Mali dodatak Velikoj školi GDPR-a: Ne slušajte vendore – slušajte sebe!

Mali dodatak Velikoj školi GDPR-a: Ne slušajte vendore – slušajte sebe!

Foto: Fotolia

Gotovo da ne postoji proizvođač bilo kakvog informatičkog, a pogotovo infrastrukturnog proizvoda koji u GDPR-u nije uočio sjajnu priliku za povećanje prihoda. Gotovo svaki vendor razvio je posebne prodajne materijale za uvjeravanje korisnika kako je baš njihov proizvod gotovo svemoguće rješenje za GDPR probleme. Gotovo da nema vendora koji GDPR svojim distributerima i integratorima nije predstavio kao koku koja nosi zlatna jaja. Zato smo odlučili analizirati stvarne zahtjeve GDPR-a vezane uz enkripciju i pseudonimizaciju kao najčešće spominjane “obavezne“ elemente sigurnosti osobnih podataka neophodne za usklađivanje sa GDPR-om.

Enkripcija i pseudonimizacija su dobri, ali ne i obavezni

Pojam enkripcije se u Uredbi spominje četiri puta. U točci 83 uvodnog dijela, te članku 6, 32, i 34. Pseudonimizacija se spominje puno češće; čak 15 puta, i to u točkama 26, 28, 29, 78,85 i 156 uvodnog dijela, te člancima 4, 6, 25, 32, 40 i 89. Ni jedna ni druga metoda se nigdje ne navode kao obavezne, pa čak niti kao preporučene. Iako je primjena obje ove metode bez ikakve sumnje dobra praksa, one se u gotovo u svim slučajevima navode kao primjeri mogućeg pristupa zaštiti osobnih podataka, što i jesu. Točka 83 uvodnog dijela tako navodi ”…voditelj obrade ili izvršitelj obrade trebali bi procijeniti rizike povezane s obradom i provesti mjere za njihovo umanjivanje, kao što je enkripcija. Tim bi se mjerama trebala osigurati odgovarajuća razina zaštite uključujući povjerljivost, uzimajući u obzir najnovija dostignuća i troškove provedbe u odnosu na rizike i prirodu osobnih podataka koji se trebaju zaštititi…“

Neki će reći da članak 26 koji definira zakonitost obrade zahtijeva implementaciju enkripcije i pseudonimizacije, no kao ni nigdje drugdje, GDPR ni ovdje to ne traži. Ono što se traži je ”…postojanje odgovarajućih zaštitnih mjera, koje mogu uključivati enkripciju ili pseudonimizaciju.“. Cijela ideja GDPR-a se vrti oko učinkovitog upravljanja rizikom, temeljenog na procjeni učinka zaštite osobnih podataka koja je za razliku od pseudonimizacije i enkripcije i te kako obavezna, pa je cijeli odjeljak 3. Uredbe posvećen upravo njoj, a čak je Article 29 Working Party izdala posebni dokument “Guidelines on Data Protection Impact Assessment (DPIA)”. Pokaže li procjena rizika da postojeće mjere zaštite podataka nisu odgovarajuće, odabrat ćete mjere čiji će trošak i kompleksnost implemetacije i održavanja odgovarati riziku kojem su osobni podaci izloženi. Rizik ćete izračunati uzimajući u obzir utjecaj na pojedinca koji ćete gledati kroz količinu i osjetljivost podataka, te vjerojatnost nastanka incidenta. Za njen ćete izračun u obzir uzeti postojeće prijetnje i ranjivosti vašeg sustava zaštite, kao i povijesne podatke. Tada ćete odabrati zaštitne mjere s kojima ćete postići odgovarajuću razinu sigurnosti uz prihvatljiv trošak. Ako to nije moguće, uvijek se možete obratiti za savjet regulatoru, a tako uostalom i piše u članku 36. Uredbe. Kod tvrtki koje upravljaju velikim količinama osobnih podataka, pogotovo onih koje se snažno oslanjaju na komercijalna data warehouse i BI rješenja pseudonimizacija i enkripcija mogle bi biti pravo rješenje. Ovo pogotovo vrijedi za one koji su usvojili DevSecOps principe i snažno automatizirali procese razvoja, testiranja i puštanja novih sustava u rad koji će se vjerojatno opredijeliti za izradu vlastitih rješenja za pseudonimizaciju ili enkripciju. Ostali će s punim pravom odabrati neki drugi način zaštite osobnih podataka, primjeren njihovim potrebama i mogućnostima.

Još iz kategorije

Internet of things - uvod u NB-IoT

Internet of things - uvod u NB-IoT

22.10.2020. komentiraj

Danas, više nego ikad prije, postoji potreba za brzim i sigurnim prijenosom podataka. Sve je više elektroničkih uređaja i virtualnih sustava međusobno povezano te se konstantno razvijaju nove mogućnosti njihove međusobne interakcije. Nadzor proizvodnih postrojenja, logistika, industrijska automatizacija i razvoj ‘’smart city’’ infrastrukture samo su neka od područja u kojima je brz i pouzdan prijenos podataka od presudne važnosti. Stoga ne čudi da je ‘’internet stvari’’ (engl. Internet of things) već dugi niz godina dio AMR sustava diljem svijeta. Industrija ‘’zahtijeva’’ točne i pravovremene podatke o potrošnji, manje potrebne infrastrukture i što niže troškove održavanja.

Kako izbor oblaka prilagoditi poslovanju

Kako izbor oblaka prilagoditi poslovanju

21.10.2020. komentiraj

Razmišljanje o prebacivanju informacijskih sustava u cloud kod većine korisnika i dalje stvara nedoumice. Kolokacija, privatni oblak, javni oblak, hibridno okruženje modeli su koji stoje na raspolaganju korisnicima. Svaki od navedenih modela za korisnike ima određenih prednosti.

KOMENTAR: Rezultati pod utjecajem krize, ali i cijelo tržište

KOMENTAR: Rezultati pod utjecajem krize, ali i cijelo tržište

20.10.2020. komentiraj

Bilo je za očekivati da će rezultati biti pod utjecajem krize, treći kvartal je pokazao prvo pravo stanje zbog tog virusa. A četvrti kvartal mogao biti i gori. I dok čekamo rezultate Hrvatskog Telekoma, jer Tele2 nećemo vidjeti do godišnjih rezultata, jasno je da se A1 Hrvatska našao na udaru krize. Neki će reći puno, neki će reći malo, a realno očekivan pad prihoda i dobiti i na kvartalnoj i devetomjesečnoj razini.