Στη SYNTAX, με βάση την μακροχρόνια εμπειρία μας σε θέματα προστασίας της ασφάλειας και της ιδιωτικότητας των πληροφοριών, έχουμε σχεδιάσει μια στρατηγική προσέγγιση που εξασφαλίζει τη συμμόρφωση των οργανισμών με τον Γενικό Κανονισμό Προστασίας Δεδομένων και επιτρέπει τον αξιόπιστο έλεγχο της πληροφορίας.
Παναγιώτης Καλαντζής
Manager Information Security, Governance, Risk & Compliance Syntax (www.syntax.gr)
Στο ταξίδι της συμμόρφωσης, οι οργανισμοί καλούνται να λάβουν υπόψη τις διάφορες παραμέτρους, οι οποίες συχνά είναι δύσκολο να εξισορροπηθούν, όπως η μέριμνα για την ορθή διαχείριση και την προστασία των δεδομένων και η ταυτόχρονη εξασφάλιση της επιχειρηματικής λειτουργίας και ανάπτυξης.
Μόλις ένα μήνα της θέσης σε πλήρη ισχύ του ΓΚΠΔ (Μάιος 2018), ενώ όλοι γνωρίζουν τις βασικές αλλαγές που επιφέρει, ποιους αφορά, ποια είναι τα προσαυξημένα δικαιώματα των υποκειμένων, αλλά και τις συνέπειες που πηγάζουν από τη μη συμμόρφωση με τον κανονισμό, η πραγματικότητα δείχνει ότι ελάχιστα έχουν γίνει προς την κατεύθυνση της συμμόρφωσης.
Παρά το γεγονός ότι η επεξεργασία των δεδομένων για την επίτευξη των επιχειρηματικών σκοπών εκτελείται ως επί το πλείστων με τη βοήθεια της πληροφορικής, δεν επηρεάζεται μόνο η Διεύθυνση Πληροφορικής από τον ΓΚΠΔ. Η συμμόρφωση με τον ΓΚΠΔ είναι πρωτίστως μια στρατηγική επιχειρηματική πρόκληση, προκειμένου να ανταποκριθεί ο οργανισμός στις απαιτήσεις της αγοράς και να επιτύχει τη συνέχιση της εύρυθμης λειτουργίας του και την επίτευξη των επιχειρησιακών στόχων. Ως εκ τούτου, η συμμόρφωση με τον Κανονισμό μπορεί να ληφθεί ως θετική επιχειρησιακή πρόκληση και να συμβάλει στη βελτιστοποίηση των διαδικασιών του οργανισμού με όφελος στη τυποποίηση, την αποδοτικότητα και τέλος στην κερδοφορία. Επιπρόσθετα, η θέσπιση στρατηγικής διαχείρισης των δεδομένων θέτει τους πελάτες – και τα δεδομένα τους – σε ύψιστη προτεραιότητα, βελτιώνει την εικόνα του οργανισμού και ενισχύει την ανταγωνιστικότητα του.
Ο Γενικός Κανονισμός απαιτεί ουσιαστικά οι οργανισμοί να μπορούν να αποδείξουν ότι κάνουν ό, τι χρειάζεται για την ορθή επεξεργασία των προσωπικών δεδομένων που έχουν στην κατοχή τους.
Με αυτή την προοπτική στη SYNTAX εξετάσαμε τις απαιτήσεις για την ορθή διαχείριση των πληροφοριών σε όλο τον κύκλο ζωής τους και καθορίσαμε μια στρατηγική προσέγγιση συμμόρφωσης με τον Γενικό Κανονισμό. Προκειμένου ο οργανισμός να αποδείξει ότι εφαρμόζει μέτρα με τη δέουσα επιμέλεια και μεριμνά για την αντιμετώπιση θεμάτων που άπτονται του Κανονισμού δεν αρκεί η επίλυση θεμάτων αποσπασματικά. Χρειάζεται ένα σωστά δομημένο στρατηγικό σχέδιο που εξετάζει πρώτα τις περιοχές με τους υψηλότερους κινδύνους (από την άποψη της ιδιωτικότητας) και συμβάλει στον προσδιορισμό και την ιεράρχηση των δράσεων για τον μετριασμό του κινδύνου και τη συμμόρφωση με τον Κανονισμό.
Στρατηγική προσέγγιση συμμόρφωσης με τον GDPR:
Το πρώτο βήμα προς τη συμμόρφωση με τις απαιτήσεις του Κανονισμού, είναι η ευαισθητοποίηση των εργαζομένων σχετικά με τον Κανονισμό, έτσι ώστε σταδιακά ο οργανισμός να διαμορφώσει την απαραίτητη κατάλληλη κουλτούρα για την προστασία των προσωπικών δεδομένων και των επιχειρηματικών δεδομένων γενικότερα.
Η Διοίκηση καλείται να διασφαλίσει ότι όλοι οι εργαζόμενοι γνωρίζουν για τον Κανονισμό, να εξηγήσει τις αλλαγές που επιφέρει και πως επηρεάζει στη δουλειά τους. Επιπλέον, είναι σημαντικό να σχεδιαστεί και να επικοινωνηθεί τι θα πρέπει να γίνει σε περίπτωση περιστατικού παραβίασης της ιδιωτικότητας, δεδομένου των στενών χρονικών περιθωρίων της υποχρέωσης αναφοράς των περιστατικών εντός 72 ωρών. Σε αυτό το σημείο υπεισέρχεται και η στρατηγική, ως ένας σαφής οδικός χάρτης που δείχνει στο προσωπικό πώς θα υποστηριχθούν σε όλη την πορεία της συμμόρφωσης.
Το στάδιο ενημέρωσης είναι μικρό αλλά πολύ σημαντικό πρώτο βήμα. Ακόμα και αν υπάρχουν συστήματα ασφάλειας και διαχείρισης πληροφοριών τελευταίας τεχνολογίας, είναι γνωστό ότι οι άνθρωποι είναι συχνά ο ασθενέστερος σύνδεσμος. Συμβαίνει συχνά από αμέλεια ένας υπάλληλος να διαρρεύσει προσωπικά δεδομένα προσπαθώντας να κάνει την δουλειά του αποδοτικά, θέτοντας έτσι σε κίνδυνο την προστασία των προσωπικών δεδομένων και δημιουργώντας ένα πρόβλημα που ίσως δεν είναι εφικτό να αντιμετωπιστεί από τις λύσεις ασφάλειας του οργανισμού. Η ενημέρωση / ευαισθητοποίηση είναι επομένως μια «γρήγορη νίκη.
Η SYNTAX μπορεί να υποστηρίξει τους οργανισμούς στο σχεδιασμό της ενημέρωσης του προσωπικού, υλοποιώντας ολιστικά προγράμματα εκπαίδευσης που περιλαμβάνουν αξιολόγηση των αναγκών, σχεδιασμό εκπαιδευτικού και υποστηρικτικού υλικού, και υλοποίηση της εκπαίδευσης.
Βασική απαίτηση του κανονισμού, είναι η διεξαγωγή εμπεριστατωμένης ανάλυσης κινδύνου που θα περιλαμβάνει μεταξύ άλλων: τις διαδικασίες διαχείρισης και επεξεργασίας των δεδομένων, τις τεχνολογίες επεξεργασίας και προστασίας της ιδιωτικότητας των δεδομένων καθώς και τους ανθρώπους που εμπλέκονται. Η ανάλυση κινδύνου αναδεικνύει την υπάρχουσα κατάσταση, τι έχει υλοποιηθεί και τι εκκρεμεί, πού βρίσκεται κάθε πληροφορία, πού ανιχνεύονται τα κύρια κενά και ποια κενά αποτελούν τον υψηλότερο κίνδυνο.
Μόλις εντοπιστούν τα προβλήματα και οι περιοχές με κενά και δυσλειτουργίες, πρέπει να καθοριστεί συγκεκριμένος βαθμός κινδύνου για κάθε πρόβλημα ή περιοχή με κενά. Με άλλα λόγια, να τεθούν προτεραιότητες αντιμετώπισης αυτών με τεκμηριωμένο τρόπο, επιτυγχάνοντας την σταδιακή, αλλά τεκμηριωμένη προσέγγιση η οποία οδηγεί σε δράσεις και σχέδια με βάση τον βαθμό κινδύνου.
Στη SYNTAX έχουμε σχεδιάσει μια μεθοδολογία αξιολόγησης ρίσκου και επίπτωσης στην ιδιωτικότητα, βασισμένη στο πρότυπο ISO/IEC 29134:2017, η οποία δίνει την δυνατότητα στον οργανισμό να τεκμηριώσει την υπάρχουσα κατάσταση, να ανιχνεύσει τις περιοχές που υπάρχει αυξημένο ρίσκο και να σχεδιάσει τις απαραίτητες ενέργειες που θα ελαχιστοποιήσουν το ρίσκο σε αποδεκτά επίπεδα.
Μεδοδολογία Privacy Impact Assessment
Με δεδομένο ότι ο οργανισμός θα χρειαστεί να αποδείξει τη δέουσα επιμέλεια, τα δύο αυτά πρώτα στάδια αποτελούν τα βασικά βήματα που μπορούν να δείξουν ότι 1) το προσωπικό έχει εκπαιδευτεί και γνωρίζει πώς πρέπει να χειρίζεται τις πληροφορίες και 2) υπάρχει ένα τεκμηριωμένο σχέδιο που δείχνει ότι ο οργανισμός γνωρίζει πού βρίσκεται και που θέλει να πάει.
Στη συνέχεια, ακολουθεί το στάδιο του σχεδιασμού και υλοποίησης των καθορισμένων δράσεων παρακολουθώντας παράλληλα και αξιολογώντας το βαθμό επίτευξης των στόχων, τους τρόπους βελτιστοποίησης και την ακολουθία των επόμενων έργων. Σε αυτό το πλαίσιο, η SYNTAX παρέχει στους οργανισμούς τις αναγκαίες τεχνολογικές λύσεις, πρωτοπόρες στον τομέα τους, που αποδίδουν το μέγιστο όφελος στον οργανισμό και συνεισφέρουν αποτελεσματικά στη συμμόρφωση του με τις απαιτήσεις του Κανονισμού.
Ενδεικτικές λύσεις GDPR
Η έννοια του Privacy by Design είναι βασικό στοιχείο του Κανονισμού, καθώς αναφέρεται ρητά ότι τα συστήματα και οι εφαρμογές πρέπει να το υποστηρίζουν εξ ορισμού. Στην πράξη αυτό σημαίνει ότι τα συστήματα του οργανισμού, πρέπει τουλάχιστον να είναι σε θέση να υποστηρίξουν ένα μοντέλο ασφάλειας, σύμφωνα με το οποίο μόνο τα άτομα που πραγματικά χρειάζονται πρόσβαση για την εκτέλεση της εργασίας τους έχουν την απαραίτητη ελάχιστη πρόσβαση σε προσωπικά δεδομένα.
Είναι εμφανές ότι παραδοσιακά πολλοί οργανισμοί υλοποιούν ένα «ανοικτό» μοντέλο πρόσβασης. Αυτό σημαίνει ότι όλα είναι ανοιχτά και όλοι στην εταιρεία μπορούν να δουν τα πάντα εκτός ίσως ελαχίστων εξαιρέσεων. Επισήμως αυτό το μοντέλο υλοποιείται στην βάση πνεύματος διαφάνειας και ενίσχυσης της συνεργασίας. Όμως, στα πλαίσια της συμμόρφωσης, πρέπει να σχεδιαστεί ένα ολιστικό σύστημα προσβάσεων / εξουσιοδοτήσεων στην βάση ενός μοντέλου «κλειστής» εξουσιοδότησης και να χορηγούνται δικαιώματα πρόσβασης μόνο στην βάση επιχειρησιακών αναγκών.
Η SYNTAX μπορεί να βοηθήσει στον επανασχεδιασμό του μοντέλου προσβάσεων υποστηρίζοντας τον οργανισμό με τις κατάλληλες λύσεις Identity Management που έχουν την δυνατότητα αυτοματοποίησης της διαδικασίας εξουσιοδοτήσεων και κεντρικής παρακολούθησης της επάρκειας / ακρίβειας του σχετικού μοντέλου.
Το δικαίωμα στη λήθη, Διατήρηση Αρχείων και Εγγραφών
Σύμφωνα με τον Κανονισμό, οι οργανισμοί πρέπει να διακρατούν μόνο τις απαραίτητες πληροφορίες για την επιχειρησιακή λειτουργία, να έχουν ένα πλάνο διατήρησης, και να έχουν καθορίσει τον σκοπό διατήρησης από νομική άποψη. Ως εκ τούτου θα πρέπει ο οργανισμός να έχει προβλέψει διαδικασία διαγραφής ή αποταυτοποίησης, εφόσον δεν υπάρχει πλέον η ανάγκη διατήρησης δεδομένων ή αν ένα υποκείμενο ασκήσει το δικαίωμά του στην λήθη.
Σε αυτό το πλαίσιο οι οργανισμοί πρέπει να οργανώσουν τη διατήρηση των αρχείων τους σε συνάρτηση με το πλάνο διατήρησης και να σχεδιάσουν και ένα πλάνο ταξινόμησης της πληροφορίας το οποίο θα εξετάζει τους τύπους πληροφοριών. Δεν πρέπει να ξεχνάμε ότι στην περίπτωση που το εθνικό δίκαιο καθορίζει συγκεκριμένες απαιτήσεις διατήρησης, τότε αυτό επικρατεί έναντι του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR).
Λαμβάνοντας υπόψη τα παραπάνω η SYNTAX προσφέρει λύσεις σχεδιασμού του πλάνου διατήρησης, καθώς και μηχανισμούς αρχειοθέτησης για την αποδοτική διατήρηση αρχείων και εγγράφων.
