Abordarea „D(atelor)” în GDPR

 

Acest articol a fost publicat de compania Relational în Catalogul GDPR Ready

Relational este un integrator de software internațional, fiind cel mai important distribuitor al Informatica INC. în România.

 

Pentru a ajuta la înțelegerea regulamentelor, Informatica identifică următoarele puncte, care evidențiază provocările GDPR:

1 Descoperirea datelor sensibile și analiza riscurilor – caracterizată ca fiind un caz de detectare și protecție. Aceste capabilități furnizează informații despre unde sunt datele sensibile din domeniul de aplicare și unde se proliferează, cu informații analitice.

Soluții tehnologice: Informatica Secure@Source poate descoperi locația datelor, să le clasifice, să monitorizeze proliferarea datelor și să aloce scorurile de risc. Urmărind în timp aceste informații, putem aprecia modul în care modificările influențează pozitiv sau negativ eforturile de conformitate.

2 Interpretarea politicilor – caracterizată ca fiind un caz de Enterprise Data Governance. Aceste capabilități oferă o vizualizare completă a gestionării organizaționale a datelor, legând viziunea informațiilor între Business şi IT.

Soluții tehnologice: soluțiile de Enterprise Data Governance permit funcțiilor din Business și IT să colaboreze în vederea atingerii scopului comun al administrării datelor. Soluțiile, precum Informatica Axon, sunt concepute pentru a uni vizibilitatea datelor pentru Business și IT, și pentru a crea o legătură între data asset-urile logice și fizice.

3 Gestionarea datelor personale – caracterizată ca fiind un caz de potrivire si legare a datelor. Acestea sunt capabilități pentru identificarea în sisteme a înregistrărilor datelor persoanelor vizate și pentru oferirea unei vizualizări încrucișate a datelor, prin potrivirea și crearea de legături între ele.

Soluții tehnologice: ajuta la descoperirea înregistrărilor persoanelor vizate din toate domeniile de date, utilizând algoritmi avansați pentru a se potrivi cu toate datele referitoare la același subiect de date, indiferent de locul în care sunt stocate datele. Informatica Relate 360 utilizează algoritmi avansați pentru identificarea datelor asociate aceleiași persoane, iar Master Data Management oferă cadrul pentru menținerea și gestionarea unei vizualizări comune a datelor privind persoanele vizate.

4 Activarea controlului consimțământului – caracterizat ca fiind un caz de detectare și protecție a utilizării. Acestea sunt capabilități de bază pentru protejarea și securizarea accesului la date, aplicarea unor controale centrate pe date, precum mascarea, criptarea și controlul accesului, gestionarea ciclului de viață al datelor, inclusiv arhivarea, ștergerea datelor și a aplicației.

Soluții tehnologice: pot contribui la gestionarea ciclului de viață al activelor de date și pot aplica controale asupra acestor active. Informatica Permanent/Dynamic Data Masking şi Data Archiving pot fi utilizate pentru a limita automat numărul de persoane și sistemele care au acces nerestricționat la datele cu caracter personal.

PENTRU DETALII: RELATIONAL ROMANIA SRL, Address: 4, Splaiul Unirii, Bloc B3, Tronson 2, Bucuresti, Sector 4, Phone: 021/ 3155730, 021/3155731, Fax: 021/3155733, Email: sales@relational.ro; alexandru.stroia@relationalfs.com; http://www.relationalfs.com
Advertisements

Provocarea GDPR: de la oameni, la procese și tehnologie

Cât de pregătiți sunteți?

Pe lângă provocările de ordin procedural (consimțământ, training-ul angajaților, codurile de conduită, certificări, notificări în caz de incidente), noul regulament, GDPR, vine și cu provocări de ordin tehnic: securizarea, clasificarea datelor, definirea utilizatorilor, a accesului. Toate acestea reprezintă subiecte cărora trebuie să le acordam o atenție sporită, deoarece este vorba de implementări de soluții software care necesită bugetări, aprobări speciale pentru achiziție, POC-uri, instalări, într-un cuvânt, TIMP, iar în acest moment suntem la doar câteva luni până la aplicarea sancțiunilor (2% din CA globală sau până la 20 milioane de euro).

Știți unde să vă concentrați atenția? Știți unde se află datele necesare pentru a evalua dacă îndepliniți cerințele de conformitate cu GDPR? Toate tehnologiile pe care le implementați pentru a obține conformitatea cu GDPR vă vor ajuta să îmbunătățiți strategia generală de securitate, astfel încât să puteți avea o afacere mai bună și mai competitivă.

Pașii unui proiect de conformitate cu GDPR:

1.Descoperirea datelor și evaluarea riscurilor – Identificați datele personale și unde se află acestea în mediile dumneavoastră de tip cloud/local. Acest lucru ar putea dura luni și implică colaborarea cu toate departamentele pentru a înțelege ce date sunt utilizate, stocate și tranzacționate.

2.Audit de protecție a datelor – Acum că știți unde se găsesc toate datele dumneavoastră, trebuie să evaluați dacă există tehnologii și procese potrivite pentru a vă ajuta să controlați accesul la sistemele dumneavoastră.

3.Evaluarea securității – Evaluați soluțiile de securitate existente pentru a stabili dacă tehnologiile pe care le aveți în utilizare oferă o protecție adecvată, în timp real, construită pentru amenințările actuale. Ca de exemplu, malware-urile complexe care sunt concepute pentru a ocoli măsurile tradiționale de securitate bazate pe semnături. Identificați toate vulnerabilitățile și lacunele. Experții noștri vă vor ajuta să creați un sistem de securitate integrat și actual.

4.Planul de răspuns la incidente – Aplicați tehnologiile și procesele de securitate pentru a opri un incident, pentru a atenua impactul și a îl raporta. Raportul dumneavoastră către autorități trebuie să includă consecințele posibile ale încălcării și acțiunea pe care o veți lua pentru a atenua posibilele efecte negative asupra persoanelor vizate.

Romsym Data, prin intermediul partenerilor și a specialiștilor săi, vă propune un program de conformitate care vă va ajuta să înțelegeți:

  • Cât de pregătit sunteți;
  • La ce riscuri ar putea fi expusă organizația dumneavoastră;
  • Principalele proiecte și implementări de tehnologii pe care le-ați putea întreprinde în pregătirea pentru GDPR.

Acest articol a fost publicat de compania Romsym Data în Catalogul GDPR Ready

Sunt furnizor de Cloud. Cum pot obține conformitatea GDPR?

Bart van Buitenen

Bart van Buitenen

 

Bart van Buitenen este managing partner al White Wire, o firmă de consultanță de tip boutique specializată în servicii de protecție a datelor pentru organizațiile de îngrijire a sănătății, IMM – uri și companii de tehnologie din întreaga UE.

 

 

Dacă sunteți un furnizor de Cloud, cu sau fără sediu în UE, este foarte probabil că o parte din datele pe care le prelucrați sunt pe teritoriu european sau privesc persoane care au un domiciliu stabil în UE, și atunci trebuie să vă aliniați la reglementările GDPR. Termenul specific care indică un furnizor care procesează date personale în numele unei organizații este cel de Procesator.

Până acum, o mare atenție se punea pe rolul de “Operator”, adică organizația care este responsabilă cu determinarea mijloacelor și scopurilor procesării, fără să se acorde o prea mare atenție rolului procesatorului. Și iată că față de legislația anterioară, GDPR schimbă multe lucruri în legătură cu obligațiile procesatorului, de exemplu în ceea ce privește răspunderea, responsabilitate și o serie de noi obligații. Iată câteva dintre cele mai importante aspecte pe care cred că furnizorii de Cloud ar trebui să le aibă în vedere, cu toată seriozitatea, până pe 25 mai 2018.

1. Acordurile de prelucrare a datelor

Operatorii sunt cei care trebuie să ofere instrucțiuni specifice procesatorilor, iar astfel de instrucțiuni trebuie să fie documentate în așa-numitele “Acorduri de prelucrare a datelor”. Astfel de acorduri nu sunt noi: ele au fost, de asemenea, impuse în temeiul legislației europene anterioare privind protecția datelor (Directiva 95/46 și, prin urmare, au devenit aplicabile prin legislația fiecărui stat membru), dar în practică acorduri corecte și concrete sunt destul de greu de găsit… Cele mai multe organizații nu au fost conștiente de cerința unor acorduri de procesare a datelor, iar pentru furnizorii de Cloud, acest lucru însemna, de obicei, mai multă muncă și responsabilități, fără prea multe avantaje în schimb.

Acest lucru s-a schimbat în GDPR: Articolul 28 menționează în mod specific acordurile de prelucrare a datelor și arată în detaliu ce ar trebui să includă. Spre deosebire de anii precedenți, furnizorii de Cloud au acum un stimulent clar pentru a încheia acorduri de prelucrare. Acordul trebuie să includă instrucțiunile pentru furnizorul de Cloud și, ca atare, devine un factor foarte important în stabilirea răspunderii. (Articolul 82, Alineatul 2).

Sfaturi:

  • Fiți proactivi, nu așteptați ca operatorul să va propună primul acordul de procesare a datelor! Astfel, veți avea posibilitatea de a vă propune propriul model de contract și, în același timp, veți arăta clientului că pentru dvs. nu există secrete în GDPR.

2. Subcontractorii

Acordurile de prelucrare a datelor trebuie să fie încheiate cu clienții dvs., dar furnizorii de Cloud au adesea proprii lor subcontractori. În lumea IT, utilizarea subcontractorilor este ceva normal, iar mulți subcontractori vor fi într-adevăr procesatori pentru furnizorul de Cloud. Din perspectiva clienților care folosesc Cloudul (operatorii), acești subcontractori sunt deci ”subprocesatori”. Un furnizor de Cloud trebuie să ceară permisiunea operatorului de a utiliza subprocesatori, ceea ce ar trebui să se regăsească și în acordul dvs. de procesare (a se vedea secțiunea 1). Utilizarea de subprocesatori poate fi acoperită printr-o permisiune generică sau o permisiune specifică pentru fiecare subprocesator. Procesatorul rămâne responsabil, astfel încât acordurile cu subprocesatorii trebuie să aibă un grad ridicat de încredere pe lista furnizorilor de Cloud.

Sfaturi:

  • Solicitarea unei permisiuni specifice poate fi un o provocare. Cereți o permisiune generică și oferiți clienților posibilitatea de a consulta oricând o listă completă de subprocesatori, de ex. prin publicarea acestei liste pe o pagină dedicată de pe site-ul dvs.

 3. Înregistrarea activităților de prelucrare

Fiecare operator trebuie să mențină o evidență a activităților de procesare: un instrument de evidență sau un document care detaliază diferitele activități de prelucrare a datelor cu caracter personal din cadrul organizației. O versiune mai puțin riguroasă a acestei evidențe trebuie să fie menținută de procesator, dar care totuși trebuie să includă toate activitățile de procesare derulate pentru clienții săi.

Sfaturi:

  • Crearea unei astfel de evidențe a activităților de procesare va oferi o cunoaștere valoroasă în identificarea datelor pe care le procesați și ar trebui să fie una dintre primele acțiuni într-un plan de implementare GDPR.
  • Organizațiile se pierd, uneori, în detalii; rețineți că GDPR nu vă cere să mapați fiecare câmp de date, este vorba despre evidența activităților care se mapează destul de strâns cu serviciile oferite clienților.
  • Nu păstrați un registru pentru fiecare client; doar asigurați-vă că puteți asocia clienții cu activitățile de procesare prin includerea serviciilor pe care le oferiți pentru fiecare client în sistemul dvs. CRM sau în baza de date cu clienții.

4.Transferuri în afara UE

Atunci când datele cu caracter personal ale clienților din UE sunt transferate în țări din afara Uniunii este important ca datele să beneficieze de aceleași sisteme de protecție și garanții ca și în interiorul granițelor UE.

Sfaturi: Pentru a facilita astfel de transferuri, GDPR include mai multe mecanisme care fac acest lucru posibil, dintre care cele mai răspândite sunt:

  • Decizii de adecvare: atunci când UE a stabilit că o țară din afara UE (sau un acord specific cu o astfel de țară, de ex. Privacy Shield cu SUA) oferă o protecție adecvată.
  • Reguli corporative obligatorii (BCR – Binding Corporate Rules): multe companii multinaționale au subsidiare în țări din afara UE. Documentația BCR asociată unei organizații trebuie să se asigure că un transfer de date personale în afara UE, dar în cadrul aceleiași organizații, oferă aceleași garanții de protecție. Autoritățile de protecție a datelor trebuie să valideze BCR înainte ca prevederile să fie aplicate.
  • Clauze contractuale standard (SCC – Standard Contratual Clauses): sunt contracte predefinite, validate de Comisia Europeană, ce conțin toate garanțiile de protecție necesare pentru transferurile în afara UE.

5. Securitatea informațiilor sau protecția datelor

Securitatea informațiilor și protecția nu sunt aceleași. Securitatea informațiilor se referă la toate informațiile, care includ datele cu caracter personal. Protecția datelor se referă la toate aspectele legate de prelucrarea datelor cu caracter personal, care includ securizarea informațiilor. Deci, în același timp există o suprapunere clară, dar și o diferență semnificativă.

Acestea fiind spuse, asigurarea informațiilor împotriva accesului neautorizat, pierderii sau distrugerii este un aspect foarte important în cadrul GDPR. Pe scurt, acest aspect al GDPR poate fi rezumat prin menținerea confidențialității, integrității și disponibilității (cunoscută și sub numele de CIA) datelor personale pe care un furnizor de Cloud le procesează. Rețineți că orice încălcare a acestor principii ale CIA (de exemplu, încălcări ale datelor) va trebui să ducă la o notificare către operator, care, la rândul său, va trebui să notifice autoritățile de protecție a datelor și persoanele vizate, dacă riscurile potențiale ale încălcării sunt destul de ridicate.

Sfaturi:

  • Alinierea inițiativelor GDPR la guvernarea securității informațiilor. De exemplu, standardul ISO27001 poate fi combinat cu principiile de protecție a datelor pentru a oferi un cadru care să abordeze atât securitatea informațiilor, cât și protecția datelor.
  • Gândiți și documentați o procedură de notificare înainte de a avea practic nevoie de ea.
  • Examinați necesitatea de numi un ofițer de protecție a datelor (DPO). Chiar și atunci când clienții individuali nu sunt obligați să numească unul, este posibil ca un furnizor de Cloud să fie nevoit să numească unul.

6. Obligația de asistare și notificare

Procesatorii sunt obligați să asiste sau să notifice operatorii atunci când au informații despre faptul că un operator trebuie să îndeplinească cerințele GDPR, cum ar fi executarea DPIA sau notificările de încălcare a datelor menționate anterior.

Sfaturi:

  • Documentați (de exemplu, în contractul de procesare sau în alt contract) cum trebuie să aibă loc asistența: cum ar trebui să se facă o cerere, în ce termen va răspunde furnizorul de Cloud și dacă există costuri asociate asistenței.

7. Fiecare procesator este, de asemenea, un operator

Rețineți că este foarte probabil ca furnizorii de Cloud să fie în același timp și procesatori și operatori de date în nume propriu. Unele departamente precum HR, Furnizori, Clienți pot efectua prelucrări de date cu caracter personal, caz în care trebuie să se supună acelorași principii ale GDPR.

Sfaturi:

  • Păstrați înregistrări separate privind activitățile de procesare (vezi secțiunea 3) pentru activitățile de operator și procesator.

 

Acest articol a fost publicat in primul Catalog GDPR Ready editat in Romania. Puteti vedea versiunea online AICI. Catalog GDPR Ready, pag. 50-53, Agora Group & cloud☁mania, Bucuresti, Octombrie 2017

 

Sunteți pregătiți pentru GDPR? Noi suntem pregătiți să vă ajutăm

Acest articol a fost publicat de compania Omega Trust îCatalogul GDPR Ready, Octombrie 2017

Ce este GDPR? Regulamentul European privind Protecția Datelor (GDPR) stabilește principii și măsuri de protecție a datelor cu caracter personal ale cetăţenilor Uniunii Europene pentru companiile și instituțiile care procesează astfel de date. GDPR reprezintă challenge-ul companiilor publice și private din următoarele 12 luni și este prima reglementare completă cu privire la protecția datelor emisă în ultimii 20 de ani care înlocuiește cadrul legislativ actual (Directiva 95/46/CE).

Pentru cine se aplică? Orice activitate instituțională desfășurată la nivelul Uniunii Europene ce procesează date cu caracter personal cu privire la angajați, clienți sau oricare alte entități cu care interacționează trebuie să se alinieze la cerințele GDPR.

Așadar, orice instituție publică sau privată de pe teritoriul Uniunii Europene sau din afara teritoriului Uniunii Europene (dacă manipulează date cu caracter personal ale unor cetățeni ai Uniunii Europene) care colectează, prelucrează și/sau stochează date cu caracter personal trebuie să răspundă prevederilor GDPR.

Ce reglementări aduce GDPR? Dreptul de a fi uitat și dreptul la portabilitatea datelor sunt printre principalele noi drepturi introduse ce vor impune prestatorilor de servicii să știe exact unde se află datele în sistemele lor și să ia măsuri privind ștergerea acestor date dacă este solicitat.

Nevoia de responsabil pentru protecția datelor GDPR mandatează ca toate organismele din sectorul public și cele implicate în monitorizarea sistematică și regulată a persoanelor vizate la scară largă sau în prelucrarea categoriilor speciale de date, vor trebui să angajeze un Responsabil cu Protecția Datelor (DPO).

Operatorii trebuie să implementeze măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, incluzând printre altele, după caz:

  • pseudonimizarea și criptarea datelor
  • capacitatea de a asigura confidențialitatea,
  • integritatea, disponibilitatea și rezistența sistemelor și serviciilor de prelucrare;
  • capacitatea de a restabili disponibilitatea datelor și accesul la acestea în timp util în cazul unui incident de natură fizică sau tehnică;
  • un proces pentru testarea, evaluarea și aprecierea periodica a eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării

Efectele neaplicării Neaplicarea prevederilor GDPR coroborată cu apariția unor incidente de securitate de natură să afecteze datele cu caracter personal poate atrage pentru instituții amenzi însemnate de până la 20 de milioane de euro sau 4% din cifra de afaceri anuală globală (în funcție de impactul incidentului produs).

Termen de implementare Regulamentul intră in vigoare la data de 25 mai 2018, dată până la care toate entitățile vizate de către GDPR trebuie să pună în aplicare prevederile specifice.

Cum putem sprijini procesul de aliniere la GDPR?

Oferim întregul suport necesar înțelegerii în primă etapă a prevederilor GDPR, a modului în care acestea trebuie transpuse și, ulterior, prin evaluarea modului în care se realizează prelucrarea datelor în companie și identificarea punctelor slabe, respectiv, prin asistarea selectării și implementării măsurilor tehnice și operaționale în cadrul organizației.

Serviciile noastre de consultanță pentru alinierea la GDPR se concentrează în jurul următoarelor module principale:

  • Modulul 1 – Cursuri de introducere și instruire, al căror scop este acela de a prezenta organizației și personalului component cerințele GDPR și modalitatea în care aceste cerințe trebuie puse în aplicare.
  • Modulul 2 – Analiza gap, al cărei scop este realizarea unei evaluari asupra conformității organizației și a sistemului de controale implementat în prezent în raport cu cerințele tehnice și operaționale specifice GDPR în urma căreia se va elabora un plan de acțiuni detaliat pentru corectarea acestor diferențe și, implicit, alinierea organizației la GDPR.
  • Modulul 3 – Analiza modelului de date utiliza, în cadrul căreia se analizează în detaliu impactul GDPR asupra organizației prin identificarea și punerea în evidență a datelor cu caracter personal procesate de organizație. Ca parte a acestei analize, urmărim identificarea activităților, proceselor și fluxurilor operaționale care colectează, prelucrează și stochează datele cu caracter personal. La finalul acestei analize, vom putea contura o imagine asupra datelor cu caracter personal, a tipologiei acestora și a dispunerii lor în cadrul organizației pentru a asigura o implementare uniformă și eficientă a măsurilor tehnice și organizaționale ale GDPR.
  • Modulul 4 – Definirea politicii de prelucrare a datelor cu caracter personal. În cadrul acestei etape, avem în vedere elaborarea pe seama informațiilor colectate în etapele anterioare și a prevederilor GDPR, politica de prelucrare a datelor cu caracter personal în cadrul organizației.
  • Modulul 5 – Implementarea politicilor și procedurilor GDPR. Avem în vedere suportul pentru implementarea într-o manieră uniformă și eficientă a politicilor și procedurilor privind managementul datelor cu caracter personal în cadrul organizației pentru o corectă aliniere la cerințele GDPR.
  • Modulul 6 – Implementarea sistemelor IT de securitate necesare. Putem răspunde necesităților organizației cu privire la sistemele IT de securitate (de exemplu: sisteme de detecție și prevenție a intruziunilor, sisteme de prevenire a scurgerii datelor etc.) prin furnizarea și implementarea unor soluții IT eficiente și potrivite pentru dimensiunea și particularitățile organizației.
  • Modulul 7 – Asigurarea poziției de Responsabil cu Protecția Datelor. Asigurăm experți calificați cu competențe în domeniul protecției datelor pentru îndeplinirea rolului de Responsabil cu Protecția Datelor și execuția responsabilităților specifice în cadrul organizației.

Date de contact: Cosmin Măcăneață, Managing Partner,

 cosmin.macaneata@omega-trust.ro, 0722812812

 

Info World – „Ready” pentru implementarea GDPR în domeniul medical

Cu peste 17 ani de experiență exclusivă în domeniul eHealth, atât în plan naţional, cât şi  internaţional, compania Info World are ca misiune protecţia şi securitatea datelor medicale. Acest regulament european şi, implicit adoptarea lui, vin de fapt să confirme ceea ce noi avem deja implementat în produsele şi serviciile noastre dedicate zonei medicale. 

Pe scurt, GDPR îşi propune să ofere cetățenilor Uniunii Europene controlul asupra datelor lor personale, iar pentru îndeplinirea acestui scop enunță anumite principii, unele cu impact asupra sistemului medical. În primul rând, pentru datele colectate şi pentru scopul utilizării acestora trebuie să existe un consimțământ valid, explicit din partea cetățeanului. Există totuși o serie de excepții, cum ar fi furnizarea de îngrijiri medicale sau sociale, tratament în scopul protejării intereselor vitale ale persoanei vizate.

O noutate care va avea impact major asupra sistemului medical şi chiar asupra cetăţeanului este reprezentată de oferirea posibilităţii ca persoana vizată să îşi administreze singură dosarul medical. Apare astfel dreptul persoanei vizate de a-şi transfera datele sale personale dintr-un sistem electronic de procesare în altul, fără a fi împiedicat de operatorul de date să facă acest lucru. Datele furnizate de operatorul de date trebuie să fie într-un format electronic standard, deschis şi utilizat în mod obișnuit.

În ceea ce priveşte domeniul sănătăţii, cel căruia Info World îi este integral dedicat, articolul 15 defineşte faptul că pacientul are dreptul să obţină de la operatorul de date confirmarea că datele sale personale sunt prelucrate sau nu, şi după caz, accesul la datele personale, precum şi o copie a acestor date care fac obiectul unei prelucrări. În cazul în care persoana vizată depune cererea prin mijloace electronice şi nu solicită altfel, informaţiile pot fi furnizate într-o formă electronică utilizată în mod obişnuit, ceea ce înseamnă un fişier uzual, de tip PDF sau alt format de uz general. Acest aspect permite persoanelor fizice să obţină şi să reutilizeze datele lor personale şi medicale în diverse scopuri, cum ar fi: a doua opinie medicală, schimbarea furnizorilor de asistenţă medicală, păstrarea datelor intr-un sistem de tip dosar personal de sănătate. În acest mod, persoanele vizate pot să copieze sau să transfere cu uşurinţă informaţiile dintr-un sistem informatic în altul.

Portabilitatea datelor se aplică acelor date cu caracter personal referitoare la persoana vizată şi anume:

  • Sunt procesate automat – chiar dacă pacientul beneficiază de dreptul de a-şi accesa toate înregistrările medicale, portabilitatea datelor este limitată doar la datele colectate în format electronic;
  • Sunt furnizate de persoana vizată – informaţii funizate verbal sau scris de pacient şi/sau rezultatul examinărilor, analizelor de laborator, investigaţii imagistice, etc.;
  • Sunt procesate pe baza consimţământului persoanei vizate sau pentru executarea unui contract – există excepţii care pot scoate datele medicale de sub dreptul de portabilitate, dar ca principiu general, orice procesare sau schimb de date care necesită consimţământul pacientului intră sub incidenta dreptului de portabilitate a datelor.

Considerăm că dreptul la portabilitatea datelor va genera un impact major asupra întregii activităţi medicale şi în special eHealth. Operatorii de date vor trebui să garanteze că datele cu caracter personal sunt transmise într-un format electronic standard, deschis şi utilizat în mod obişnuit şi vor trebui să asigure interoperabilitatea formatului de date în cazul unei solicitări de portabilitate a datelor.

Nivelul de cooperare dintre industria de eHealth şi asociaţiile profesionale va creşte datorită necesităţii de a elabora împreună un set de standarde şi formate de interoperabilitate pentru a îndeplini cerinţele dreptului la portabilitatea datelor.

Din punct de vedere tehnic, punerea la dispoziţia persoanelor vizate a datelor cu caracter personal se va putea face fie printr-un mecanism de transmitere directă a setului global de date al persoanei vizate, fie prin utilizarea unui instrument automatizat de extragere a datelor relevante.

Costurile generate de implementarea modificărilor nu vor putea fi imputate persoanelor vizate şi nici nu vor putea fi folosite ca justificare a refuzului de a răspunde solicitărilor de portabilitate a datelor. Desigur că intrarea în vigoare a acestui regulament, începând cu 25 mai 2018, presupune o pregătire amplă a infrastructurii la nivel gurvernamental şi privat în ceea ce priveşte furnizorii de servicii şi produse în domeniul eHealth.

«Info World „ready” înseamnă foarte mult. Dincolo de Privacy by design & Privacy by default, de gradul înalt de conformitate cu toate prevederile regulamentului european, de securitatea datelor şi de garanţia unor servicii care să onoreze experienta şi reputaţia consolidată în peste 17 de ani de actitivitate, Info World „ready” înseamnă investiţii, inovaţie, dialog şi comunicare cu toţi factorii implicaţi în proces, reacţie rapidă şi garanţia serviciilor şi aplicaţiilor la cele mai înalte standarde.» – Daniel Nistor, CEO Info World

Articol publicat de compania Info World în Catalogul GDPR Ready, Octombrie 2017

There are three key areas cloud providers need to address the needs of GDPR

One of the most discussed problems concerning GDPR issues is associated with the Cloud providers action plan elements in order to achieve GDPR compliance. The critical elements are associated with personal data transparency, data security, physical location identification, physical servers storage, or international data transfers. Working for GDPR Ready Catalog content, I asked few experts in Cloud and GDPR to share with us their recommendations for Cloud services providers.

Here we have the valuable contribution of Ian Moyse, one of the most active Cloud specialist in social media, and recognised influencers in Cloud Computing social ecosystem:

Ian Moyse

Firstly, cloud providers need to take heed that they are now also on the hook for GDPR legal liability as a Data Processor. Data laws previously put the responsibility to the Data Controller (the customer), but this changes in GDPR.

Secondly, providers also need to ensure their own GDPR compliance as customers will expect and need supply chains of theirs to comply with GDPR in its fullest. This will be needed to ensure they are only sharing any data they hold with GDPR compliant partners and thus protecting their own GDPR processes and compliance.

Cloud providers will also need to become more transparent, as customers become even more diligent around data sovereignty, security, data storage and the controls and destruction of data they have responsibility for.

Thirdly, cloud providers are going to need to ensure their service offering itself, when used by a customer, allows the customer to remain compliant. For example, if your solution stores customer data in it, providing the ability to remove data in full for ‘Right to be Forgotten’ compliance.

You cannot get your product or service GDPR certified, but you can ensure that its use allows a customer to meet GDPR requirements and not hinder them.

Ian Moyse,

Sales Director Natterbox, Board Member Cloud Industry Forum

The Romanian version of this article was published in GDPR Ready Catalog, Bucharest, November 2017 

ANSSI implicată activ în conștientizarea și promovarea conformității GDPR

Asociația Națională pentru Securitatea Sistemelor Informatice (ANSSI) a fost înființată în anul 2012 ca un liant între sectorul public și mediul de afaceri, pentru promovarea practicilor de succes și facilitarea unei schimbări culturale în domeniul securității informației. Identificarea și sesizarea factorilor cu competențe administrative în cazul eventualelor deficiențe de pe piața IT, precum și pentru coagularea unor forme de parteneriat public-privat care să conducă la creșterea eficienței si operaționalității sistemelor informatice implementate în România au fost preocupări constante ale asociației.

ANSSI este o organizație neguvernamentală, nonprofit, profesională și independentă. Ea reunește 40 de membri, companii cu aproximativ 20000 de angajați, reprezentând 25% din totalul salariaților din industria privată de IT și comunicații. Membrii ANSSI, prin spectrul larg și diversitatea de capabilități tehnico-profesionale deținute, formează un grup reprezentativ la nivel sectorial, ale cărui teme de interes reflectă fidel preocupările generale ale domeniului.

ANSSI s-a implicat activ, organizând singur sau împreună cu alte autorități, instituții sau ambasade, conferințe și simpozioane naționale dar și internaționale, în domenii conexe, cum ar fi comunicațiile electronice, soluțiile și sistemele de e-guvernare și e-administrație, accesarea instrumentelor structurale, dezvoltarea profesională sau standardele ocupaționale, în care componenta de securitate tehnologică și de infrastructură IT au constituit preocuparea centrală.

Toma Cîmpeanu, CEO ANSSI

 

„În ultima perioadă ANSSI a avut o implicare activă în evenimentele și inițiativele legate de noul Regulament European de Protecție a Datelor Personale. Participarea la acest proiect de realizare a primului Catalog dedicat ofertelor GDPR din România prin materiale pregătite de câțiva dintre membrii noștri este un exemplu elocvent al implicării noastre în inițiativele comunității profesionale din România,” Toma Cîmpeanu, Director Executiv Asociația Națională pentru Securitatea Sistemelor Informatice.

 

 

În continuare prezentăm opiniile și recomandările făcute de câțiva dintre membrii ANSSI.

 Cât de pregătiți sunteți pentru RGPD?

de Diana Comanici

Sunteți operator de date/persoană împuternicită de operator care procesează date ale cetățenilor din UE? Aveți un program implementat pentru protecția datelor și puteți dovedi alinierea la cerințele RGPD? Integrați cerințele privind protecția datelor și a confidențialității în crearea proceselor de business noi sau în dezvoltarea de sisteme/ aplicații noi? Realizați o monitorizare sistematică pe scară largă (inclusiv a datelor angajaților)? Procesați volume mari de date personale sensibile?

Cum veți trata „dreptul de a fi uitat”, dreptul la portabilitatea datelor și dreptul de opoziție la crearea de profiluri ale persoanelor vizate? Sunteți în măsură să notificați ANSPDCP în cel mult 72 de ore de la producerea unei potențiale încălcări a securității datelor cu caracter personal?

Indiferent în ce stadiu vă aflați, există câțiva pași de urmat pentru conformitatea cu GDPR. Pentru a putea fi aliniați la cerințele GDPR este vital să identificați care sunt toate datele cu caracter personal pe care le procesați în cadrul organizației, unde se află acestea, de unde şi până unde circulă şi care sunt dispozitivele de Securitate care controlează/ filtrează accesul la aceste date, pe toata durata lor de viață. Ca principale etape în procesul de aliniere la RGPD vă recomandăm:

  • GDPR Quick Scan – este o evaluare rapidă/ workshop cu părțile cheie interesate de identificarea diferențelor fluxurilor principale, estimării de efort și durata de implementare;
  • Analiză – Evaluarea completa a conformității cu cerințele GDPR – este o evaluare detaliată a conformității și maturității;
  • Implementare – Implementarea Programului de Protecție a Datelor – este un program holistic pentru realizarea conformității cu GDPR.

Între activitățile principale ale acestor etape se numără și realizarea Evaluării Impactului asupra Securității Datelor (DPIA) si Inventarul Datelor cu Caracter Personal (un inventar al datelor si fluxurilor de date din cadrul organizației).

Diana COMANICI este Director Executiv la compania Smart Factor. diana.comanici@smartfactor.ro

 

GDPR o bună ocazie pentru eficientizarea activității, nu o presiune în plus

de Maria-Cristina Murgoci

25 mai 2018 este termenul-limită pentru intrarea în vigoare a noilor reglementări din Regulamentul General al Uniunii Europene cu privire la Protecția Datelor. În această perioadă premergătoare, companiile care știu să-și valorifice resursele și competențele, vor pune mai mult și mai pregnant accentul pe modalitățile de colectare, gestionare și asigurare a confidențialității pentru datele personale de pe platformele informatice deținute.

Dacă în trecut acest aspect a fost tratat cu superficialitate de către unele companii sau instituții, acum este momentul ca fiecare deținător de date cu caracter sensibil, de la mic la mare, să pună în funcțiune un mecanism intern de bună practică și conformitate cu reglementările GDPR. Practic, tot ceea ce nu s-a putut realiza din lipsă de informații, resurse sau termene-limită, are acum oportunitatea celor mai bune implementări, nu atât sub imperiul amenzilor ce se vehiculează în caz de non-conformitate, ci mai ales din dorința firească de a pune lupa pe limitări și de a găsi soluții salvatoare, de care să beneficieze întreaga organizație, nu doar departamentele care sunt direct implicate în operațiunile cu date ce au caracter sensibil.

Companiile care vor reuși să privească reglementările GDPR drept un prilej pentru eficientizarea activităților, nu doar ca pe o presiune în plus, se vor putea deschide și la întâmpinarea oportunităților care derivă din buna lor implementare. Într-adevăr sunt prevederi cu caracter obligatoriu, care presupun resurse și investiții bănești consistente. Însă, acestea vin și cu beneficii pentru mediul de afaceri, printre care amintim simplificarea și armonizarea la nivel juridic și administrativ a protecției datelor în Uniunea Europeană, precum și stimularea inovației pentru tehnologiile care asigură stocarea și protecția datelor.

Departe de a fi doar un proces costisitor, asigurarea conformității cu noile măsuri GDPR este o etapă esențială de creștere și inovație pentru companiile care pot fructifica la maximum era digitală de astăzi.

Maria-Cristina MURGOCI este Marketing Manager la compania Q-East Software. Prin soluțiile de management și Securitate a sistemelor informatice furnizate, experții Q-East Software asigură companiilor și instituțiilor competențele necesare unor implementări eficiente pentru procesele de conformitate cu reglementările GDPR.

Noul regulament va face companiile mai responsabile pentru datele din posesia lor

de Florin Răducu

Florin RĂDUCU, director SmartFeel Solutions

Informația a devenit accesibilă oricui. Vrei să o cauți pe Internet? E gratis… Vrei cont de e-mail? Gratis… Instant messaging? Gratis. Rețele de socializare? Gratis. Puține lucruri mai costă bani pe Internet. Și totuși companiile care oferă aceste servicii sunt printre cele mai bogate de pe pământ… Cum își fac banii? Cu noi sau, mai degrabă, cu datele noastre… E mai rentabil să colecteze și să furnizeze terților informații despre tine, decât să îți vândă servicii.

Multe companii au profitat de lejeritatea cu care ne oferim datele personale pentru a câștiga bani, cote de piață și a construi noi modele de business. Ne expunem viața din ce în ce mai mult online și asta ne face vulnerabili. Astăzi criminalitatea cibernetică crește cu 38% în fiecare an, devenind a 2-a cea mai răspândită infracțiune economică.

Noua legislație GDPR și, în special cuantumul amenzilor stabilite prin acest regulament vor face companiile să fie mai responsabile cu datele personale din posesia lor. Un milion de conturi hackuite nu vor mai reprezenta o simplă statistică, atât timp cât pierderea sau folosirea abuzivă a datelor unei singure persoane pot duce la închiderea businessului. Consecința: tehnologiile moderne de cyber security nu vor mai fi un „nice to have” ci un „must have”.

Statistic, se dezvoltă un milion de noi feluri de malware în fiecare zi. Astăzi, timpul mediu în care un malware stă nedetectat într-o organizație este de 201 zile. Totuși, cu tehnologii moderne de EDR îl putem detecta în câteva secunde. În acest context, apare necesitatea unei schimbări a mentalității în privința modalității de apărare la un atac cibernetic. Organizațiile vor fi nevoite să facă trecerea de la o apărare cibernetică statică – de așteptare, la una dinamică – de prevenție, cu soluții de cyber security și cyber threat intelligence care le vor spune dacă sunt vizate de hackeri, modul în care vor fi atacate, momentul și durata atacului.

Florin RĂDUCU este Director General în cadrul companiei SmartFeel Solutions ce oferă soluții de securitate cibernetică și cyber threat intelligence sub brandul Cyberus. florin.raducu@cyberus.ro

Aceste materiale au fost puse la dispoziție de ANSSI și partenerii săi pentru Catalogul GDPR Ready, aparut în Octombrie 2017.

Conferința de Cloud: haideți să vorbim despre adopție, dezvoltare, migrare, business continuity și GDPR

Suntem martorii unei dezvoltări fără precedent a industriei de Cloud. Utilizarea aplicațiilor SaaS și a platformelor de dezvoltare în Cloud au un rol tot mai determinant în revoluția digitală și transformarea proceselor de business de astăzi. Conform Forrester, piața globală de Cloud Public va ajunge în 2018 la peste 178 miliarde de dolari, cu o creștere anuală de peste 22%. Platformele de Cloud Public – segmentul cu cea mai rapidă creștere – vor genera în 2018 peste 44 miliarde de dolari.  Peste jumătate dintre marile companii vor adopta platforme de Cloud Public până la sfârșitul acestui an.

Și totuși mai există multe reticențe legate de adopția modelelor Cloud. Este Cloudul util? Cum putem migra la o platformă Cloud? Cum ne poate ajuta o arhitectură Cloud la protecția datelor personale în contextul adopției GDPR? Ce strategii de migrare să alegem? Cum putem administra rețelele virtuale și cum putem asigura continuitatea afacerii?

La aceste probleme puteți afla răspunsuri din sursele cele mai competente, participând la Conferința de Cloud, organizată de compania Avaelgo și partenerii săi pe data de 23 Noiembrie la Hotelul Pullman World Trade Center din București.  După cuvântările de deschidere, conferința se va desfășura în două secțiuni paralele, ce vor reuni 11 sesiuni tehnice și de business, susținute de 16 experți, dintre care 4 Microsoft Most Valuable Professionals (MVPs).

În sesiunea de business se va vorbi despre adopția accelerată a soluțiilor Cloud și monitorizarea consumului acestora, definirea strategiilor de migrare a soluțiilor și a organizațiilor în Azure, migrarea soluțiilor în Microsoft Azure cu Lift & Shift, Microsoft Azure ca și soluție pentru Disaster Recovery, precum și meridianele Cloud – Rețele virtuale și composite.

Cum adoptarea cadrului GDPR a devenit un subiect extrem de fierbinte, în special în industria de Cloud, conferința va avea două sesiuni dedicate acestui subiect: un Open Panel la care participă o serie de invitați speciali, precum și o prezentre PwC despre principalele provocări GDPR identificate în România.

Secțiunea tehnică va reuni o serie întreagă de prezentări ce abordează Soluțiile  arhitecturale de tip Azure IaaS și PaaS, facilitățile de automatizare a dezvoltării integrate de plarforma Azure, funcționalitățile Site Recovery & Backup oferte de Microsoft Azure, de ce și cum se face protecția datelor în Cloud, precum și ” To Cloud or not to Cloud?” – Un ghid practic pentru adoptarea noilor tehnologii de comunicații.

Inițiatorul și organizatorul acestei Conferințe este compania Avaelgo, certificată Microsoft Gold Cloud Platform, Silver Cloud Productivity și Silver Application Development. Avaelgo oferă servicii complete ce înclud strategii de adopție și migrare Cloud, Managed Services, Securitate IT și instruire. Partenerii Avaelgo la Conferința de Cloud sunt: Microsoft, Comparex, ALEF Distribution, PwC, Veeam, Yalos Solutions și AudioCodecs.  cloud☁mania – platformă de knowledge și servicii pentru Cloud și business transformation este partener media la această conferință.

  • Pentru informații complete despre eveniment, agendă și speakeri, consultați site-ul Conferinta de Cloud.
  • Pentru înregistrare la Conferința de Cloud faceți click AICI.

GDPR prefigurează un viitor în care informația devine critică pentru supraviețuirea noastră

Răzvan Savu, Consultant IDC Romania

 

 

Răzvan Savu, Consultant IDC Romania

Informații despre tine. Colectate, stocate și procesate în mod automat de către algoritmi din ce în ce mai sofisticați. Informații pe care nu știai că le oferi. Informații pe care nu le puteai bănui că există. Informații despre tine, în feluri în care nu te-ai privit niciodată.

 

Strategiile pe termen scurt și mediu ale companiilor impun un ritm de creștere anuală, indiferent de industria pe care o observăm. Într-o lume în care nevoile de bază vor fi satisfăcute, consumul poate crește doar până într-un anumit punct, după care nu-i mai rămâne decât să devină cvasi-constant. Construcția economică a viitorului nu are alte opțiuni.

Oamenii o să-și dorească în fiecare an noi dispozitive, haine sau mașini, dar nevoi care să determine piețe uriașe nu se văd la orizont. Creșterea nu o să mai poată interveni decât în spațiul personal, în cel al nevoilor individuale ale fiecăruia dintre noi. Scopul este crearea unei experiențe personalizate în care produsul întrupează însăși macheta dorințelor și nevoilor noastre. Pentru asta, companiile se bazează pe datele pe care le producem și care construiesc mai mult decât o amprentă digitală individuală. Companiile extrapolează tipuri de comportament și opiniile personale din interacțiunea noastră cu lumea digitală, ajutându-le să se apropie constant de motivația deciziilor de a cumpăra ceva.

Regulamentul General pentru Protecția Datelor cu Caracter Personal prefigurează un viitor în care informația devine critică pentru supraviețuirea noastră. Într-o societate marcată de atacuri cibernetice și teroriste, cu cât entitățile colectează și distribuie mai multe date despre oameni, cu atât expunerea potențială crește exponențial. Noul motor al economiei globale poartă un vector de risc colosal, cu efecte în percepție, economie și chiar în siguranța fizică a omenirii.

Fiecare capitol din GDPR a fost disecat în conferințe, studii și articole online. Frica, confuzia și incertitudinea domină în mare parte atât mesajele furnizorilor, cât și acțiunile celor ce au de implementat dispozițiile regulamentului. Procesul se va clarifica cel mai probabil după o perioadă de ajustare a pieței, care nu se poate produce înainte de termenul limită fatidic pomenit în toate comunicările pe acest subiect.

Noul Regulament nu va putea fi considerat implementat prin redactarea maculaturii de către departamentul de QA. Nu există un panaceu care să fie înghițit de către organizații și acestea să se preschimbe în entități „GDPR-ready”, „GDPR-compliant” sau măcar „GDPR-aware”. Soluția nu se găsește în tehnologie sau procese.

Noul Regulament vestește o schimbare fundamentală a modului în care ne desfășurăm afacerile și presupune, contra-intuitiv, o schimbare asumată la nivel individual de fiecare dintre noi, respectând rolul informației într-un ecosistem global. Noul regulament cere ca indiferent de mizele financiare, drepturile fundamentale ale omului să fie respectate. Noul regulament cere ca fiecare dintre cetățenii europeni să ne comportăm responsabil cu privire la informațiile cu caracter confidențial, fie că suntem consumatori sau furnizori de astfel de date. Noul regulament cere să acționăm principial, nu hazardat, când luăm decizii pentru viitorul societății noastre.

Făcând un pas în spate, GDPR face parte dintr-o suită de legi introduse de Uniunea Europeană și de Comisia Europeană pentru mijlocul anului 2018 care vor să aducă mai aproape de realitate o Europă unită prin diversitate. Oamenii, mărfurile și – cel mai important aspect economic într-o eră digitală – informația, vor circula liber între statele membre, accelerând procesul inovativ, fără a uita însă de siguranța europenilor.

Scopul este catapultarea „bătrânului continent” în vârful jucătorilor globali de tehnologie pe o piață dominată în prezent de Vest și Est, mizând pe furnizarea unui cadru legal, onest, transparent (lawfullness, fairness and transparency). Companiile și statele pot folosi această oportunitate pentru a găsi motive să se ridice împotriva birocrației europene excesive și impunerilor de legi. Totodată, aceleași companii și state pot recunoaște în GDPR o șansă de a crea servicii și produse pentru întreaga Europă, având posibilitatea reală de a accesa piețe de desfacere inaccesibile până atunci. Pot face asta pornind de la principiile unei deschideri sigure a datelor, diminuând semnificativ riscurile unei expuneri de securitate, care afectează în final poziția economică a Europei în contextul digital-global.

Puse în acest context mai larg, mișcările UE par să se înscrie într-o strategie pe termen lung a asigurării relevanței la nivel mondial într-un viitor economic preponderent tehnologic. Pășind într-o lume digitală, sunt puțini cei care au îndrăzneala bezmetică să declare cu certitudine ce ne așteaptă, la nivel de cetățeni, angajați sau simpli indivizi. Indiferent de cine vom fi în viitor, principiile pe baza cărora vom acționa încep să fie scrise astăzi, învățând din greșelile trecutului.

IDC este compania cu cea mai lungă tradiție în analiza piețelor de tehnologie (IT&C), fiind prezentă inclusiv pe piața din România de 15 ani. Din poziția de observatori și mediatori ai pieței de tehnologie, experții IDC au acumulat experiența ciclicității dinamicii IT&C, înțelegând aspectele esențiale care determină succesul proiectelor ce se află întotdeauna la limita dintre tehnică și omenesc. IDC ajută dintr-o perspectivă independentă de industrie companiile ce achiziționează IT&C, decelând aspectele fundamentale pentru direcția strategică într-un univers al informațiilor într-o continuă expansiune.

Articol publicat în Catalogul GDPR Ready, Octombrie 2017

Cum să alegi inteligent în noua lume a GDPR-ului

Acest articol a fost publicat de Star Storage în Catalogul GDPR Ready, Octombrie 2017

Conformitatea cu reglementările impuse de Regulamentul General privind Protecția Datelor (GDPR) adoptat la nivelul Uniunii Europene in aprilie 2016 şi aplicabil din mai 2018 trebuie să reprezinte mai mult decât o nouă căsuță de bifat. Implementarea corectă a sistemelor și a procese lor solicitate de GDPR va ajuta organizațiile să evite penalizări potențiale semnificative, de până la 4% din cifra de afaceri globală, dar va fi de asemenea și o oportunitate pentru creșterea eficienței întregii afaceri.

Cu toate că suntem asaltați de o cantitate imensă de conținut pe această temă lucrurile sunt pe departe de a fi clare și încă planează o stare de confuzie în ceea ce privește soluțiile care pot ajuta la respectarea reglementărilor destul de stricte ale GDPR.

10 întrebări pe care să le ai în vedere când îți alegi furnizorul soluției tale de GDPR

1.Care sunt principalele provocări pentru a construi o politică proprie de gestionare a informației conformă cu GDPR? Câteva dintre provocările cheie care trebuie luate în considerare sunt:

  • Afectarea performanței datorată creșterii volumului de informații (număr, mărime, retenție, tipurile de documente care trebuie administrate);
  • Conținutul nestructurat – care reprezintă mai mult de 70% din volumul total de informații;
  • Diferite formate și sisteme – informații utile stocate într-o multitudine de sisteme (ERP, CRM,
  • Document Management, aplicații de business etc.) și în formate diferite;
  • Dispersia geografică – informații utile și sensibile stocate în diverse locații fizice și logice.

2.Organizația ta și potențialul furnizor înțeleg importanța metadatelor? Adevărul este că nu există conținut nestructurat ci doar conținut fără metadate. iar fără metadate, conținutul este o aglomerație de „ceva nediferențiat” care așteaptă să fie administrat. Metadatele sunt cheia, iar principalele direcții vizează:

  • Implementarea schemelor de metadate – definirea aspectelor relevante pentru diferite obiective specifice ale organizației tale;
  • Transformarea conținutului nestructurat în conținut valoros – prin tehnologii precum OCR (recunoașterea optică a caracterelor), ICR (recunoașterea inteligentă a caracterelor), „speech-to-text” și alte tehnologii care adresează extragerea de conținut.

3.Cum poate asigura soluția răspunsul prompt și eficient la solicitările de acces la date (DSAR)? Gestionarea corectă a metadatelor permite identificarea datelor și facilitează identificarea informațiilor corecte și relevante de către ofițerul de conformitate a datelor. Ai nevoie de o soluție care să ofere căutare avansată bazată pe metadate (șabloane de căutare, subscripții la șabloane de căutare, conceptul de „search in search”). Dar metadatele nu sunt suficiente – o căutare completă în text trebuie să fie rulată de mai multe ori atunci când conținutul sau metadatele sunt ascunse în documentele nestructurate. Pe lângă funcționalitățile de căutare trebuie avută în vedere și modalitatea în care se face navigarea și afișarea informațiilor căutate astfel încât utilizatorul să ajungă cât mai ușor la conținutul potrivit.

4.Cum permiți partajarea conținutului securizat între clienți/ parteneri și consultanți externi? Menținerea unui echilibru între acces (necesitatea de a cunoaște) și protecție / conformitate nu este ușoară. Trebuie luat în considerare schimbul de informații în afara companiei fără a pierde controlul sau a modifica locația informațiilor, dar și partajarea în siguranță a informațiilor folosind autentificarea în 2 pași pentru utilizatorii externi. În contextul GDPR soluția trebuie să respecte reglementările cu privire la datele cu caracter personal (trimiterea automată a notificărilor, acces temporizat) și să ofere suplimentar o experiență plăcută de utilizare (fără să fie nevoie de intervenția personalului IT).

5.În ce măsură ofițerii de conformitate ai companiei tale au vizibilitate asupra volumelor mari de informații în contextul noului regulament GDPR, astfel încât să poată lua decizii rapide și eficiente? Un tablou centralizator al indicatorilor GDPR care să ofere vizibilitate asupra cantităților mari de date va ajuta cu siguranță ofițerul de date să vadă imaginea de ansamblu, dar și să detalieze anumite subiecte specifice (distribuirea documentelor în funcție de tipul de informație cu caracter personal, topul politicilor de conformitate necorespunzătoare, active neconforme clasificate in funcție de tipul acestora și alte activități și notificări legate de GDPR: retragerea acordului, solicitări de acces, solicitări de ștergere a datelor, consimțământ parental).

6.Care este experiența utilizatorilor si cum va fi afectat departamentul IT după implementarea unei soluții de GDPR? Multe implementări la nivel enterprise au dat greș nu din cauza lipsei rigorii tehnice ci mai degrabă din cauza unei experiențe insuficiente la nivelul utilizatorilor. O soluție cu o interfață puternică, dar simplă, va crește gradul de adopție a utilizatorilor, fără a compromite funcționalitățile dedicate utilizatorilor și va reduce în același timp gradul de încărcare al departamentului IT.

7.Cine poate accesa datele de business, în ce circumstanțe și cu ce drepturi de vizualizare? Este acest proces auditabil? Recomandarea este să protejați conținutul în funcție de ceea ce este (metadate asociate) și nu în funcție de unde este acesta stocat astfel încât să plecați de la început cu avantajul unei soluții construită pe principiul „Privacy by Design”. Și în această situație metadatele stau la baza construirii politicilor dinamice de securitate care pot fi ușor definite și aplicate de către utilizatorii obișnuiți, fără intervenția personalului IT. Întreabă de asemenea dacă este complet auditabilă fiecare modificare asupra conținutului și meta datelor asociate pentru asigurarea conformității cu GDPR.

8.Cum se poate demonstra că o persoana și-a dat consimțământul asupra prelucrării datelor sale personale? O posibilă abordare este o soluție care sa permită managementul consimțământului cu ajutorul semnăturii biometrice (semnătura avansată) într-o manieră lizibilă / inteligibilă. Aceasta oferă o dovadă sigură, fiind legată în mod unic de semnatar și implicit de datele acestuia, astfel încât orice schimbare ulterioară a datelor este detectabilă.

9.Cum asigură soluția „dreptul de a fi uitat”? O mare parte din respectarea acestei cerințe se referă la politicile de păstrare a documentelor care pot fi aplicate conform nomenclatorului arhivistic, categoriei de conținut (bazat pe metadate) sau politicilor de distrugere a conținutului pe mai multe etape atunci când perioada de retenție expiră. Întreabă cum se face auditarea termenelor expirate pentru documentele care conțin date cu caracter personal și trimiterea notificărilor asociate excepțiilor, dacă soluția are funcționalități pentru criptarea metadatelor asociate datelor cu caracter personal și setări pentru distrugerea digitală a documentelor care conțin date cu caracter personal.

10.Unde trebuie instalată soluția GDPR? Un element cheie aici este păstrarea flexibilității la un nivel maxim pe măsură ce tehnologia se schimbă. Se poate folosi hardware-ul existent? Dacă alegi, poți să beneficiezi de puterea și scalabilitatea cloud-ului public? Este soluția la fel de ușor de folosit pe medii hybride, on-premise și cloud?

Ce este SEAL?

SEAL este un sistem integrat pentru administrarea unificată a arhivelor fizice și electronice care ajută companiile să protejeze, reutilizeze și partajeze în siguranță tot conținutul de afaceri, respectând normele legale și noile reglementări GDPR. Construit pentru era digitală, în care cloud-ul și mobilitatea reprezintă concepte cheie, SEAL redefinește experiența de utili zare printr-o interfață intuitivă și puternică disponibilă inclusiv pe iOS și Android pentru un nou nivel de productivitate.

 Mai multe detalii: http://www.seal-online.com


 

Ghiduri de bune practici GDPR puse la dispoziție de ANSPDCP

Acest articol a  fost publicat în Catalogul GDPR Ready, Octombrie 2017.

Autoritatea națională de supraveghere este o autoritate publică cu personalitate juridică, autonomă şi independentă față de orice alte autoritate a administrației publice, ca şi față de orice persoană fizică sau juridică din domeniul privat, care exercită atribuțiile ce îi sunt date în competență prin dispozițiile legale din domeniul prelucrării datelor cu caracter personal şi al liberei circulații a acestor date.

Atribuția principală a Autorității este aceea de garantare şi protejare a drepturilor şi libertăților fundamentale ale persoanelor fizice, în special a dreptului la viață intimă, familială şi privată, cu privire la prelucrarea datelor cu caracter personal. Autoritatea monitorizează şi controlează sub aspectul legalității prelucrările de date cu caracter personal care cad sub incidența Legii nr. 677/2001.

Pe site-ul Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, în cadrul secțiunii speciale dedicată RGPD, poate fi găsit un important volum de informații dedicate Regulamentului 2016/679, precum pliante, broșuri și ghiduri ale Grupului de Lucru Art. 29. Informații complete pe site-ul oficial al ANSPDCP

Ghid privind Responsabilul cu protecția datelor (DPO)

Acest ghid are menirea de a oferi tuturor operatorilor informațiile cele mai pertinente privind necesitatea numirii unui responsabil cu protecția datelor (DPO – Data Protection Officer), precum și principalele atribuții ale acestora. Ghidul a fost publicat în decembrie 2016 și a fost revizuit și adoptat în aprilie 2017.

Potrivit Regulamentului General de Protecție a Datelor (RGPD), este obligatoriu ca anumiți operatori și persoane împuternicite de operatori să desemneze un DPO. Aceasta va fi situația pentru toate autoritățile și organismele publice (indiferent de tipul datelor prelucrate) și pentru celelalte organizații care au ca activitate principală monitorizarea sistematică și pe scară largă a persoanelor fizice sau prelucrează categorii speciale de date cu caracter personal pe scară largă. Chiar și în situația în care RGPD nu impune în mod expres numirea unui DPO, organizațiile pot opta pentru desemnarea unui DPO în mod voluntar.

Cu toate că Directiva 95/46/CE3 nu impune niciunei organizații să numească un DPO, această practică de numire a unui DPO s-a dezvoltat, de-a lungul anilor, în mai multe state membre. Anterior adoptării RGPD, grupul de lucru Articolul 29 a susținut că DPO reprezintă un punct important al responsabilității și că numirea unui DPO poate facilita respectarea și, în plus, poate reprezenta un avantaj competitiv pentru companii.

Pe lângă facilitarea respectării prin punerea în aplicare a instrumentelor de responsabilitate (cum ar fi facilitarea evaluărilor impactului asupra protecției datelor și efectuarea sau facilitarea auditurilor), DPO acționează ca intermediar între părțile interesate relevante (de exemplu autoritățile de supraveghere, persoanele vizate și liniile de business din cadrul unei organizații).

Este important de știut că DPO nu este personal responsabil în caz de nerespectare a RGPD. Regulamentul spune clar că responsabil este operatorul sau persoana împuternicită de operator care trebuie să se asigure și să fie în măsură să demonstreze că prelucrarea este efectuată în conformitate cu dispozițiile sale (Articolul 24, Alineat 1). Respectarea normelor de protecție a datelor reprezintă responsabilitatea operatorului sau a persoanei împuternicite de operator. Operatorul sau persoana împuternicită de operator are de asemenea un rol crucial în a permite îndeplinirea eficientă a atribuțiilor DPO. Numirea unui DPO reprezintă un prim pas, dar trebuie să se asigure că DPO are autonomie și resurse suficiente pentru îndeplinirea sarcinilor într-un mod eficient.

Ghidul orientativ de aplicare a Regulamentului General privind Protecția Datelor destinat operatorilor

Lansat în septembrie 2017, acest Ghid este destinat să constituie un instrument util în activitatea tuturor operatorilor, pentru accelerarea eforturilor acestora de a atinge cele mai optime nivele de conformitate cu prevederile Regulamentului (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date.

Structura Ghidului orientativ de aplicare GDPR se axează pe prezentarea principalelor obligații care le revin operatorilor în contextual noului Regulament. Dintre aceste obligații se detașează:

  • Desemnarea unui responsabil cu protecția datelor
  • Rolul responsabilului cu protecția datelor
  • Cartografierea prelucrărilor de date cu caracter personal
  • Ce trebuie să conțină evidenta păstrată de operator
  • Prioritizarea acțiunilor de întreprins
  • Care sunt măsurile speciale de care trebuie să se țină cont
  • Gestionarea riscurilor
  • Organizarea procedurilor interne

Ca recomandare generală, Ghidul orientativ sugerează realizarea unei analize aprofundate a legislației privind protecția datelor și a cerințelor impuse de Regulamentul General privind Protecția Datelor, pentru a stabili măsurile care trebuie aplicate la nivelul fiecărui operator, în funcție de sectorul de activitate și specificul prelucrării/prelucrărilor efectuate.

În condițiile în care acest act normativ european aduce multiple elemente de noutate în peisajul juridic românesc și instituie noi obligații în sarcina operatorilor de date și/sau persoanelor împuternicite de operatori Autoritatea speră ca și acest ghid, împreună cu toate celelalte materiale informative postate pe site-ul Autorității Naționale de Supraveghere, să ajute operatorii în eforturile de conformare cu noile reguli de prelucrare a datelor personale.

GDPR: afectarea securității datelor cu caracter personal din perspectiva securității informatice

Articolul este realizat de specialiștii CERT.RO  și a  fost publicat în Catalogul GDPR Ready, Octombrie 2017. 

 

Conform Regulamentului, „încălcarea securității datelor cu caracter personal” înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea.

Regulamentul prevede la articolele 33 și 34 obligativitatea notificării încălcărilor securității datelor cu caracter personal către Autoritatea Națională de Supraveghere precum și direct către persoanele vizate ale căror date au fost compromise în anumite condiții, astfel:

  • Notificarea Autorității se face în cel mult 72 de ore conform Art. 33 și este obligatorie atunci când încălcările prezintă riscul de a pune în pericol drepturile și libertățile persoanelor putând duce la discriminarea, prejudicierea reputației, pierderi financiare, compromiterea confidențialității sau orice alt dezavantaj economic sau social semnificativ.
  • Notificarea trebuie să cuprindă: o descriere a încălcării, inclusiv categoriile și numărul aproximativ de persoane vizate acolo unde este posibil, categoriile de înregistrări și numărul acestora. La aceasta se adaugă descrierea consecințelor probabile ale încălcării și măsurile luate pentru a remedia situația și a atenua consecințele încălcării.
  • La acestea se adaugă datele de contact ale responsabilului cu protecția datelor sau alt punct de contact pentru mai multe informații.
  • Notificarea persoanei vizate se face conform Art. 34, fiind obligatorie în cazul în care încălcarea prezintă un risc ridicat pentru drepturile și libertățile persoanelor vizate. Informarea va conține descrierea încălcării într-un limbaj simplu precum și informațiile și măsurile de la Art. 33.
  • Termenul de notificare a autorității este de 72 de ore.

Pentru a putea realiza notificarea în termenul specificat este necesar ca operatorul să inventarieze, să organizeze și să cunoască categoriile de date colectate, sistemele în care acestea sunt stocate și prelucrate, circuitul datelor și persoanele care au acces. Aceasta presupune atât măsuri de inventariere cât și proiectarea sistemelor, a rețelelor și a accesului astfel încât informațiile relevante să fie rapid identificate în caz de încălcare, în vederea alcătuirii notificării și luării de măsuri în consecință.

Ce fel de încălcări ale securității datelor avem în vedere?

Principalele tipuri de încălcări ale securității datelor sunt:

  • publicarea în mod accidental;
  • erorile de configurare a sistemelor ce poate duce la scurgeri de informații;
  • pierderea sau furtul sistemelor sau a mediilor de stocare a datelor;
  • securizarea slabă;
  • infecții cu programe de tip malware;
  • atacuri fizice.

În România, conform raportului CERT-RO pe anul 2016 au rezultat următoarele date relevante cu privire la securitatea spațiului cibernetic național:

  • s-au primit și procesat peste 110 milioane de alerte;
  • 38% (2,9 milioane) dintre adresele IP publice din România au înregistrat cel puțin o alertă;
  • 81% (89 milioane) dintre alerte se referă la sisteme sau servicii vulnerabile;
  • 13% (14 milioane) dintre alerte se referă la sisteme infectate cu malware de tip botnet;
  • 639 de domenii web „.RO” au fost utilizate de site-uri web compromise.

Cum putem proteja datele cu caracter personal procesate?

Sub aspectul protejării datelor în format digital, deși percepția comună referitoare la obligațiile impuse de Regulament este cea a unor cerințe și obligații noi, în realitate măsurile necesare sunt cele standard din domeniul asigurării securității informatice.

Astfel, operatorul care are în vedere asigurarea securității rețelelor și sistemelor sale conform standardelor existente și adaptarea măsurilor proporțional cu amenințările, va îndeplini din start cerințele GDPR cu privire la datele cu caracter personal aflate în sistemele sale, soluțiile tehnice și politicile de securitate necesare celor două domenii coincizând în mare parte.

În vederea adoptării măsurilor necesare prevenirii încălcării siguranței datelor, din perspectiva securității cibernetice, trebuie avute în vedere o serie de recomandări practice, precum cele prezentate în rândurile următoare.

Măsuri de prevenire a incidentelor de securitate:

  • Securizarea terminalelor (stații de lucru, telefoane, tablete etc.) prin utilizarea unor soluții/tehnologii de tip antivirus/antimalware, DLP, sandbox și de criptare a datelor, inclusiv pentru terminalele care sunt proprietatea utilizatorilor (BYOD);
  • Securizarea infrastructurii de rețea prin segmentare adecvată (VLAN) și prin utilizarea unor soluții/tehnologii de protecție perimetrală precum cele de tip NGFW (Next Generation Firewall);
  • Asigurarea unei vizibilități adecvate în cadrul infrastructurii IT prin utilizarea unor soluții/tehnologii de monitorizare precum cele de tip SIEM (Security Information and Event Management);
  • Implementarea unor măsuri adecvate de securitate fizică, mai cu seamă în spațiile unde sunt procesate sau depozitate cantități mari de date;
  • Acordarea accesului diferențiat al utilizatorilor la resurse și la date în baza atribuțiilor acestora (principiul nevoia de a cunoaște);
  • Implementarea unei proceduri adecvate de backup (copii de siguranță) care să includă și verificarea periodică a integrității datelor și a procesului de restaurare;
  • Implementarea unei politici de securitate care să fie asumată și respectată de toți utilizatorii;
  • Utilizarea unor proceduri de răspuns la incidentele de securitate și de gestionare a vulnerabilităților;
  • Dispunerea de personal adecvat pentru securizarea infrastructurii IT și pentru a răspunde la incidentele de securitate;
  • Instruirea periodică a personalului cu privire la riscurile, amenințările și vulnerabilitățile de securitate, precum și cu privire la măsurile de contracarare a acestora;
  • Realizarea de audituri/evaluări periodice de securitate a infrastructurii IT, a personalului și a procedurilor.

GDPR deschide mari oportunități în distribuția IT

Alinierea la GDPR vine cu multe teme de îngrijorare pentru companiile dintr-un ecosistem de distribuție, dar și cu un imens potențial de vânzare a soluțiilor din portofoliu. Noul Regulament european privitor la protecția datelor poate avea un efect de bumerang. A apărut din nevoia de aliniere a drepturilor cetățeanului european la evoluția tehnologică a mijloacelor de recoltare, comunicare, procesare și stocare a datelor personale.

Deși cauza poate fi privită ca tehnologică prin excelență, punerea în aplicare a GDPR este un proces esențialmente de business, care prin implicații poate fi asimilat cu un mare pas înainte în procesul ireversibil de transformare digitală. Poate avea tandemul business-tehnologie un rol de perpetuum mobile? Cu siguranță, atâta timp cât în centrul oricărei politici de dezvoltare stă individul și drepturile sale fundamentale.

Keep Calm and Prepare for GDPR

Nu vă pierdeți cu firea. Totul trebuie privit cu optimism. Pentru o companie IT orice procedură și demers de obținere a unui nivel de confort echivalent cu conformitatea noului Regulament nu ar trebi să fie o problemă. La urma urmelor, implementarea GDPR este un proces de project management, similar cu procedurile de obținere a conformității cu diferite standarde.

Avantajul imens oferit de aderarea la GDPR reprezintă o uriașa oportunitate pentru companiile din IT. Demonstrați clienților că sunteți GDPR Ready și veți câștiga în fața concurenței. Ajutați clienții să își rezolve gap-urile tehnologice recomandându-le soluțiile voastre. GDPR vă facilitează accesul la o imensă piață. Deveniți partenerii clienților voștri și veți avea șansa  să vă promovați soluțiile din portofoliu.

Canalul de distribuție ca ecosistem de informații

Tipologia ecosistemului ce caracterizează o rețea de distribuție e foarte complexă: distribuitori, wholeselleri, reselleri, VAR-i, integratori de sistem, firme de servicii și consultanță, retaileri, showroom-uri, magazine online, precum și o complicată subrețea de furnizori de servicii de logistică, depozite, curierat, transporturi, case de credite și de asigurări, și altele. Și nu în cele din urmă, clienții.

Să luăm de exemplu un distribuitor de dimensiuni medii, care are contracte teritoriale de distribuție pentru 15-20 de branduri, cu proveniență din diferite zone ale lumii. Într-un proces clasic de distribuție rolul unui astfel de distribuitor este cel de procesator – sau intermediar, verigă într-un flux de date care vine dinspre cei care lucrează direct cu utilizatorul final, și merge către un vendor, care în majoritatea cazurilor are și rolul de operator de date.

Colectarea datelor personale este paralelă cu procesul de vânzare, multe dintre soluțiile distribuite având asociată obligativitatea furnizării de date despre utilizatorul final, fie elemente de identificare asociate cu licențele software perpetue, fie identificatori de logare – în cazul soluțiilor Cloud, fie date asociate documentelor de garanție și mentenanță specifice echipamentelor hardware.

Din punctul de vedere al atribuțiilor  GDPR, un distribuitor este în marea majoritate a cazurilor procesator de date, cu subordonare de business în relație cu vendorii, care au rolul de operatori. Păstrând această perspectivă, un reseller va avea întotdeauna o poziție de sub-procesator față de fiecare dintre distribuitorii cu care lucrează. De multe ori vendorii nu sunt nici ei beneficiari direcți ai datelor personale, având tot o poziționare de procesator în relațiile de distribuție cu alte entități.

Pe de altă parte, apare des situația în care un distribuitor sau un reseller poate fi chiar el operator de date. Să ne gândim doar la departamentele de resurse umane care gestionează relațiile cu angajații sau la cele de marketing, unde sunt generate campanii direct către clienții finali sau către rețelele de parteneri.

5 oportunități oferite de GDPR pentru canalele de distribuție

Iată câteva idei care ar trebui să stea la baza unei strategii de ofertare a celor mai adecvate soluții de aliniere la conformitatea GDPR:

Piața – un sondaj recent arată că 69% dintre companiile europene  nu numai că vor investi în tehnologii de securitate ca rezultat al GDPR, ci și în domenii precum partajarea, stocarea, arhivarea sau recuperarea datelor. Estimările IDC indică o oportunitate de piață de 3,5 miliarde de dolari pentru furnizorii de securitate și stocare și pentru partenerii lor.

Tehnologia – GDPR nu prescrie tehnologii de protecție a datelor – precum un anumit algoritm de criptare, de exemplu – și, prin urmare, nu le exclude automat pe altele. În schimb, se fac recomandări și se prescriu procese, ceea ce oferă mai multă libertate de a alege dintr-o paletă de soluții provenite de la o varietate de furnizori.

Depozite comune de date – nevoia de operativitate și eliminarea duplicatelor ridică oportunitatea consolidării unor depozite comune, unice de date, la care să aibă acces pe bază de protocoale securizate toți jucătorii din sistem, inclusiv posesorii datelor personale.

Marketing și PR – devine vitală pentru creșterea gradului de conștientizare a reglementărilor. Resellerii proactivi se pot adresa clienților înainte de termenul limită, prezentându-le riscurile  și promovându-și propria compatibilitate.

Încrederea  – demonstrați-vă vitalitatea GDPR și veți câștiga în primul rând încrederea clienților. Ajutații să înțeleagă că orice investiție în tehnologie nu îi va ajuta doar la reducerea riscului de, dar și să își asigure continuitatea în business.

Intrarea în vigoare a noului Regulament european poate fi o mare oportunitate pentru companiile din IT. Demonstrați clienților că sunteți GDPR Ready și veți câștiga în fața concurenței. Ajutați clienții să își rezolve handicapurile operaționale și tehnologice recomandându-le soluțiile voastre. GDPR vă facilitează accesul la o imensă piață. Deveniți partenerii clienților voștri și veți avea șansa  să vă promovați soluțiile din portofoliu.

Cum pot obține certificarea DPO în România?

International Association of Privacy Professionals (IAPP) estimează un necesar de peste 75.000 de ofițeri pentru protecția datelor în întreaga Europă – înt-o apreciere inițială cifra era de 28.000). Chiar și așa, privind cu luciditate, această cifră pare mult subdimensionată față de nevoile reale din toate țările membre și din toate industriile.

Victimă sigură sau super-erou?

Una dintre marile noutăți cu care vine GDPR este necesitatea stabilirii unui ofițer cu protecția datelor personale, care să joace rolul de intermediar între organizație și autoritatea de supraveghere. Regulamentul stipulează destul de clar în articolele 37 – 39 când trebuie ales, care este rolul și ce îndatoriri are un DPO. Puteți citi despre toate acestea pe larg în recentul meu articol ” GDPR Explicitat (11) : Un personaj important – Data Protection Officer (DPO)”.  Mai mult de atât, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a postat pe site-ul sau în versiunea românească ”Ghidul privind Responsabilul cu protecția datelor (DPO)” care conține recomandări valoroase ale grupului de lucru Articolul 29.

Există deja destule surse de informare legate de condițiile în care trebuie să numim un DPO și cam ce ar trebui să facă un astfel de personaj care va avea un o poziție distinctă în schema oricărei organizații. Cu toate aceste, continuă să existe o serie de incertitudini legate de diferite aspecte. De exemplu, într-o versiune inițială GDPR menționa că orice companie care are peste 250 de angajați e obligată să numească un DPO. Ulterior s-a renunțat la această delimitare și au rămas în vigoare cele trei situații clare în care suntem obligați să numim un DPO.

În conformitate cu Articolul 37, Aliniat 1 din GDPR, trebuie să desemnăm un ofițer de protecție a datelor (DPO) dacă:

  • suntem o autoritate publică (cu excepția instanțelor care acționează în calitatea lor judiciară);
  • efectuăm o monitorizare sistematică, la scară largă, a persoanelor (de exemplu, urmărirea comportamentului online);
  • facem o prelucrare la scară largă a unor categorii speciale de date sau date referitoare la condamnările penale și infracțiuni.

În rest, rămâne la latitudinea noastră dacă vom aloca sau nu o astfel de poziție, chiar dacă avem o microîntreprindere cu 2 angajați… Recomandarea grupului de lucru Articolul 29 este totuși ca în funcție de complexitatea și riscurile asociate activităților de prelucrare a datelor cu caracter personal să fie numit un DPO care poate coordona activitățile de mapare a fluxurilor de date, poate realiza o evaluare de impact sau poate administra analizele de risc.

Alte neclarități sunt legate de statutul oarecum special de subordonare în schema unei organizații, precum și de condițiile în care un DPO poate fi tras la răspundere. De aici și pozițiile oarecum extreme de victimă sigură a autorităților de supraveghere sau de super-erou, care cu vitejia sa poate apăra compania de orice amenințare. În fine, alte discuții controversate se referă la pregătirea optimă a unui DPO și din ce departament ar trebui recrutat: HR, legal, operațional sau IT? Și aici există o multitudine de recomandări ce oferă o plajă largă de soluții, precum constituirea unui grup de acțiune cu reprezentanți ai tuturor departamentelor implicate care să susțină în permanență – și la o adică să poată să suplinească, rolul unui DPO. La limita extremă este apelarea la serviciile unui DPO super-specializat, care eventual poate consilia mai multe organizații, la limita conflictului de interese. Și aici fiecare poate să aleagă soluția cea mai convenabilă.

Dacă ne uităm însă la recomandările organismelor de certificare cu recunoaștere internațională precum IAPP sau PECB vom vedea că pentru acordarea unei diplome de Certified Data Protection Officer este nevoie de o experiență de minim 2-3 ani în protecția datelor personale. De aici reiese că un candidat serios la poziția de DPO trebuie să fi avut un rol cu certe competențe tehnologice și operaționale, oameni cu experiență în project management, data quality, baze de date, managementul riscurilor, securitatea sau protecția datelor. Diferitele statistici arată că în prezent e nevoie de cel puțin 25-30 de ore de instruire doar pentru a obține o înțelegere coerentă a problematicii GDPR, și de ceva mai mult timp pentru pregătirea poziției de DPO.

Unde ne certificăm ofițerii pentru protecția datelor? O soluție este programul de cursuri RQM Cert

Iată-ne ajunși la un alt punct de răscruce în eforturile noastre pentru conformitate. Am identificat cel mai potrivit om din organizație care ne poate reprezenta în fața autorităților, dar cum îl instruim? Unde găsim cursuri de certificare pentru poziția de DPO? Dacă veți citi Catalogul GDPR Ready publicat recent, veți găsi mai multe programe de instruire disponibile la ora aceasta la noi în țară.

La evenimentul Noua ordine europeană pentru protecția datelor personale organizat de agenția Concord Communication în 12 octombrie și având ca partener principal casa de avocatură Mușat & Asociații, a participat și compania RQM Certification, partener PECB pentru România, care a oferit o prezentare a serviciilor de pregătire profesională pentru poziția de Certified Data Protection Officer.

Programul de instruire oferit de RQM Certification este acreditat de PECB, organizație cu sediul în Canada recunoscută internațional pentru competențele și expertiza în implementările standardelor ISO. PECB este un organism de certificare pentru persoane, sisteme de management și produse, pentru o gamă largă de standarde internaționale. Ca furnizor global de servicii de instruire, examinare, audit și certificare, PECB oferă expertiza sa în mai multe domenii precum securitatea informației, IT, continuitatea afacerii, managementul serviciilor, sistemele de management al calității sau managementul riscului. Prin parteneriatul cu PECB, compania RQM Cert poate asigura în România obținerea certificărilor pentru standardele ISO 9001, ISO/TS 16949, ISO 31000, ISO 14001 și ISO 27001.

Certificarea DPO oferită de RQM permite specialiștilor desemnați să dobândească expertiza necesară pentru a înțelege riscurile care ar putea avea un impact negativ asupra organizației, oferindu-le cunoștințele esențiale pentru a implementa strategia necesară, pe baza celor mai bune practici, cerințe și principii GDPR. Cursurile Certified Data Protection Officer  organizate de RQM Cert sunt eșalonate pe o durată de 5 zile lucrătoare și sunt structurate în 25 de secțiuni ce acoperă o largă paletă de probleme, de la elementele de bază conținute de GDPR, la analiza nivelului de pregătire, implementarea și complianța, la obținerea și mai ales păstrarea nivelului de conformitate necesar pentru evitarea oricărui risc și continuitatea în business.

Dacă sunteți interesați de mai multe detalii legate de oferta de cursuri DPO, completați formularul de mai jos.     

%d bloggers like this: