W ramach poniedziałkowego śniadania, a właściwie całego dnia 🙂 z inżynierami security organizowanego w poniedziałek 6 lutego w miasteczku Orange przez Integrated Solutions miałam przyjemność powiedzieć więcej o tym co zmienia RODO. A zmienia bardzo dużo.
Czy jest bezpiecznie?
Spotkanie rozpoczęło się od wystąpienia technicznego, które w zasadzie udowodniło, że bezpiecznie nie jest w żadnym środowisku. A szczególnie jak mamy w firmie Windowsa, który jest popularną platformą interesującą przestępców do przepuszczania różnego rodzaju ataków. Marcin Huchla pokazał jak przestępcy wykorzystują pakiet Metasploit do łamania zabezpieczeń w firmie.
Trzeba zatem postawić na mechanizmy nastawione nie tylko na odpieranie ataków, ale i prawidłowe filtrowanie oraz późniejsze zarządzania incydentami. Ciekawe narzędzie, które może nam to ułatwić (zarówno osobom z security jak i ABI czy audytorom) jest rozwiązanie Fidelis.
Przyznam, że możliwości narzędzia są ogromne jeśli chodzi o filtrowanie zasobów czy wyciąganie istotnych dla nas danych, w tym metadanych. Dużym plusem jest to, że może działać w chmurze jak i w zupełnie wyizolowanym środowisku. Kolejny atut wiąże się z tym, że zgodnie z nowymi przepisami czyli RODO będzie obowiązywał obowiązek notyfikacyjny i nie tylko trzeba będzie informować organ ochrony danych, ale w szczególnych przypadkach także podmiot danych. Pomóc w rozpoznaniu zagrożenia może właśnie to narzędzie.
Co zmienia RODO?
Od początku tego roku prowadzę szkolenia (głównie zamknięte, na potrzeby wewnętrzne firm dla prawników, ABI, security, kierowników działów) o tym co zmienia RODO, jak się przygotować do zmian, jak współpracować ze sobą i jak przemodelować można procesy.
Tak. RODO daje wspaniałą okazję do tego by zrezygnować z wielu procesów, które są kosztowne i niezbyt sensowne. Pozwala bowiem znacząco ograniczyć papierologię i oprzeć się na systemach informatycznych.
Nie będzie już trzeba mieć Polityki i Instrukcji na papierze, które ładnie leżą w szafkach. Upoważnienia także nie będą musiały być wydawane na papierze. Hasło nie będzie musiało być zmieniane co 30 dni. Wreszcie Administrator danych i odpowiednio procesor będzie mógł procesy zarządzania ochroną danych ułożyć wedle charakteru, zakresu, celu i kontekstu przetwarzanych danych. Nie trzeba będzie już rejestrować zbiorów, będą prowadzone rejestry przetwarzania.
Dla firm i organów administracji publicznej to jednak także wizja tego, że wszelkie procesy przetwarzania powinny być zgodne z privacy by design i by default i należy się każdorazowo oprzeć na analizie ryzyka. Ocena zgodności zatem przed zatwierdzeniem działań marketingowych, zakupem systemu czy outsourcingiem usług będzie musiała być dokonywana i będzie mogła być dokonana w formie elektronicznej. Nawet umowa powierzenia nie będzie już musiała mieć formy pisemnej (czyli w praktyce papierowej).
Jakieś minusy? Z pewnością sankcje. Wszyscy wiemy, że organ kontrolny będzie mógł nakładać kary finansowe jeśli ADO czy procesor nie będą przestrzegali przepisów.
RODO a telemedycyna
Jednolite rozporządzenie o ochronie danych przyczyni się mocno do rozwoju wielu e-usług i zwiększenia ochrony prywatności, w tym także w zakresie bezpiecznego profilowania. O ile profilowanie można nazwać bezpiecznym 🙂 Przynajmniej wtedy można je tak nazwać gdy mamy świadomość, że się ono odbywa i z jakimi konsekwencjami się dla nas wiąże. To absolutne minimum. Przepisy nakładają szczegółowe obowiązki w zakresie profilowania o czym szerzej mówię na szkoleniach czy można przeczytać w Pomocniku RODO.
W tym miejscu jednak chcę napisać słów kilka na temat telemedycyny. Otóż zgodnie z definicjami danych, które w zakresie telemedycyny mogą być przetwarzane (tutaj dokładnie rozpisane + tutaj z przesłankami) dane te będzie można przetwarzać za pomocą wyraźnie udzielonej zgody. Jednocześnie nie będzie to musiała być zgoda udzielana w formie pisemnej.
ADO podobnie jak procesor będzie musiał jednak zastosować środki techniczne i organizacyjne adekwatne do poziomu ryzyka, w tym zapewnić m.in:
- pseudonimizację i szyfrowanie danych osobowych,
- zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
- zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
- regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania = testy penetracyjne.
Szkolenie “Co zmienia RODO?”
Interesuje Ciebie temat zmian w ochronie danych bardziej? Chcesz dokładnie wiedzieć jak się praktycznie przygotować do zmian i nowych przepisów? Interesują Ciebie praktyczne wskazówki?
Chciałbyś mieć dostęp do narzędzia w ramach Twojej firmy (czyli inni pracownicy też), które pozwoli w szybki i efektywny sposób odpowiedzieć na pytania związane z ochroną danych w kontekście zmian RODO (a ostatnio też e-privacy)?
Podaj post dalej, a najlepiej napisz do mnie i porozmawiajmy o tym jak może wyglądać szkolenie w Twojej firmie + dostęp do Pomocnika RODO.
Miłego dnia!