Gotovo da ne postoji proizvođač bilo kakvog informatičkog, a pogotovo infrastrukturnog proizvoda koji u GDPR-u nije uočio sjajnu priliku za povećanje prihoda. Gotovo svaki vendor razvio je posebne prodajne materijale za uvjeravanje korisnika kako je baš njihov proizvod gotovo svemoguće rješenje za GDPR probleme. Gotovo da nema vendora koji GDPR svojim distributerima i integratorima nije predstavio kao koku koja nosi zlatna jaja. Zato smo odlučili analizirati stvarne zahtjeve GDPR-a vezane uz enkripciju i pseudonimizaciju kao najčešće spominjane “obavezne“ elemente sigurnosti osobnih podataka neophodne za usklađivanje sa GDPR-om.
Enkripcija i pseudonimizacija su dobri, ali ne i obavezni
Pojam enkripcije se u Uredbi spominje četiri puta. U točci 83 uvodnog dijela, te članku 6, 32, i 34. Pseudonimizacija se spominje puno češće; čak 15 puta, i to u točkama 26, 28, 29, 78,85 i 156 uvodnog dijela, te člancima 4, 6, 25, 32, 40 i 89. Ni jedna ni druga metoda se nigdje ne navode kao obavezne, pa čak niti kao preporučene. Iako je primjena obje ove metode bez ikakve sumnje dobra praksa, one se u gotovo u svim slučajevima navode kao primjeri mogućeg pristupa zaštiti osobnih podataka, što i jesu. Točka 83 uvodnog dijela tako navodi “...voditelj obrade ili izvršitelj obrade trebali bi procijeniti rizike povezane s obradom i provesti mjere za njihovo umanjivanje, kao što je enkripcija. Tim bi se mjerama trebala osigurati odgovarajuća razina zaštite uključujući povjerljivost, uzimajući u obzir najnovija dostignuća i troškove provedbe u odnosu na rizike i prirodu osobnih podataka koji se trebaju zaštititi...“
Neki će reći da članak 26 koji definira zakonitost obrade zahtijeva implementaciju enkripcije i pseudonimizacije, no kao ni nigdje drugdje, GDPR ni ovdje to ne traži. Ono što se traži je “...postojanje odgovarajućih zaštitnih mjera, koje mogu uključivati enkripciju ili pseudonimizaciju.“. Cijela ideja GDPR-a se vrti oko učinkovitog upravljanja rizikom, temeljenog na procjeni učinka zaštite osobnih podataka koja je za razliku od pseudonimizacije i enkripcije i te kako obavezna, pa je cijeli odjeljak 3. Uredbe posvećen upravo njoj, a čak je Article 29 Working Party izdala posebni dokument “Guidelines on Data Protection Impact Assessment (DPIA)“. Pokaže li procjena rizika da postojeće mjere zaštite podataka nisu odgovarajuće, odabrat ćete mjere čiji će trošak i kompleksnost implemetacije i održavanja odgovarati riziku kojem su osobni podaci izloženi. Rizik ćete izračunati uzimajući u obzir utjecaj na pojedinca koji ćete gledati kroz količinu i osjetljivost podataka, te vjerojatnost nastanka incidenta. Za njen ćete izračun u obzir uzeti postojeće prijetnje i ranjivosti vašeg sustava zaštite, kao i povijesne podatke. Tada ćete odabrati zaštitne mjere s kojima ćete postići odgovarajuću razinu sigurnosti uz prihvatljiv trošak. Ako to nije moguće, uvijek se možete obratiti za savjet regulatoru, a tako uostalom i piše u članku 36. Uredbe. Kod tvrtki koje upravljaju velikim količinama osobnih podataka, pogotovo onih koje se snažno oslanjaju na komercijalna data warehouse i BI rješenja pseudonimizacija i enkripcija mogle bi biti pravo rješenje. Ovo pogotovo vrijedi za one koji su usvojili DevSecOps principe i snažno automatizirali procese razvoja, testiranja i puštanja novih sustava u rad koji će se vjerojatno opredijeliti za izradu vlastitih rješenja za pseudonimizaciju ili enkripciju. Ostali će s punim pravom odabrati neki drugi način zaštite osobnih podataka, primjeren njihovim potrebama i mogućnostima.
Završena je napokon konsolidacija hrvatskog telekom tržišta, nakon što je Telemach Hrvatska kupio Optima Telekom od ZABA-e i HT-a, a A1 Hrvatska prije toga kupio što veće što manje telekome (B.Net) i kabelske operatore, sada je Hrvatski Telekom pripojio Iskon kojeg je kupio prije već podosta godina. Iako se pripajanje dogodilo s početkom ove godine i formalno pravno, sve je počelo još prošle godine. Time je završena konsolidacija tržišta i sada imamo tri velika telekoma HT, A1 i Telemach i nekoliko manjih Terrakom, 4Tel, Pro-Ping i još neke. I borba se za korisnike na optici nastavlja, a slično je u u mobilnom segmentu.
I dok čekamo rezultate najvećeg domaćeg telekoma HT-a, stigli su rezultati A1 Hrvatska. Za Telemach Hrvatska znamo samod a su u kompaniji jako zadovoljni, da su svi pokazatelji u zelenom, no više ćemo znati kada bude predano godišnje financijsko izvješće. rezultati A1 su jako dobri obzirom na vrlo izazovnu godinu iza nas.
U prošloj poslovnoj godini nastavili smo rasti, unatoč tome što su se kamatne stope jako povećale i sveopća tržišna klima nije bila pogodna. Naš novi proizvod Software Assurance (SSCS) nastavlja snažno rasti, a postojeći servisi podupiru investiranje u nove produkte. Premda mnoga od imena klijenata ne možemo objaviti, među njima su vodeće tehnološke i security kompanije današnjice, kao i društvene mreže, vladine agencije i korporacije. Neke od njih spadaju u Fortune 500, što je popis najvećih kompanija u SAD-u.
