(O completare la articolul anterior) În puține cazuri am întîlnit „IT risk assessment„, „vulnerability assessment„ sau „pen test„ care să fi fost privite altfel decît izolat, la nivelul unor echipamente/subsisteme. Rezultatul obținut în urma unor astfel de activități nu oferă însă recomandări pentru protejarea afacerii. Afli ceva, dar nu știi cu exactitate/suficient de detaliat impactul…
Cred că de acum este clar că, în practică, vor exista multe situații în care o organizație va fi și „operator„ (măcar pentru datele angajaților) dar și „persoană împuternicită„ (pentru datele prelucrate pentru clienții săi, pesoane juridice). Să presupunem că tot ce ține de datele personale ale angajaților a fost rezolvat. Cu „experți„ sau fără,…
În GDPR nu vom găsi nici o definiție a riscurilor iar despre cum se face în practică nu am găsit prea multe informații (cu excepția unor articole academice). Înțelegerea mea este că acolo, la riscuri, este „miezul„ GDPR. Având în vedere stadiul actual al dezvoltării, costurile implementării și natura, domeniul de aplicare, contextul și scopurile…
Avertisment: această postare reprezintă înțelegerea mea și nu este o opinie calificată cu valoare juridică. Să luăm ca exemplu o „persoană vizată„ medie cu mențiunea: fiecare organizație are propriile sale provocări fiecare persoană vizată are propriile sale interese Persoana are un serviciu de unde primește un salariu. Angajatorul are dosarul de personal: CV, diplome studii,…
Să presupunem că aplicația folosită într-o organizație are cele 3 componente clasice: front end (unde interacționează direct utilizatorul) – serverul de aplicație – serverul de baze de date (back end). La aplicație au acces diverși angajați, inclusiv din zona IT (administratori). Aplicația face schimb de informații cu alte aplicații: de exemplu oferă posibilitatea transmiterii unui…
