Titlul este unul răutăcios, bineînțeles…(Și eu am scris un astfel de articol: Primul pas în conformarea cu GDPR …despre alți pași nu am mai scris 🙂  )

Și totuși, ce este „esențial„ în GDPR și de „cîți pași„ este nevoie pentru atingerea conformității?. Răspunsul este unul clasic: depinde!

Depinde de tipul de organizație, de datele prelucrate, de cîtă și ce tehnologie are, de cultură, de management etc. Depinde de o mulțime de factori, motiv pentru care nu cred că poate cineva oferi un răspuns exact. Depinde cum „citești„:

• dacă ești „persoană vizată„ știi că prin Regulament îți este asigurat dreptul la protecția datelor cu caracter personal. Vei fi inetresat de „drepturi„
• dacă ești „operator„ sau persoană „împuternicită„ probabil vei fi îngrijorat de cuantumul amenzilor și cum să faci să nu ajungi să primești amenda.

Spun asta pornind de la realitățile noastre: deși pînă la acest Regulament am avut/avem legea 677, nu prea cred că au fost mulți (și de o parte și de alta) îngrijorați.

Am mai scris și despre Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit. Dacă las la o parte „riscurile„ și „impactul„, protecția datelor „by design„ și „by default„ ar presupune:

• că în aproape toate etapele ciclului de viață al datelor personale acestea sînt „criptate„
• că din organizație au fost șterse toate datele personale care nu servesc scopului declarat al prelucrării
• că toți angajații care prelucrează date personale sînt autorizați în mod explicit
• că se poate identifica în orice moment cine, ce, cînd, unde…a făcut ceva
• că datele personale nu pot fi accesate, divulgate…în mod neautorizat
• că este gestionat orice dspozitiv pe care datele personale ajung să fie stocate
• …..

De cîtă tehnologie ar fi nevoie? Răspunsul este iarăși cel clasic: depinde! Cîteva exemple:

• pentru protecția „at rest„, „in motion„, „in use„ va fi nevoie de DLP, criptare, user device control, data retention/disposal etc.
• pentru useri va fi nevoie de „identity&access management„ și „access audit„
• pentru riscuri, vulnerabilități și notificare breșe va fi nevoie de SIEM, end point protection, incident management…

Corect ar fi să se ia fiecare etapă a ciclului de viață și să se vadă care este tehnologia care asigură protecție! Pentru că la asta se referă „din momentul conceperii„ și „implicitul„.