X elemente esențiale ale GDPR și Y pași spre conformitate

 

Titlul este unul răutăcios, bineînțeles…(Și eu am scris un astfel de articol: Primul pas în conformarea cu GDPR …despre alți pași nu am mai scris 🙂  )

Și totuși, ce este „esențial„ în GDPR și de „cîți pași„ este nevoie pentru atingerea conformității?. Răspunsul este unul clasic: depinde!

Depinde de tipul de organizație, de datele prelucrate, de cîtă și ce tehnologie are, de cultură, de management etc. Depinde de o mulțime de factori, motiv pentru care nu cred că poate cineva oferi un răspuns exact. Depinde cum „citești„:

  • dacă ești „persoană vizată„ știi că prin Regulament îți este asigurat dreptul la protecția datelor cu caracter personal. Vei fi inetresat de „drepturi„
  • dacă ești „operator„ sau persoană „împuternicită„ probabil vei fi îngrijorat de cuantumul amenzilor și cum să faci să nu ajungi să primești amenda.

Spun asta pornind de la realitățile noastre: deși pînă la acest Regulament am avut/avem legea 677, nu prea cred că au fost mulți (și de o parte și de alta) îngrijorați.

Am mai scris și despre Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit. Dacă las la o parte „riscurile„ și „impactul„, protecția datelor „by design„ și „by default„ ar presupune:

  • că în aproape toate etapele ciclului de viață al datelor personale acestea sînt „criptate„
  • că din organizație au fost șterse toate datele personale care nu servesc scopului declarat al prelucrării
  • că toți angajații care prelucrează date personale sînt autorizați în mod explicit
  • că se poate identifica în orice moment cine, ce, cînd, unde…a făcut ceva
  • că datele personale nu pot fi accesate, divulgate…în mod neautorizat
  • că este gestionat orice dspozitiv pe care datele personale ajung să fie stocate
  • …..

De cîtă tehnologie ar fi nevoie? Răspunsul este iarăși cel clasic: depinde! Cîteva exemple:

  • pentru protecția „at rest„, „in motion„, „in use„ va fi nevoie de DLP, criptare, user device control, data retention/disposal etc.
  • pentru useri va fi nevoie de „identity&access management„ și „access audit„
  • pentru riscuri, vulnerabilități și notificare breșe va fi nevoie de SIEM, end point protection, incident management…

Corect ar fi să se ia fiecare etapă a ciclului de viață și să se vadă care este tehnologia care asigură protecție! Pentru că la asta se referă „din momentul conceperii„ și „implicitul„.

 

 

 

 

 

 

 

 

Anunțuri

Mulţumesc.

Completează mai jos detaliile tale sau dă clic pe un icon pentru a te autentifica:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s