hotline

Hogyan kezdjük el a GDPR felkészülést?

Minden szervezet más, mindenki indul valamilyen állapotból, mindenkinél valahol már tart az adatvédelem, éppen ezért fontos hogy az első lépés egy adatkezelési-adatvédelmi alapfelmérés (gap analysis, baseline audit, stb.) legyen, hogy a GDPR rendelethez képest rögzítse, megállapítsa a kiinduló állapotot. Az alábbiakban elsősorban a GDPR felkészülés informatikai vonatkozásait fogjuk átfutni.Van ahol például bevett gyakorlat az adatok titkosítása, de nem tökéletes a jogosultságkezelés. A pénzintézetek például rendszeresen végeznek kockázatfelmérést, de nem sok helyen van adatosztályozás. DLP rendszer nem sok helyen van, SIEM még kevésbé, de előfordul. Sokszor még az olyan alapvető szabályozás mint az üzletfolytonossági terv sem naprakész, vagy nem megfelelő a fókusza (természeti katasztrófára készül, de ransomware esetére nem ad útmutatást).

Az eddigi gyakorlatunk szerint mindenképpen azt kell első lépésben tisztázni, hogy a szervezet egyáltalán érintett-e a GDPR kérdésében. Nagy valószínűséggel igen, például: munkaszerződésekben szereplő személyes adatok, e-mail-ekben előforduló személyes adatok, feljegyzésekben/táblázatokban/papír alapon/ stb. előforduló személyes adatok, stb. Ha található nálunk személyes adat, akkor nagyon nagy vonalakban meg kell vizsgálni a szervezet „érettségi fokát”. Azaz, például:

  • Milyen (digitális és papír alapú) személyes adatokat kezelünk, és hol találhatók ezek?
  • Ki kezelheti ezeket az adatokat, és ki fért eddig hozzá valójában?
  • Ellenőrzésünk alatt van a személyes adatok tárolási helye?
  • Azonnal észleljük a jogosulatlan hozzáférést, vagy adatszivárgást?
  • A pozitív gyakorlatunkat hitelt érdemlően tudjuk igazolni?

Csak egy ilyen alapfelmérés, és az ott felmerülő hiányosságok megfogalmazása után tudunk pontos tervet vázolni a megfelelőség elérésére. Csak ezek után tudunk idő- és erőforrásigényeket tervezni, pontos cselekvési tervet összeállítani.

A felkészülési folyamat egy javasolt és elnagyolt folyamatábrája:

GDPR Felkészülés

Képre klikkelve, megtekintheti azt nagyobb méretben.

Azaz:

  • 1. A vezetőség teljes elkötelezettsége nélkül el se kezdjük…
  • 2. Alapfelmérés, hiányosságok elemzése, érettségi fok megállapítása, aminek egy olyan jelentés a vége ami összeírja a hiányokat és legalább nagy vonalakban javasol egy cselevési tervet ezek kiküszöbölésére.
  • 3. Csak ezek után lehet a konkrét feladatokra felelősöket, határidőket és költségvetést kijelölni!
  • +1. Vegyük észre, hogy egy ilyen adatvédelmi projektnek nincs vége! Folyamatos, ciklikus feladat, aminek szervesen be kell ivódnia a szervezet üzleti folyamataiba.
0 Comments

Leave a Comment

A honlap böngészésével elfogadja, hogy cookie-kat helyezzünk el az Ön számítógépén, hogy elemezni tudjuk, hogyan használja honlapunkat.