Mennyire forgatta fel a GDPR a vállalatok működését?

A vállalatok többsége keményen dolgozott azon, hogy kellően felkészüljön a GDPR 2018-as bevezetésére. Az elmúlt négy évben kibővültek a jogi osztályok, az adatvédelmi tisztviselők száma pedig elképesztő ütemben, 700 százalék fölé emelkedett. Bár az európai általános adatvédelmi rendelet a C-szintű vezetők, valamint a felhasználók figyelmét egyaránt felhívta az adat- és hálózatbiztonság fontosságára, a technológia és a kibertámadások állandóan változó jellege miatt a szervezetek egy pillanatra sem dőlhetnek hátra. A GDPR-megfelelés ugyanis nem egy kipipálható feladat, hanem egy folyamatos erőfeszítéseket kívánó keretrendszer, amelynek alapja a jó biztonsági infrastruktúra és a munkatársak rendszeres képzése. Ezek a főbb megállapításai a Kingston Technology legújabb tanulmányának, amelyet a GDPR alkalmazásának második évfordulója alkalmából készített. A kutatás összefoglalja, hogyan változott meg ez alatt az idő alatt a cégek működése, és milyen feladatok várnak még rájuk.

A kivétel (nem) erősíti a szabályt

Jelenleg több mint 500 000 adatvédelmi tisztviselő dolgozik Európában, ami hatszor több, mint amit a 2017-es előrejelzések jósoltak. Emellett megnőtt a külsős adatbiztonsági tanácsadók szerepe is, az adatvédelmi hatásvizsgálatok pedig ma már több ezer szervezet számára ismertek. Vannak azonban olyan ágazatok, például az egészségügy, az oktatás és a jog, ahol a feszített munkatempó vagy a nagy mennyiségű bizalmas információ miatt a GDPR-megfelelés továbbra is nehézséget jelent. A jogászok például e-mailben továbbítják egymásnak az ügyek érzékeny részleteit, az egészségügyi szakemberek pedig a betegek adatait vagy épp az MRI-felvételeket osztják meg hasonló módon. Az ilyen területeken sem lenne szabad azonban, hogy a hatékonyság felülírja a biztonsági protokollokat. A jótékonysági szervezetek is gyakran hajlamosak azt gondolni, hogy mentesülnek a GDPR szabályai alól. Pedig a rendelet minden magán-, állami, illetve önkéntes és közösségi szervezetre vonatkozik.

A másik probléma, hogy hiába nő az adatvédelmi tisztviselők száma, néhány vállalat alábecsüli ennek a szerepkörnek a fontosságát. Egyes cégek dedikált munkatársak helyett inkább a technológiai szakemberekre bízzák ezeket a plusz feladatokat, amelyeket a sajátjaikon felül kell ellátniuk. Holott az adatvédelmi tisztviselő egy teljes munkaidős pozíció, és egy ilyen szakértőnek átfogó rálátással kell rendelkeznie a cég biztonsági és adatvédelmi tevékenységei felett. Hosszú távon érdemes külsős tanácsadót is bevonni az adatvédelmi tisztviselő mellé, hiszen mindig akadnak olyan kihívások, amelyek megoldásához egy másodvélemény is szükséges.

Kevesebb adat, nagyobb felelősség

A GDPR egyik legjobb hozadéka az lett, hogy a cégek fellázadtak a túlzott adatgyűjtés ellen. A hatékony vállalatok az adatminimalizálás elvét vallják: amire nincs szükség, azt nem gyűjtik. Ez a fizikai formában tárolt adatokra is érvényes, ezért a munkatársaknak kétszer is meg kell gondolniuk, mi az, amit kinyomtatnak vagy leírnak (különös tekintettel a jelszavakra), a fizikai másolatokat pedig biztonságosan kell tárolniuk.

Az adatbiztonság kapcsán egyre fontosabb lett az is, hogy a nagyvállalatok megbizonyosodjanak a potenciális alvállalkozóik GDPR-megfeleléséről, mivel nem akarnak felelősséget vállalni a partnercégek hibájából történt adatszivárgási esetekért. A rendelet azonban nem csak szervezeti szinten eredményezett tudatosságot, hiszen a fogyasztók is egyre jobban tisztában vannak az adatvédelmi jogaikkal. Így azt is tudják, hogy kompenzációra jogosultak, ha egy cég elveszíti az adatok feletti ellenőrzést.

Megerősített IT-rendszerek

- hirdetés -

Az elmúlt években egyre több vállalat tette lehetővé alkalmazottai számára, hogy hetente néhány napot otthonról dolgozzanak, majd a koronavírus miatt egyik napról a másikra általános lett a home office, szinte mindenhol. Elengedhetetlen azonban, hogy a vállalatok a hatékony munkavégzés támogatása mellett a szükséges biztonsági szabályokat is betartassák a dolgozókkal, hiszen az adatokra nézve akár egyetlen személy is kockázatot jelenthet. Ám továbbra is vannak olyan rizikófaktorok, amelyeket a cégek sokszor alábecsülnek. Ilyenek a titkosítatlan USB-k és e-mailes csatolmányok, továbbá azok a böngésző funkciók, mint például a jelszavak mentése vagy szinkronizálása, amelyek érzékeny felhasználói adatokat tehetnek ki veszélyeknek. A rengeteg, internethez kapcsolódó eszköz miatt pedig kritikus fontosságú, hogy a munkavégzésre használt mobiltelefonokon tárolt adatok ugyanolyan biztonságban legyenek, mint a vállalati szerveren lévők.

Saját adatközpontok, kétlépcsős azonosítás

A nagyvállalatok egyre szélesebb körben térnek vissza ahhoz, hogy saját adatközpontot használnak, ahol teljes ellenőrzést gyakorolhatnak a szerverek felett, és semmit sem tárolnak a nyilvános felhőben. Emellett népszerűek a hibrid szerveres megoldások is, ahol a nem érzékeny adatokat a felhőben tárolják, a személyes információk viszont a helyszínen maradnak. Ez a megközelítés azonban túl magas működési költséget róna a kkv-kra és a nonprofit szervezetekre, ezért az ő esetükben az adatbiztonság legegyszerűbb módja a hálózati védelem megerősítése, például jelszókezelő és kétlépcsős azonosítás alkalmazásával. A kkv-k körében egyre népszerűbb virtuális magánhálózat, azaz VPN hangsúlyos eleme az adatvédelmi stratégiának – főleg, amikor a kollégák nyilvános wifi-hálózatot használnak –, de nem jelent mindenre kiterjedő megoldást. A távmunkások esetében csak a titkosított USB-kulcsok és a hardveresen titkosított SSD-k mérsékelhetik a kockázatokat, mivel a vállalati adatokkal így akkor sem lehet visszaélni, ha a laptopot ellopják vagy elvesztik.

A GDPR-megfelelést nagyban segítheti az is, ha a cégek automatikusan megjelölik azokat az adatokat, amelyekre már nem érvényes az előírás. A rendelet egyik alapelve, hogy a régi adatokat törölni kell – bizonyos típusú személyes információk például nem tárolhatók hét évnél hosszabb ideig. A megfelelő adatbázis segítségével az IT-részleg egyszerűen létre tud hozni egy olyan rendszert, amely automatikusan generált e-mailt küld az adatvédelmi tisztviselőnek, amikor közeledik az adatmegőrzési határidő vége.

Nem elég egy-egy előadás

Ahhoz, hogy a vállalatok folyamatosan meg tudjanak felelni a GDPR elvárásainak, komolyan kell venniük a munkatársak adatvédelmi oktatását. A jó biztonsági stratégia egyik alappillére, hogy a cégeknek a saját kihívásaikra kell szabniuk a képzést, a másik pedig annak felismerése, hogy a GDPR szabályainak betartása a munkahelyi kultúrában gyökerezik, amelyet folyamatosan fejleszteni kell.

„Az alkalmazottak rendszeres adatvédelmi oktatása nélkülözhetetlen üzleti szempontból. Ezt nem egyszerűsíthetjük le annyira, hogy egy évente egy alkalommal tartunk egy képzést. Sokkal inkább egy proaktív, interaktív és érdekes élménnyé kell tennünk, hogy a mindennapi munka részévé válhasson. Ennek keretében a munkavállalókkal párbeszédet kell kezdeményezünk, hogy megfelelő módon ismertessük velük a biztonsági stratégiánkat. Ráadásul adatvédelmi incidens esetén a helyi hatóság is kedvezőbb elbírálásban részesíti azt a vállalatot, amelyik bizonyítani tudja, hogy átfogó képzést nyújtott a munkatársai számára” – mondta Sally Eaves, a Kingston Technology tanulmányának egyik szerzője.

Kingston