Definitivno gubitak ili curenje osobnih podataka, neželjeno brisanje, pristup podacima od strane neovlaštenih osoba ili tvrtki, izmjene postojećih podataka bez kontrole, nemogućnost pristupa podacima uslijed neželjenog kriptiranja nakon zaraze zlonamjernim softverom....u GDPR žargonu se naziva jedinstvenim imenom Povreda podataka ili Data Breach.
A još bolnije je priznati da se baš u vašoj organizaciji dogodio takav incident, a kamoli da to prijavimo nadležnim tijelima i samim osobama čiji su podaci kompromitirani.
Nećemo nikome reći....prva je pomisao....i time postaje najlošija odluka koju ste donijeli.
Osim skupa mjera koje je, u sklopu usklađivanja s GDPR obvezama, neophodno napraviti, jedna od ključnih sastavnica projekta usklađivanja mora biti i skup mjera:
- pravovremeno otkrivanje sigurnosnog incidenta
- edukacija i implementacija procedura interne prijave incidenta
- pronalaženje uzroka incidenta, svih činjenica i da li je isti ponovljiv
- prepoznavanje rizika za osobe čiji su podaci kompromitirani
- procjena razine rizika i opsega izloženih osoba
- definiranje promptnih mjera za ublažavanje ili neutralizaciju učinaka incidenta
- provjera ispunjenja kriterija za prijavu incidenta AZOP-u i prikupljanje svih zadanih informacija za prijavu
- provjera ispunjenja kriterija za izravno obavještavanje osoba o kompromitiranju njihovih osobnih podataka
- definiranje mjera za prevenciju ponavljanja incidenta - upis u evidenciju povreda podataka
- definiranje PR strategije ukoliko tema postane predmetom pažnje medija
i tako dalje....
Ovdje smo naveli samo osnovne korake koje je potrebno unaprijed imati spremne za slučaj koji se može dogoditi sutra.
A kako može doći do povrede podataka u našoj organizaciji?
Nosite li osobne podatke na ne-enkriptiranom USB sticku?
Ostavljate li dokumente s poslovnim tajnama i osobnim podacima na radnom stolu nakon odlaska iz ureda?
Ostavljate li laptop u svom vozilu dok idete ‘samo nešto obaviti u grad’?
Ne ažurirate operativne sustave, antivirusne programe i ostale zaštite na svojim računalima i serverima?
Ne zaključavate svoja računala i mobilne uređaje? Dijelite li svoje login podatke s drugima?
Imate ormare za arhivu na zaključavanje i ključ uvijek ostaje u bravi?
Dajete djetetu da se igra s vašim tabletom kojeg koristite u poslovne svrhe?
Stavljate li email adrese većeg broja nepoznatih primatelja u To: ili CC: polje prilikom slanja emailova?
Prethodno napisano predstavlja samo uvod u ovu tematiku, ali je, vjerujemo, dovoljno za shvatiti da nikakvi “papiri i šprance za GDPR” koji se nude na tržištu, ne mogu biti rješenje za ovu nezaobilaznu obvezu, već da je neophodno zatražiti pomoć i savjet iskusnih i provjerenih profesionalaca u tom području.
Tema naravno postaje kompleksnija kada koristite usluge vanjskih izvršitelja, kao npr. knjigovodstvenih servisa, održavanja IT sustava, pružatelja održavanja aplikativnih rješenja, portira na recepciji, sustava video-nadzora i sl.