Az európai adatvédelmi rendelet(GDPR) bevezetése óta megsokszorozódott az adatvédelmi tisztviselők(DPO) iránti kereslet, miközben amúgy a cégek fellázadtak a túlzott adatgyűjtés ellen. A nagyvállalatok körében megint egyre népszerűbb a saját adatközpont – olvasható egy friss kutatásban.
Az európai vállalatok keményen dolgoztak azon, hogy kellően felkészüljenek a GDPR 2018-as bevezetésére. Az utóbbi négy évben ennek nyomán hétszeresére nőtt az adatvédelmi tisztviselők száma. A GDPR-megfelelés ugyanakkor nem egy kipipálható feladat, hanem folyamatos erőfeszítéseket kívánó keretrendszer, amelynek alapja a jó biztonsági infrastruktúra és a munkatársak rendszeres képzése. Ezek a főbb megállapításai a Kingston Technology tanulmányának.
Ágazatok, ahol még nehézséget jelent a GDPR-megfelelés
Jelenleg több mint félmillió adatvédelmi tisztviselő dolgozik Európában, de jelentősen megnőtt a külsős adatbiztonsági tanácsadók szerepe is. Vannak azonban még olyan ágazatok – ¬ egészségügy, oktatás, jog, ahol a feszített munkatempó vagy a nagy mennyiségű bizalmas információ miatt a GDPR-megfelelés továbbra is nehézségekbe ütközik.
A jogászok többnyire e-mailben továbbítják egymásnak az ügyek érzékeny részleteit, az egészségügyi szakemberek pedig a betegek adatait vagy épp az MRI-felvételeket osztják meg hasonló módon. A jótékonysági szervezetek is gyakran hajlamosak azt gondolni, hogy mentesülnek a GDPR szabályai alól, pedig, mint tudjuk a rendelet minden magán-, állami, illetve önkéntes és közösségi szervezetre egyaránt vonatkozik.
Gond az is, hogy a vállalatok egy része alábecsüli az adatvédelmi tisztviselői szerepkör fontosságát, és úgy kívánja megspórolni ezeket a pozíciókat, hogy az ezzel járó plusz feladatokat inkább a technológiai szakembereire bízza.
Holott – emeli ki a tanulmány ¬- az adatvédelmi tisztviselő egy teljes munkaidős pozíció, és egy ilyen szakértőnek átfogó rálátással kell rendelkeznie a cég biztonsági és adatvédelmi tevékenységei felett. Hosszú távon javasol külsős tanácsadót is bevonni az adatvédelmi tisztviselő mellé, hiszen mindig akadnak olyan kihívások, amelyek megoldásához másodvéleményre is szükség lehet.
Kevesebb adat, nagyobb felelősség
A cégek fellázadtak a túlzott adatgyűjtés ellen, ami a tanulmány összeállítói szerint a GDPR egyik legjobb hozadéka. A hatékony vállalatok az adatminimalizálás elvét vallják: amire nincs szükség, azt nem gyűjtik. Ez a fizikai formában tárolt adatokra is érvényes, ezért az alkalmazottaknak kétszer is meg kell gondolniuk, mi az, amit kinyomtatnak, vagy leírnak (különös tekintettel a jelszavakra), a fizikai másolatokat pedig biztonságosan kell tárolniuk.
Az adatbiztonság kapcsán egyre fontosabb lett az is, hogy a nagyvállalatok megbizonyosodjanak a potenciális alvállalkozóik GDPR-megfeleléséről, mivel nem akarnak felelősséget vállalni a partnercégek hibájából történt adatszivárgási esetekért. A fogyasztók is egyre jobban tisztában vannak az adatvédelmi jogaikkal. Így azt is tudják, hogy kompenzációra jogosultak, ha egy cég elveszíti az adataik feletti ellenőrzést.
A homeoffice biztonsági kockázatai
A koronavírus miatt egyik napról a másikra általánossá vált a homeoffice, a maga kockázataival együtt is. A hatékony munkavégzés támogatása mellett továbbra is fontos, hogy a cégek távmunka idején is betartassák a szükséges biztonsági szabályokat a dolgozókkal, hiszen az adatok szempontjából akár egyetlen személy is kockázatot jelenthet.
Melyek azok a rizikófaktorok, amelyeket a cégek még ma is alábecsülnek? Ilyenek a titkosítatlan USB kulcsok és az e-mailes csatolmányok, illetve azok a böngésző funkciók, mint például a jelszavak mentése vagy szinkronizálása, amelyek érzékeny felhasználói adatokat veszélyeztethetnek. Az internethez kapcsolódó számtalan eszköz miatt pedig kiemelt fontosságú, hogy a munkavégzésre használt mobiltelefonokon tárolt adatok ugyanolyan biztonságban legyenek, mint a vállalati szerveren lévők.
A nagyvállalatok ismét preferálják a saját adatközpontot
A nagyvállalatok egyre szélesebb körben térnek vissza ahhoz, hogy saját adatközpontot használnak, ahol teljes ellenőrzést gyakorolhatnak a szerverek felett, és semmit sem tárolnak a nyilvános felhőben. Népszerűek a hibrid szerveres megoldások is, ahol a nem érzékeny adatokat a felhőben tárolják, a személyes információk viszont a helyszínen maradnak.
Ez túl sokba kerülne a kkv-knak és a nonprofit szervezeteknek, ezért az ő esetükben az adatbiztonság legegyszerűbb módja a hálózati védelem megerősítése, például jelszókezelő és kétlépcsős azonosítás alkalmazásával.
A kkv-k körében egyre népszerűbb a virtuális magánhálózat(VPN) is, – főleg, amikor az alkalmazottak nyilvános wifi-hálózatot használnak –, de nem jelent teljes körű megoldást. A távmunkások esetében csak a titkosított USB-kulcsok és a hardveresen titkosított SSD-k mérsékelhetik a kockázatokat, mivel a vállalati adatokkal így akkor sem lehet visszaélni, ha a laptopot ellopják vagy elvesztik emeli ki a tanulmány.
Szükség van az alkalmazottak rendszeres képzésére
A GDPR-megfelelést nagyban segítheti az is, ha a cégek automatikusan megjelölik azokat az adatokat, amelyekre már nem érvényes az előírás. A rendelet egyik alapelve, hogy a régi adatokat törölni kell – bizonyos típusú személyes információk például nem tárolhatók hét évnél hosszabb ideig. A megfelelő adatbázis segítségével az IT-részleg egyszerűen létre tud hozni egy olyan rendszert, amely automatikusan generált e-mailt küld az adatvédelmi tisztviselőnek, amikor közeledik az adatmegőrzési határidő vége.
Ahhoz, hogy a vállalatok folyamatosan meg tudjanak felelni a GDPR elvárásainak, komolyan kell venniük az alkalmazottaik adatvédelmi oktatását. A jó biztonsági stratégia egyik alappillére, hogy a cégeknek a saját kihívásaikra kell szabniuk a képzést, a másik pedig annak felismerése, hogy a GDPR szabályainak betartása a munkahelyi kultúrában gyökerezik, amelyet folyamatosan fejleszteni kell.