Măsuri tehnice și organizatorice adecvate

Atunci cînd o organizație se confruntă cu un eveniment care ajunge la cunoștința ANSPDCP, autoritatea solicită, printre altele, „informații privind adoptarea de măsuri tehnice și organizatorice„. Să nu uităm că managementul organizației trebuie să demonstreze „responsabilitate„.

Cele ce le scriu în continuare reprezintă perspectiva mea, de auditor, și nu cea a unui „expert GDPR„…..

1.Referințe GDPR

(78) Protecția drepturilor și libertăților persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal necesită adoptarea de măsuri tehnice și organizatorice corespunzătoare pentru a se asigura îndeplinirea cerințelor din prezentul regulament. Pentru a fi în măsură să demonstreze conformitatea cu prezentul regulament, operatorul ar trebui să adopte politici interne și să pună în aplicare măsuri care să respecte în special principiul protecției datelor începând cu momentul conceperii și cel al protecției implicite a datelor.


Articolul 24 – Responsabilitatea operatorului
(1)   Ținând seama de natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și de riscurile cu grade diferite de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, operatorul pune în aplicare măsuri tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament. Respectivele măsuri se revizuiesc și se actualizează dacă este necesar.


Articolul 25 – Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit
(1)   Având în vedere stadiul actual al tehnologiei, costurile implementării, și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscurile cu grade diferite de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice pe care le prezintă prelucrarea, operatorul, atât în momentul stabilirii mijloacelor de prelucrare, cât și în cel al prelucrării în sine, pune în aplicare măsuri tehnice și organizatorice adecvate

Articolul 32 – Securitatea prelucrării
(1)   Având în vedere stadiul actual al dezvoltării, costurile implementării și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscul cu diferite grade de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, operatorul și persoana împuternicită de acesta implementează măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc

2. Ce înțelegem prin „corespunzătoare„/„adecvate„?

Așa cum rezultă din Art. 24, „corespunzătoare„ înseamnă „adecvate„ (scuze pentru pleonasmul forțat) domeniului de aplicare, contextului, scopurilor și riscurilor prelucrării. Altfel spus, chiar dacă avem „categorii„ identice de măsuri, acestea vor fi diferite de la o organizație la alta. Iar din punct de vedere tehnic, regulamentul tot la „riscuri„ trimite:

Măsurile respective ar trebui să asigure un nivel corespunzător de securitate, inclusiv confidențialitatea, luând în considerare stadiul actual al dezvoltării și costurile implementării în raport cu riscurile și cu natura datelor cu caracter personal a căror protecție trebuie asigurată.

(Considerent 83)

Dacă aceste măsuri nu sînt deci adecvate riscurilor, tot ce spune o organizație în cazul unui incident vor fi…povești. Poate cu excepția cazului în care dovedește că s-a confruntat cu un atac țintit (targeted).

Evidențele activităților de prelucrare (cartografierea datelor/registrul activităților – Art. 30) vor susține/proba „scopul prelucrărilor„.

Identificarea bazei legale (Art. 6) pentru prelucrările identificate în registrul menționat mai sus va susține/proba „contextul prelucrărilor„

Evaluarea riscurilor va susține/proba adecvarea măsurilor de securitate.

3. Măsuri organizatorice

  • Politici de securitate – scopul și conținutul ar trebui să fie diferit în funcție de organizație și de scopul prelucrării. Unele firme pot să dezvolte un singur document în timp ce altele vor avea mai multe politici (Cosiderent 78, Art. 24, 25)
  • Continuitatea afaceriii – indiferent de dimensiunea afacerii, orice organizație trebuie să asigure recuperarea și disponibilitatea datelor în cazul unui incident (Art. 32 (c))
  • Evaluarea riscurilor – ISO 27001 de aici pornește.
    Legea nr. 360/2018 de transpunere a Directivei NIS. Sau reglementările din domeniul bancar. DPIA cerută de GDPR. Evaluarea riscurilor este tot o măsură de securitate.
  • Proceduri – o procedură corectă/bună poate înlocui un angajat atunci cînd acesta nu este disponibil! O procedură ar trebui să transpună în practică obligații.
  • Raportare – menționez separat lucrul ăsta. Nu mă refer la raportarea incidentelor către ANSPDCP ci la raportarea către management. Pentru că managementul răspunde și atunci trebuie să fie informat!
  • Instruire și conștientizare – Sînt două lucruri diferite: „instruirea„ te învață ceva în timp ce „conștientizarea„ îți amintește. Formal, clauzele din contract sînt o „acoperire„ dar pe lîngă semnatarii contractului sînt alții care lucrează efectiv cu sau pentru organizație.
  • Audit – poți să ai toate politicile și procedurile posibile. Poate ai cumpărat „cel mai complet kit GDPR„. Nu este suficient. Trebuie să te asiguri că lucrurile funcționează. De fapt ești obligat să demonstrezi că funcționează: Art. 32 (d).
  • Verificări prealabile (Due Diligence) – atunci cînd lucrează cu persoane împuternicite, operatorul este obligat să se asigure că acestea oferă garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și organizatorice adecvate (Art. 28)

4. Măsuri tehnice

Ce reprezintă „stadiul actual al dezvoltării„/„state of the art„ cînd se face referire la măsuri tehnice (de securitate)? IAM, SIEM, DLP, DB protect, IPS, MDM etc.? Depinde de organizație, context, scop și …..riscuri. Dar măsurile tehnice se raportează și la „costul implementării„ nu doar la „stadiul actual al dezvoltării„! De exemplu este deplasat să te gîndești la presudonimizarea adreselor de mail dintr-o bază de date, dar ar trebui să te gîndești la criptarea informațiilor care se referă la scoringul clienților. Și aici discuția se poate complica: anonimizare/pseudonimizare statică? Dinamică? Cu ce costuri? Cu ce efecte asupra proceselor economice?

Prin urmare înțeleg prin „stadiul actual al dezvoltării„ ceea ce este disponibil comercial și contribuie la atingerea obiectivului organizației: reducerea sau eliminarea riscurilor la adresa drepturilor și libertăților persoanei vizate!

Dacă nu există o evaluare a riscurilor nu se poate afirma că măsurile tehnice sînt adecvate!

(Un document care tratează subiectul „state of the art„ din perspectiva cerințelor din Germania)


5 gânduri despre “Măsuri tehnice și organizatorice adecvate

  1. As marca aici faptul ca pentru toate domeniile de activitate/afacerile care sunt obiectul unor reglementari specifice de securitate precum si obiectul controlului unei alte instituții decât ANSPDCP in opinia mea aceste reglementari/concluzii ale controlului au precedenta in fata GDPR/ANSPDCP.

    Cu alte cuvinte dacă ești in domeniul plaților electronice sau cazi sub incidenta NIS orice incident trebuie tratat de către altcineva decât ANSPDCP iar sancțiunea, dacă exista, nu poate fi dubla – sectoriala si GDPR

    Apreciază

        • Asta e problema de corelare între prevederile legale din cauză că fiecare vrea să dețină un anumit control. BNR reglementează, MCSI vrea și el (revizuiește Ordinul 389) etc. Asta în timp ce PSD2 nu este transpusă încă în legea națională și există ghiduri EBA. Nu există vederea de ansmablu asupra domeniului care se dorește a fi reglementat…totul este tratat „insular„.

          Apreciază

        • Mereu am teama că în online, se intimpla sa nu inteleg ce se transmite si prin urmare sa raspund in alta directie. Așa că revin.
          Consider ca există mai multe cauze:
          – nu a exista o viziune unitară cu privire la ce înseamnă „e-guvernare„. Nu am in vedere „tunurile„ date cu marele site ci concret ce presupune „guvernarea electronică„ (nu folosesc guvernanță pentru că este un barbabrism).
          – de la punctul de mai sus a aparut altă cauză: nici securitatea IT nu a fost înțeleasă (sau a fost doar prin prisma „tunuruilor„ care s-au dat cu tehnologii).
          – lipsa „viziunii„ a făcut să avem astăzi actori diferiți (BNR, CERT, MCSI, Cyberint) care încearcă să reglementeze cîte ceva. Doar că este „insular„.
          – consultările publice la care am luat parte au fost doar de formă. Nu am remarcat preluarea nici unei propuneri venită din „exterior„. Cu titlul de exemplu am recomandat la o consultare ca măcar definițiile termenilor să fie consitente între legi…să se dea copy-paste că măcare la asta dovedim că ne pricepem…
          – unele organisme/instituții mai și „băltesc„. Dau ca exemplu ANSPDCP…Piața s-a umplut de „expertiză„….
          Și ajung în final la întrebarea ta: „Ce faci dacă indicațiile diferă„. Răspunsul diplomat ar fi: analizezi și cauți calea de mijloc. PErsonal prima dată mă pun pe înjurat ….

          Apreciază

Lasă un răspuns la Adrian B. Munteanu Anulează răspunsul

Completează mai jos detaliile tale sau dă clic pe un icon pentru a te autentifica:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare /  Schimbă )

Fotografie Google

Comentezi folosind contul tău Google. Dezautentificare /  Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare /  Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare /  Schimbă )

Conectare la %s

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.