitat la fisiere, filtru antispam, scan antivirus, evaluare IP, site securizat (de la HTTPS la autentificare cu dublu factor), monitorizare atacuri, backup etc.

Spatiul digital este un mediu foarte dinamic si integrat. E foarte greu sa te izolezi 100% de posibile amenitari cibernetice, la nivel tehnologic. Dar, un goal ar trebui sa fie cel putin un checklist minimal, pe toate cele 3 zone de interes (utilizatori + proceduri + tehnologie) pentru a avea in primul rand un „blueprint” al ecosistemului si mai departe, pentru a avea in vedere riscurile la fiecare componenta.

Daca vrei sa afli mai multe, ne poti contacta telefonic sau pe email pentru o discutie cu un consultat Xprimia.
In the meantime, keep your data closer than your selfies. 🙂