5 πράγματα που πρέπει να γνωρίζετε για τον κανονισμό GDPR
Ίσως έχετε ακούσει ότι η 25η Μαΐου 2018 είναι μια πολύ σημαντική ημερομηνία, αφού τίθεται σε ισχύ ο Γενικός Κανονισμός για την Προστασία Δεδομένων, γνωστός ως GDPR (General Data Protection Regulation).
Εξαιτίας του κανονισμού GDPR, οι επιχειρήσεις έχουν ήδη αρχίσει να πραγματοποιούν θεμελιώδεις αλλαγές στον τρόπο λειτουργίας τους και στις μεθόδους διαχείρισης κινδύνου που εφαρμόζουν. Οι επιχειρήσεις πρέπει να προσαρμόσουν τις υποδομές τους, για να αποφύγουν τα υψηλά πρόστιμα.
Έχουμε ετοιμάσει μια λίστα 5 σημείων σε σχέση με το GDPR και συγκεκριμένα, πώς θα σας επηρεάσει ο εν λόγω κανονισμός και πώς μπορείτε να προετοιμαστείτε για αυτόν.
1) Τι είναι ο κανονισμός GDPR και πώς φτάσαμε εδώ;
Ο γενικός κανονισμός για την προστασία δεδομένων (GDPR) εισάγει νέους κανόνες οι οποίοι θα επηρεάσουν εταιρείες σε ολόκληρο τον κόσμο. Αφορά τόσο εταιρείες του Ευρωπαϊκού Οικονομικού Χώρου, όσο και άλλες, οι οποίες συναλλάσσονται με αγορές ή πολίτες στο εσωτερικό της Ευρωπαϊκής Ένωσης (ΕΕ). Επιγραμματικά, ο κανονισμός GDPR δίνει στους πολίτες της ΕΕ νέα δικαιώματα σε σχέση με τα προσωπικά τους δεδομένα, όπως, μεταξύ άλλων, το δικαίωμα να αποσύρουν τη συγκατάθεσή τους, καθώς και ευκολότερη πρόσβαση στα δεδομένα που τους ανήκουν. Αναγκάζει τις επιχειρήσεις να αναλάβουν μεγαλύτερη ευθύνη για τα δεδομένα χρηστών τα οποία συλλέγουν και να εξασφαλίσουν ότι κάνουν ό,τι καλύτερο μπορούν για την προστασία των δεδομένων αυτών. Δύο είναι οι λόγοι που οδήγησαν στη δημιουργία αυτού του κανονισμού. Ο πρώτος είναι οι ίδιοι οι πολίτες να έχουν τον έλεγχο των δεδομένων τους. Οι εταιρείες δεν μπορούν πλέον να συλλέγουν οποιαδήποτε πληροφορία επιθυμούν, αν δεν συντρέχει σοβαρός λόγος. Δεύτερον, κάθε χώρα έχει χωριστή νομοθεσία για τον έλεγχο των δεδομένων των χρηστών. Τι συμβαίνει όμως όταν μια εταιρεία με έδρα την Ελλάδα έχει πελάτες στην Ιταλία, τη Γερμανία και την Ισπανία; Ποιος νόμος ισχύει σε αυτήν την περίπτωση; Με τον κανονισμό GDPR θα μειωθεί η «σύγχυση» και θα είναι ευκολότερο να διαπιστωθούν οι κανόνες που ισχύουν σε κάθε περίπτωση. Δεν υπάρχουν πλέον δικαιολογίες. Για να είμαστε ειλικρινείς, ορισμένες χώρες ήδη διαθέτουν νόμους παρόμοιους με τον κανονισμό GDPR, αλλά με μία σημαντική διαφορά: τα τρομακτικά πρόστιμα! Στην περίπτωση του GDPR, οι ποινές μη συμμόρφωσης είναι πολύ υψηλές, τρομάζοντας ακόμα και τους μεγάλους παίκτες. Τα πρόστιμα μπορούν να φτάσουν στο 4% του ετήσιου κύκλου εργασιών ή στα 20 εκατομμύρια ευρώ (οποιοδήποτε από τα δύο ποσά είναι υψηλότερο). Οι επιχειρήσεις δεν έχουν άλλη επιλογή από τη συμμόρφωση. Τα πρόστιμα και οι πιθανές κυρώσεις είναι ένα ρίσκο που κανείς δεν μπορεί να αγνοήσει.
2) Τι συμβαίνει αν η έδρα του οργανισμού μου είναι εκτός ΕΕ;
Είναι και πάλι υποχρεωτική η συμμόρφωση; Ο κανονισμός GDPR είναι κανονισμός της ΕΕ. Ωστόσο η εφαρμογή του είναι αρκετά ευρεία. Επηρεάζει οποιονδήποτε οργανισμό απευθύνεται ενεργά σε πελάτες ή χρήστες εντός ΕΕ. Δεν αφορά μόνο οργανισμούς με φυσική παρουσία στην ΕΕ. Και πού θα το καταλάβουν; Αυτό μπορεί να γίνει με αρκετούς τρόπους. Για παράδειγμα, μήπως ο τομέας της εταιρείας σας στο διαδίκτυο είναι .eu; Η ιστοσελίδα σας είναι μεταφρασμένη σε ευρωπαϊκές γλώσσες; Αναφέρεται ως συνάλλαγμα το ευρώ; Υπάρχουν παραδείγματα πελατών από την Ευρώπη; Αν απαντήσατε «ναι» σε οποιαδήποτε από τις παραπάνω ερωτήσεις, τότε θα πρέπει να ακολουθήσετε τον κανονισμό GDPR. Είναι αρκετά πιθανό ο οργανισμός σας να χειρίζεται δεδομένα πολιτών της ΕΕ με κάποια μορφή ή τρόπο. Αν νομίζετε ότι αυτό δεν ισχύει, δείτε λίγο τι εννοεί ο κανονισμός όταν αναφέρεται σε προσωπικά δεδομένα. Δεν περιλαμβάνονται μόνο στοιχεία τραπεζικών λογαριασμών, διευθύνσεις email, ευαίσθητες προσωπικές πληροφορίες, αλλά και διευθύνσεις IP. Αν αναλογιστείτε πόσες εταιρείες χρησιμοποιούν στη δουλειά τους διευθύνσεις IP, τότε η νομοθεσία αφορά πολύ περισσότερους. Δείτε λίγο τη μεγαλύτερη εικόνα. Λαμβάνοντας μέτρα για την προστασία των δεδομένων σας, έχετε πολύ μεγαλύτερη ευκαιρία να προστατέψετε την επιχείρησή σας έναντι ηλεκτρονικών απειλών. Είναι ένα τεράστιο βήμα προς τα εμπρός στην αντίληψη του κόσμου για την προστασία των δεδομένων και παράλληλα μια θετική αλλαγή για τους πελάτες σας.
3) Πώς θα ξεκινήσω τον σχεδιασμό μου προκειμένου να ικανοποιήσω τα κριτήρια;
Η αρχή γίνεται με μια ανάλυση των ελλείψεων. Ερευνήστε τι πρέπει να κάνετε για να ευθυγραμμιστείτε με τους νέους κανόνες, καθώς υπάρχουν πολύ συγκεκριμένες κατευθυντήριες γραμμές. Κάντε σύγκριση με την υφιστάμενη δομή και τις διαδικασίες σας και στη συνέχεια εντοπίστε τις ελλείψεις. Από εκεί και πέρα, μπορείτε να χτίσετε τον οδικό χάρτη σας. Είναι σημαντικό να εξασφαλίσετε ότι η εταιρεία σας έχει επίγνωση των προσδοκιών της από τους εργαζομένους, σε κάθε σημείο της διαδρομής. Όσο πιο πολύ το καθυστερείτε, τόσο πιο πιθανό είναι να καταλήξετε σε μια κατάσταση πανικού. Άρα είναι καλό να αρχίσετε να προετοιμάζεστε από τώρα και αν δεν ξέρετε από πού να ξεκινήσετε, υπάρχουν ειδικοί που μπορούν να σας βοηθήσουν. Οι Υπηρεσίες Ιδιωτικότητας και Προστασίας Δεδομένων της Cisco (Cisco Privacy and Data Protection Services) μπορούν να σας βοηθήσουν να καταλάβετε τι πρέπει να κάνετε για να συμμορφωθείτε με τον κανονισμό GDPR.
4) Μπορώ να επιτύχω συμμόρφωση αν προμηθευτώ ένα συγκεκριμένο είδος εξοπλισμού;
Όχι. Το GDPR πάνω από όλα αφορά τις διαδικασίες ασφαλείας και τη διαχείριση κινδύνου. Η τεχνολογία είναι ένα κομμάτι του, αλλά δεν υπάρχει ένα συγκεκριμένο προϊόν το οποίο μπορεί να λύσει όλα σας τα προβλήματα. Η τεχνολογία δεν θα λειτουργήσει αν δεν συνεργάζονται όλοι οι τομείς. Πολλοί πιστεύουν, ότι η ασφάλεια στον κυβερνοχώρο είναι πρόβλημα τεχνολογίας, στο οποίο απαντάμε με τεχνολογία. Ωστόσο, οι κακοί γίνονται όλο και πιο ευφυείς. Η τεχνολογία από μόνη της δεν μπορεί να τους σταματήσει. Θα αναζητήσουν κάθε αδυναμία η οποία μπορεί να τους ανοίξει τον δρόμο. Δείτε ενδεικτικά τo πρόσφατo Cisco Midyear Cybersecurity Report 2017, με θέμα την ασφάλεια στον κυβερνοχώρο, για να πάρετε μια ιδέα για τις «αναβαθμισμένες» δραστηριότητες των εγκληματιών του κυβερνοχώρου. Το παιχνίδι έχει αλλάξει και η προστασία έναντι των παραβιάσεων δεδομένων είναι κάτι που όλες οι επιχειρήσεις πρέπει να συμπεριλάβουν στα σχέδιά τους. Επίσης, ο κανονισμός GDPR αναφέρει ότι οι οργανισμοί πρέπει να ορίσουν έναν υπεύθυνο προστασίας δεδομένων (data protection officer) ο οποίος δεν θα είναι το ίδιο άτομο με τον υπεύθυνο κινδύνων (risk officer) και δεν θα ανήκει σε κάποιο από τα ήδη υπάρχοντα τμήματα μηχανοργάνωσης (ΙΤ). Οι υπεύθυνοι προστασίας δεδομένων έχουν ειδική αποστολή, αλλά είναι ιδιαίτερα σημαντικό ο ρόλος τους να είναι εκτός του τμήματος ΙΤ και εκτός διοικητικού συμβουλίου, ώστε να είναι αυτόνομοι να λαμβάνουν αποφάσεις οι οποίες θα προάγουν τη συμμόρφωση. Και πάλι, το θέμα είναι να εξασφαλιστεί ότι οι εταιρείες αναγνωρίζουν το μέγεθος της ευθύνης που φέρουν όταν συλλέγουν και μεταφέρουν δεδομένα άλλων ανθρώπων.
5) Πώς επηρεάζει ο κανονισμός GDPR το πώς θα αντιμετωπίσω μια παραβίαση δεδομένων;
Σήμερα, σε ορισμένες χώρες της ΕΕ, αν ένας οργανισμός υποστεί παραβίαση δεδομένων δεν είναι υποχρεωμένος να το αποκαλύψει σε κανέναν. Βέβαια, για λόγους ηθικής αλλά και δεοντολογίας, ορισμένες εταιρείες νιώθουν την υποχρέωση να το κάνουν, ειδικά αν η παραβίαση αφορά άμεσα τους πελάτες τους. Όμως τώρα με τον κανονισμό GDPR, αυτό θα είναι υποχρεωτικό. Αν δεν αναφέρετε μια παραβίαση εντός 72 ωρών, θα αρχίσουν τα πρόστιμα.
Αν οι οργανισμοί δεν διαθέτουν τις κατάλληλες διαδικασίες ή την κατάλληλη τεχνολογία, δεν μπορούν να αξιολογήσουν το μέγεθος της παραβίασης. Όταν λοιπόν πρέπει να κάνουν τις σχετικές ανακοινώσεις και να απαντήσουν σε ερωτήσεις του τύπου «Ποια στοιχεία εκλάπησαν;», «Τι θα κάνετε τώρα;» ή «Μπορείτε να με διαβεβαιώσετε ότι δεν θα ξανασυμβεί;», οι απαντήσεις τους δεν θα είναι και τόσο πειστικές. Επίσης, σύμφωνα με έρευνες του Ινστιτούτου Ponemon, ο μέσος χρόνος που απαιτείται για την ανίχνευση μιας παραβίασης σε μια επιχείρηση είναι 191 ημέρες, το οποίο είναι υπερβολικά μεγάλο χρονικό διάστημα. Η Cisco κατάφερε να το μειώσει σε 3,5 μόλις ώρες διεθνώς. Το σημαντικό αυτό επίτευγμα, σε συνδυασμό με την τεχνολογία μας για ετοιμότητα και απόκριση σε παραβιάσεις (Breach Readiness and Response technology), θα βοηθήσει τις επιχειρήσεις να ανακαλύψουν τι συνέβη και πώς μπορούν να περιορίσουν τη ζημιά σήμερα αλλά και στο μέλλον.Απαιτείται αλλαγή στάσης. Οι οργανισμοί πρέπει να αντιληφθούν το σημερινό τοπίο απειλών και να προετοιμαστούν για απόπειρες κλοπής των δεδομένων τους. Θα πρέπει να υπάρχουν οι κατάλληλες διαδικασίες για την αναγνώριση μιας παραβίασης και στη συνέχεια, την αντιμετώπισή της. Ο κανονισμός GDPR δημιουργήθηκε για να μας ενθαρρύνει να κινηθούμε προς την κατεύθυνση αυτή.
Εδώ μπορείτε να βρείτε περισσότερες πληροφορίες για το πώς μπορεί να σας βοηθήσει η Cisco στο συγκεκριμένο θέμα.
Η Cisco ενσωματώνει αποτελεσματικούς μηχανισμούς ασφαλείας και ιδιωτικότητας απευθείας στο δίκτυό σας και στο cloud, καλύπτοντας τις απαιτήσεις συμμόρφωσης με τον Γενικό Κανονισμό για την Προστασία Δεδομένων (General Data Protection Regulation, GDPR).
Tags:
