Procesele economice și securitatea informațiilor: lipsește o verigă?

(O completare la articolul anterior) În puține cazuri am întîlnit „IT risk assessment„, „vulnerability assessment„ sau „pen test„ care să fi fost privite altfel decît izolat, la nivelul unor echipamente/subsisteme. Rezultatul obținut în urma unor astfel de activități nu oferă însă recomandări pentru protejarea afacerii. Afli ceva, dar nu știi cu exactitate/suficient de detaliat impactul…

Securitate IT sau protejarea datelor personale?

Există o mulțime de materiale care spun că poți să ai securitate IT dar să nu asiguri protecția datelor personale. În cursul CISM se prezintă „security program„ iar în cursul CIPM se prezintă „privacy program„. A fost o vreme cînd distincția era clară și ușor aplicabilă. Dincolo de ce spune teoria, cît diferă între ele…

Din nou despre Articolul 32 Securitatea prelucrării

  Unde scrie în GDPR că trebuie audit? Nicăieri. Art. 32. (1)(d): un proces pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării. Am dat cîteva detalii aici și aici . Reiau afirmații anterioare: chiar dacă nu scrie „audit„ despre așa ceva este vorba. În lipsa unui…

Relația operator – persoană împuternicită….în practică

  În practică sînt o multitudine de situații în care operatorii lucrează cu persoane împuternicite. Art. 28 (3) stabilește că această relație este guvernată prin intermediul unui contract iar Art. 82 (2) indică situațiile în care persoana împuternicită devine răspunzătoare pentru prejudiciul cauzat de prelucrare. Pentru a fi exonerați de răspundere ambii actori trebuie să…

Valoarea datelor personale

  Într-o discuție la care am luat parte s-a spus că organizațiile nu văd „nici o valoare„ în GDPR ci mai degrabă o constrîngere și costuri inutile. Este de înțeles această percepție atît timp cît cele  mai multe informații din on line și de la prezentări oferă interpretări asupra aspectelor legale. Un regulament cu peste…