Kas ettevõtjana oled teadlik, mis on organisatsiooni suurimad riskid seoses GDPR-i ja IT turvalisusega?
Olulistele küsimustele vastates
- Kas oled teadlik, kus asub sinu ettevõtte andmekogu isikuandmetega ja kellel on ligipääs nendele süsteemidele?
- Mida ligipääsu omavad isikud sinu ettevõtte süsteemides teha saavad? Kas süsteemides tehtud muudatusi logitakse ja kas tehtud muudatused on tagantjärele tuvastatavad?
- Kas sinu ettevõttel on kokkulepitud andmete varundamise plaan ja kas IT teeb vastavalt sellele varundusi, mis vastavad tegelikkusele?
- Kas sinu organisatsiooni infoturbe intsidentide jaoks on välja töötatud süsteemide taasteplaan (Disaster Recovery Plan) ja kas seda plaani testitakse regulaarselt?
Kui ülalesitatud neli peamist küsimust küber- ja andmekaitse turvalisuse tõhususe osas kõnetasid, siis see oleks juba esimene märkimisväärne samm ettevõtte riskivabama andmete halduse suunal. Andmekaitse ei ole äritegevusest eraldiseisev ühekordne tegevus, vaid neid küsimusi tuleb endale esitada regulaarselt. Vastused küsimustele peaksid sõltuma mitte ainult tegelikult tuvastatud avalikest andmelekete hulgast, vaid ka muude “tavapäraste” juhtumite sagedusest nagu näiteks: ligipääsude ajutine puudumine kasutajatel, ühiste kasutajatunnuste ja paroolide kasutamine mitme inimese poolt, infovahetus Euroopa Majandusühenduse (EEA) väliste isikutega, mitte asjasse puutuvate isikute vaba ligipääs kontorisse ja töökohtadele jpt.
Vaatamata asjaolule, et õigusaktid on abstraktsed ja keerulised, tuleb neid tõlgendada konkreetsete reaalselt elluviidavate tegevustena, võttes arvesse iga organisatsiooni eripära (sh ärivajadusi, süsteemide, andmete, poliitika jne eripära). Sedakaudu GDPR ei puuduta mitte ainult andmekaitse õiguslikke aspekte, vaid ka andmekaitse tehnilisi ja organisatsioonilisi aspekte. GDPR nõuab laiemat ja kombineeritud lähenemist, sh ärivajadustest lähtuvat lähenemist, ning kõigi nende eelnimetatud aspektide tundmist ja katmist asjakohasel tasemel. Seejuures on probleemide vältimiseks tavapäraselt tõhusamad just ennetavad meetmed, mitte keskendumine vaid tagantjärele väljatulnud vigade parandamisele.
GDPR üldmääruse läbiv joon on riskipõhine lähenemine. See tähendab, et mida andmelekke tundlikum on andmetöötlus, seda rangemad on andmekaitse regulatsioonid konkreetse organisatsiooni puhul. GDPR nõuete järgimine eeldab sedakaudu ka organisatsiooni siseseid täpsustavaid regulatsioone, mis käsitlevad andmete töötlust ja kaitset konkreetse organisatsiooni kontekstis. Laiemas pildis tähendab see, et ka andmekaitse riskide hindamine on üks fundamentaalsetest ja järjepidevatest tegevustest organisatsioonide igapäevatöös. Probleemi ilmnemisel ja/või avalikuks tulekul peab olema võimalik näidata (andmekaitse inspektsioonile või halvimal juhul kohtule), et andmete kaitsmiseks ja rikkumiste vältimiseks rakendati mõistlikke ja asjakohaseid tagasi- ja edasiulatuvaid organisatsioonisiseseid meetmeid.
Tõhusad andmete kaitse ja privaatsuse tagamise programmid ja süsteemid arvestavad nii ettevõtte ärihuvisid, regulatsioonide nõudeid kui ka optimaalseid tehnoloogilisi võimalusi. ning aitavad sedakaudu kogu ettevõttes edendada andmete privaatsuse väärtustamise ja kaitse kultuuri nii juhtide kui ka töötajate poolt. Eesmärkide põhine kavandamine ja rakendamine võib lõppkokkuvõttena viia andmete, töötluse ja protsesside juhtimise kvaliteedi olulise paranemiseni tervikuna.
Vastavus GDPR üldmääruse nõuetega on aeganõudev ja järjepidev protsess, mida tuleb lisaks tagada organisatsioonis eetilise kultuuri väärtustamisega ning ressursside piiratuse korral kaasates vajadusel väljastpoolt oma ala tunnustatud ja sertifitseeritud asjatundjaid.
Teadmised ja pikaajaline kogemus tekkinud või tekkivatele küsimustele vastamiseks ja nõu andmiseks, aitavad ettevõttel riskide tuvastamiseks ja maandamiseks leida parim lahendus.
