Articolul 32 din GDPR – Securitatea prelucrării impune (printre altele) existența unui „proces pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării„.

Același articol impune ca, pornind de la „stadiul actual al dezvoltării, costurile implementării și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscul cu diferite grade de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, operatorul și persoana împuternicită de acesta implementează măsuri tehnice și organizatorice adecvate„ care să asigure „confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare„.

Altfel spus: dacă vom avea o abordare de tip „program„, aceasta va avea ca fundament 3 piloni: oamenii – procesele – tehnologia (clasicul PPT – people-processes-technology).

Să presupunem (deși nu este de dorit) că nu vom aborda conformarea cu GDPR dezvoltînd un program. Chiar și așa, tot la PPT vom ajunge pentru că, respectarea cerințelor din regulament aici conduce.

Procesul de testare, evaluare și apreciere trebuie definit intern indiferent dacă punerea în practică se va face cu resurse proprii (auditul intern) sau cu resurse externe. Este lipsit de importanță cine va realiza această cerință deoarece întregul proces trebuie să aibă în vedere toate cele trei componente: oameni, procese și tehnologie.

Resursa umană este cea care definește procesele interne, execută sarcini și este principalul furnizor de informații. Procesele sînt specifice organizației, folosesc datele personale sînt ușor observabile . Tehnologia (indiferent dacă este un banal centralizator Excel, un ERP/CRM sau client email) este cea care prelucrează datele personale. Mai avem însă și tehnologia care asigură securitatea…..

Acest proces de testare și evaluare va avea ca punct de plecare Articolul 5 – Principii legate de prelucrarea datelor cu caracter personal deoarece operatorul trebuie să demonstreze respectarea acelor principii.(în esență tot despre PPT este vorba și în acest articol). Unele organizații vor avea ca obligații și prevederile Art. 30.

În opinia mea, pasul următor ar trebui să fie Articolul 25 – Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit, deoarece este acoperitor pentru toate celelalte cerințe!

Procesul despre care scriu astăzi nu va fi unul care va avea la bază doar „hîrtii„ – politici+proceduri=măsuri administrative. Doar pe baza acestor elemente se acoperă parțial cerința de „evaluare și apreciere„. ”Testarea”  înseamnă că „cineva„ își asumă că tot ceea ce este documenat funcționează așa după cum a fost proiectat. Acel „cineva„ este managementul!