Velika GDPR škola lekcija 7: Interni audit GDPR-a

Velika GDPR škola lekcija 7: Interni audit GDPR-a

Foto: Fotolia

Pokrenuli ste cijeli niz aktivnosti kako bi se uskladili sa GDPR zahtjevima. Imenovali ste DPO-a, uspostavili strukturu ovlasti i odgovornosti za upravljanje osobnim podacima. Analizirali ste spremnost organizacije i IT sustava na ispunjavanje prava vlasnika osobnih podataka. Shvatili ste da niste baš sigurni što je, a što nije osobni podatak.

Shvatili ste da niste baš ni sigurni koji su to podaci koje bi vlasniku trebali ustupiti u slučaju da ih temeljem prava na portabilnost zatraži. Ako ne znate to, onda ne znate niti koje ćete podatke trebati obrisati u slučaju da njihov vlasnik to zatraži temeljem svog prava na zaborav.

Čak i kad bi sve to sa sigurnošću znali, vaš IT sustav to jednostavno tehnički nije u stanju ispuniti, a prilagodba bi mogla biti izuzetno kompleksna.

Pored svega, postalo je jasno da sigurnost osobnih podataka u IT sustavima ni iz daleka nije na očekivanoj razini. Shvatili ste i da pisanje dobrog teksta privole za prikupljanje i obradu osobnih podataka nije tako jednostavno kako se na prvi pogled čini.

Što kad shvatite da GDPR projekt kasni?

Zaključak koji se nameće je da će usklađivanje potrajati znatno duže nego ste to u početku mogli pretpostaviti. Na dan početka primjene GDPR-a, nećete biti 100% usklađeni i to nije nikakav problem jer takvo što nitko neće ni očekivati. Kada shvatite da vaša implementacija GDPR-a unatoč svom trudu nikad neće završiti, prepoznali ste siguran znak da ste GDPR-u pristupili na ispravan način. Usklađivanje s GDPR-om je prije svega postupak uspostave procesa odgovornog i etičkog upravljanja osobnim podacima.

Interni audit - zašto, tko i kako?

Učinkovitost procesa potrebno je mjeriti za što je potrebno definirati mjere i ciljeve. Potpuno smo uvjereni da će odgovorne uprave u travnju 2018. željeti na stolu vidjeti neovisnu ocjenu uspješnosti svojih GDPR inicijativa. Ako ništa drugo, a ono da znaju s čim se AZOP-u (ili kako god će regulatorno tijelo zvati) mogu pohvaliti, a što moraju popraviti.

Audit GDPR-a može se provoditi na više načina i iz više razloga, koji uključuju:

  • Interni GDPR audit
  • GDPR audit treće strane
  • Certifikacijski GDPR audit
  • GDPR audit regulatornog/inspekcijskog tijela

Mi ćemo se fokusirati na interni audit. Ovakav je audit najopsežniji, najdulje traje i cilj mu je pružati objektivnu sliku usklađenosti s GDPR-om, te primjerenosti i učinkovitosti implementiranih kontrola.

Provodi se prema audit planu koji se obično definira za nekoliko godina unaprijed. Ukoliko raspolažete vlastitim resursima, možete ga provesti sami. Možete ga i eksternalizirati ili djelomično eksternalizirati.

Već ste ustanovili da najveći dio kompleksnosti GDPR zahtjeva leži u tehničkim kontrolama. Pored poznavanja audit tehnika, razumijevanje tehnologije i organizacije su neophodna znanja GDPR auditora. Osoba koju trebate je IT auditor, poželjno nositelj CISA certifikata sa 5 ili više godina iskustva.

Raspolažete li takvim resursima, pošaljite ih na dodatnu edukaciju iz područja GDPR-a. Ako nemate vlastite IT auditore, razmotrite mogućnost eksternalizacije ovog procesa. Čak i ako imate vlastiti IT audit tim, eksternalizacija poslova poput izrade metodologije GDPR audita, te prvog audit plana je pametan potez.

Risk based compliance audit (revizija usklađenosti temeljena na procjeni rizika) je idealan pristup auditu GDPR-a. Dobar IT audit tim trebao bi s ovakvim pristupom već biti upoznat.  Obzirom da GDPR formalno ne dolazi sa listom zahtjeva, predlažemo da krenete od postera  objavljenog u trećoj lekciji.

Metodologija procjene rizika koju ćete koristiti za izradu plana audita neka se oslanja na metodologiju procjene utjecaja na zaštitu podataka (DPIA – Data Protection Impact Assessment) koja će i tako biti obavezan dio vašeg procesa upravljanja osobnim podacima, a njoj govori slijedeća lekcija.

Još iz kategorije

Napadi ucjenjivačkim softverom ne jenjavaju

Napadi ucjenjivačkim softverom ne jenjavaju

21.10.2019. komentiraj

Ne krivimo vas ukoliko smatrate da je vrhunac epidemije ucjenjivačkog softvera (ransomwarea) već prošao. Naposljetku, malo je tko doživio napad poput onoga koji je zadesio britanski sustav zdravstva (NHS) 2017. godine. No, ransomware nije potrošena metoda napada – ako ništa drugo, postao je posve uobičajena vrsta napada. Kaspersky je otkrio 16.017 novih varijacija ucjenjivačkih napada u drugom tromjesečju ove godine, dvostruko više nego u istom razdoblju prošle godine.

KOMENTAR: Tele2 Hrvatska odličan u prvih devet mjeseci, čeka se i dalje potvrda odluke o prodaji

KOMENTAR: Tele2 Hrvatska odličan u prvih devet mjeseci, čeka se i dalje potvrda odluke o prodaji

17.10.2019. komentiraj

Treći po veličini domaći telekomunikacijski telekom operator Tele2 Hrvatska ostvario je odlične rezultate u prvih devet mjeseci ove godine uz rast svih ključnih financijskih pokazatelja od rasta prihoda od 8 posto i bruto dobiti, odnosno dobit s kamatama, amortizacijom, deprecijacijom i porezom (EBITDA) od čak 71 posto. To su odlični rezultati na vrlo zasićenom tržište gdje nas očekuju neki od ključnih događaja za domaće telekomunikacijsko tržište. I dok se čekaju konačne odluke regulatora i to prije svega Agencije za zaštitu tržišnog natjecanja oko prodaje Tele2 Hrvatska United Grupi na telekom tržištu se sve više govori i o tome tko će kupiti Optima Telekom.

KOMENTAR: Solidni rezultati A1 Hrvatska u devet mjeseci

KOMENTAR: Solidni rezultati A1 Hrvatska u devet mjeseci

15.10.2019. komentiraj

A1 Hrvatska sada se fokusira na investicije i pripreme za dolazak 5G mreže, ulažu u nove tehnologije, a prošlogodišnja dobit bila im je pod velikim pritiskom rebrendinga koji baš i nije bio jeftin, stoga uz rast prihoda i dobiti može se slobodno reći kako su rezultati ovog drugog po veličini domaćeg telekom operatera sasvim solidni.