hotline

Három éves a GDPR és egy éve kell alkalmazni: néhány észrevétel a jelenlegi állapotokról

Képzeljünk el egy több ezer négyzetméteres raktárt, amit éppen leltároznak. A leltárt végző személy megáll a raktár ajtajában és szemrevételezéssel összeírja amit lát. Esetleg megkérdezi a raktárost (!), hogy „mi van még ott hátul”.

Azért az ilyen leltári adatokra nem sokan alapoznának üzleti tervet…

Pedig a GDPR által kért adatkezelési tevékenységi nyilvántartásokra jelenleg ez a napi gyakorlat.

Jellemzően jogászok, összeírják a szervezetekben végzett adatkezelést. Manuálisan, egy DOC vagy XLS állományba! A mai digitalizált világban mondani sem kellene, hogy ennek mennyi köze van a valósághoz, vagy hogy a következő lépésben az informatikusok ezzel mit tudnak kezdeni. Ilyen adatokra alapozva zajlanak a GDPR felkészülések…

Igaz vagy hamis?

„Az elfeledtetéshez való jog”: Ha az informatikusok azt mondják, hogy nem lehet törölni az adatokat, mert a CRM rendszerünkben az SQL indexelés blokkmérete összeomolhat. Ez igaz vagy hamis állítás?

Személyes adatok törlése a levelező szerver archivált állományaiból: Ha az informatikusok azt mondják, hogy nem lehet törölni, mert ODT-ből nem lehet egyesével törölni? Ez igaz vagy hamis állítás?

Az APT-jellegű támadások a nulladik napi sérülékenységeket használják elsősorban. Ez igaz vagy hamis állítás?

 

Hány jogász érti ezeket a kifejezéseket? Hány olyan van, aki biztonságosan mozog az informatika területén?

Hány jogász vagy informatikus tudja a különbséget a biztonsági mentés és az archiválás között?

Hány jogász vagy informatikus tudja a különbséget az anonimizálás és a pszeudonimizálás között?

Hány jogász vagy informatikus tudja a különbséget az autentikáció és az autorizáció között?

Hány jogász vagy informatikus tudja a különbséget az adatklasszifikáció és az adatvagyon leltár között?

Hány jogász vagy informatikus tudja megfelelően felmérni és minősíteni a „felhőbe” történő adatkezelés teljes kockázatát, annak minden aspektusát?

Hány jogász vagy informatikus tudja, hogy mik az aktuális és valós adathalászati kockázatok és technikák?

Hány jogász képes egyáltalán értelmezni, minősíteni egy informatikai kockázatelemzést? Ami nélkül ugye nem nagyon lehet GDPR felkészülésről beszélni…

Ha az informatikus azt mondja hogy DLP, BCR, DIA, BCP/DR, SIEM, SOC,… azt hány jogász érti, vagy mondjuk tud azzal érvelni, hogy „na de a végpontvédelmi licencünkben van WEB Application Firewall amit aktiválhatunk, és akkor nem lesz szükségünk … -re”?

Hány jogász vagy informatikus tud megfelelően felmérni és minősíteni egy esetleges adatkezelési incidenst? Mit kell tenni, hogy egyáltalán tudomást szerezzünk az incidensről, vagy egy behatolásról?

És ha a hatóság teszi fel a fenti kérdéseket?

Jelenleg (nem csak Magyarországon) még mindig a GDPR értelmezése, egyedi esetek boncolgatása, jogi csűrés-csavarás teszi ki a munka legnagyobb részét, holott a gyakorlati megvalósítást, az informatikai rendszerek átalakítását, megfeleltetését már réges-régen el kellett volna kezdeni.

Az elmúlt évek felkészüléseiből látszik, hogy még egy igen nagyméretű és bonyolult adatkezelésű szervezet jogi felkészítése is gyakorlatilag igen rövid idő alatt áttekinthető, kidolgozható, befejezhető. A szabályzatok megírása, módosítása, nyilatkozatok elkészítése és publikálása elég egyértelmű és világos feladat. Mindennek a gyakorlati alkalmazása, az üzleti folyamatok megfeleltetése, az informatikai rendszerek felmérése, az összefüggések feltárása és szükséges módosítása, az már egy nagyságrendekkel bonyolultabb, időigényesebb és érzékenyebb feladat. Nem véletlenül keresnek mindenhol jogi kiskapukat ennek elkerülésére…

Jogászok nélkül nincs GDPR felkészülés, de csak jogászokkal végezni ezt a munkát, vagy jogászokat megbízni adatvédelmi tisztviselőnek (DPO), nagyon komoly kockázatokkal járhat. Főleg a jelenlegi adatkezelési felkészültségi, szakmai szinteken.

Hány olyan jogász vagy informatikus van ma Magyarországon, akinek komoly, igazolható, nemzetközi minősítése van arról hogy ért az adatkezeléshez, az informatikai rendszerek auditálásához, azaz hogy ért ahhoz amiért pénzt kér. A saját önbevallásán kívül, mi igazolja a valódi hozzáértést?

Nyilvánvalóan jóval kevesebb mint ahányan jelenleg hirdetik ezt magukról.

Már többször, több helyen hívtuk fel a figyelmet a jelenlegi gyakorlat visszásságaira (most is), de itt is megismételnénk: nagyon körültekintően válasszák ki maguknak a GDPR felkészülési partnerüket, vagy adatvédelmi tisztviselőjüket (DPO). Vannak valódi szakértők is Magyarországon, de természetesen jóval kevesebben mint ahányan ezt magukról állítják.

Kedvezmény

A 3 éves évfordulóra való tekintettel május végéig minden in nuce termék 40% kedvezménnyel kapható.