GDPR Risk Assessment

/GDPR Risk Assessment
GDPR Risk Assessment 2018-05-29T17:50:02+00:00

GDPR Risk Assessment ή Μελέτη Εκτίμησης Κινδύνου

Στο άρθρο 35 του κανονισμού GDPR ο γενικός κανονισμός για την προστασία των δεδομένων παρέχει ένα ειδικό εργαλείο ανάλυσης. Για τους αξιολογητές, είναι γνωστό ως διαχείριση κινδύνων πληροφόρησης και ασφάλειας. Αυτό το άρθρο έχει σκοπό να δώσει μια πρώτη ιδέα για το τι σημαίνει μια Μελέτη Εκτίμησης Κινδύνου.

Η φύση μιας Μελέτης Εκτίμησης Κινδύνου στο πλαίσιο της GDPR:

Ο ρόλος του Υπεύθυνου Προστασίας Δεδομένων (DPO) είναι οριζόντιος, αναμειγμένος με νομικές, αξιολογικές, τεχνικές και επικοινωνιακές δεξιότητες. Η MEK είναι στην πραγματικότητα η ενσωμάτωση ενός τέτοιου μίγματος. Επιπλέον, δεδομένου ότι η MEK περιλαμβάνει τόσο τους υπεύθυνους επεξεργασίας δεδομένων όσο και τους επεξεργαστές δεδομένων στη διαδικασία της, θα μπορούσαμε επίσης να υποθέσουμε ότι η MEK είναι το τέλειο εργαλείο για να εξασφαλιστεί η ευθύνη και η υπευθυνότητα μιας επιχείρησης ή οργανισμού.

Υπάρχει νομική υποχρέωση να διενεργηθεί αξιολόγηση εάν η επεξεργασία είναι πιθανό να έχει ως αποτέλεσμα υψηλό κίνδυνο για το υποκείμενο των δεδομένων (άρθρο 35 GDPR). Δεδομένης της συμμετοχής σε μια επιχείρηση και της εξέλιξης των συστημάτων πληροφορικής, μια προσέγγιση διαχείρισης κινδύνου επιτρέπει σε μια οργάνωση να καθορίσει τους απαραίτητους ελέγχους. Αυτό καθιστά δυνατή τη μελέτη της επεξεργασίας, την ιεράρχηση των κινδύνων και τη μεταχείρισή τους κατά τρόπο ανάλογο, ώστε να βελτιστοποιηθεί το κόστος και να ληφθούν αποφάσεις. Τέλος, μια MEK βοηθά μια επιχείρηση να αποδείξει την εφαρμογή των αρχών της προστασίας της ιδιωτικής ζωής. Κατά συνέπεια, μπορούμε να παραδεχθούμε ότι μια MEK είναι ένα εργαλείο συμμόρφωσης. και πρέπει να χρησιμοποιηθεί πριν από την υλοποίηση της επεξεργασίας (εκ των προτέρων ανάλυση).

Μια ΜΕΚ συνήθως αποτελείται από διάφορες φάσεις, κάθε μία από αυτές τις φάσεις αναλύει ένα συγκεκριμένο χαρακτηριστικό της επεξεργασίας δεδομένων σας σε σχέση με μια σειρά ελέγχων.

Μια ΜΕΚ είναι προσαρμόσιμη στο βάθος της εκτίμησης που επιθυμείτε να πραγματοποιήσετε, πράγμα που σημαίνει ότι δεν υπάρχει χρονικό πλαίσιο που να υποδεικνύεται για κάθε στοιχείο αξιολόγησης. Με άλλα λόγια, εάν η ομάδα αξιολόγησής σας επιθυμεί να αφιερώσει χρόνο στην επεξεργασία ελέγχων ή να αναζητήσει και να μελετήσει τις απειλές για τη μεταποίηση, θα πρέπει να τις αφήσετε να το κάνουν, καθώς τα επανορθωτικά μέτρα θα είναι το αναμενόμενο αποτέλεσμα αυτής της ανάλυσης. Όσον αφορά τη μεθοδολογία, το άρθρο 35 παράγραφος 7 του κανονισμού προβλέπει τα ελάχιστα στοιχεία που πρέπει να αξιολογηθούν, τα οποία περιγράφονται παρακάτω:

  1. Ένας λεπτομερής κατάλογος της επεξεργασίας δεδομένων, συμπεριλαμβανομένων των δεδομένων που χρησιμοποιεί, των στοιχείων ελέγχου και επεξεργαστών της, της νομικής βάσης της ή των περιόδων διατήρησης που εφαρμόζονται στα δεδομένα. Έχει ομοιότητες με την παλαιά μορφή κοινοποίησης, μια απαίτηση της οδηγίας 95/46 ΕΚ, η οποία θα εξαφανιστεί μετά τις 25 Μαΐου 2018.
  2. Έλεγχος αντιμετώπισης κινδύνων που εφαρμόζονται επί του παρόντος. Αυτή η φάση περιλαμβάνει το ισχύον και υφιστάμενο σύνολο μέτρων από νομική, τεχνική, φυσική και οργανωτική άποψη. Στόχος είναι ο έλεγχος των κινδύνων που μπορεί να εντοπιστούν πριν από την υλοποίηση της επεξεργασίας δεδομένων. Εάν, για παράδειγμα, η επιχείρησή σας δεν έχει αναθεωρήσει την πολιτική της σχετικά με την πρόσβαση των χώρων της (π.χ. έκδοση κάρτας, αρχεία καταγραφής πρόσβασης κ.λπ.), θα πρέπει να το κάνετε πρώτα, πριν διευρυνθεί η πολιτική αυτή σε μια νεοσυσταθείσα / αποκτηθείσα περιοχή των χώρων σας ή ένα νέο σύστημα.
  3. Παρατίθενται οι πηγές κινδύνου για την επεξεργασία δεδομένων. Θέτει την ακόλουθη ερώτηση: «Η επιχείρησή μου θα υποφέρει από αυτή τη νέα επεξεργασία δεδομένων και, εάν ναι, πού και πότε θα υποφέρει;» Αυτή η φάση επικεντρώνεται σε πιθανές εισβολές ιδιωτικού απορρήτου (π.χ. ζημίες που προκαλούνται από ανακριβή δεδομένα ή παραβίαση ασφαλείας) την αξιολόγηση των εταιρικών κινδύνων, τη φήμη ή το οικονομικό κόστος. Ζητάει τη φαντασία, ιδίως για να περιηγηθεί σε ένα δίκαιο ποσό πηγών κινδύνου για την επιχείρησή σας. Εάν είστε επικεφαλής μιας τραπεζικής επιχείρησης, μια από τις πηγές κινδύνου είναι ότι η βάση δεδομένων σας θα μπορούσε να έχει καταστρατηγηθεί και να έχει πρόσβαση με δόλο. Είναι ένας κίνδυνος ασφαλείας από μόνη της, αλλά φέρει επίσης οικονομικό κίνδυνο για τις μετοχές σας, ενώ θέτει σε κίνδυνο τη φήμη σας στα μάτια των πελατών σας.
  4. Ανάλυση και την καταγραφή δυνητικών αρνητικών συμβάντων και απειλών κατά την επεξεργασία δεδομένων. Η διάκριση από την προηγούμενη φάση είναι ότι θα επικεντρωθεί στα δεδομένα προσωπικού χαρακτήρα των υποκειμένων των δεδομένων και στις πιθανές επιπτώσεις της νέας επεξεργασίας στα δεδομένα αυτά. Εάν τα γεγονότα είναι εσωτερικά ή εξωτερικά, ανθρώπινα ή μη (τεχνικά), αυτή η φάση είναι σημαντική σε σχέση με τις τεχνολογικές εξελίξεις. Στις νέες τεχνολογίες ενδέχεται να μην υπάρχει σαφής εισαγωγή προστατευτικών μέτρων που να προστατεύουν την ιδιωτικότητα και, συνεπώς, να εκθέτουν τα υποκείμενα δεδομένων σε απειλές όπως η πειρατεία, το ηλεκτρονικό «ψάρεμα» (phishing) και το spam. Σκοπός του είναι να καθορίσει ποιο είδος απειλών θα μπορούσε να εκτεθεί από την επεξεργασία σας.Ας υποθέσουμε ότι είστε διευθυντής ενός μεγάλου νοσοκομείου. Τα αρχεία υγείας των ασθενών σας είναι πολύ ευαίσθητα. Μια ανθρώπινη απειλή θα είναι ότι τα αρχεία αυτά θα έχουν πρόσβαση από λάθος μέλη του προσωπικού για λάθος λόγο και μια μη ανθρώπινη απειλή είναι ότι το λειτουργικό σύστημα που χρησιμοποιείται από το νοσοκομείο σας είναι αυτό που λειτουργεί 10 χρόνια χωρίς ενημερώσεις. Στην πρώτη περίπτωση, μπορεί να είστε υπεύθυνος για μη εξουσιοδοτημένη και δόλια πρόσβαση, ενώ στη δεύτερη περίπτωση, μπορεί να είστε υπεύθυνος για επιθέσεις στον κυβερνοχώρο σας, όπως έγινε στο Εθνικό Σύστημα Υγείας της Μεγάλης Βρετανίας το 2017 με τον ιό WannaCry. Τελικά, το ιατρικό απόρρητο των ασθενών σας θα απειληθεί εάν δεν θεραπεύσετε την απειλή.
  5. Συντάσσεται μία έκθεση και συνοψίζει την ανάλυση, τους τρέχοντες ελέγχους, τους κινδύνους για την επιχείρησή σας και τις απειλές για τα προσωπικά δεδομένα. Η έκθεση καθορίζει τις επιλογές της επιχείρησης ή του οργανισμού για την αντιμετώπιση κάθε προσδιορισμένου κινδύνου, απειλής και ελάττωμα. Αναφέρει εάν κάθε επιλογή θα είχε ως αποτέλεσμα τον κίνδυνο να εξαλειφθεί, να μειωθεί ή να γίνει αποδεκτός ως έχει. Η έκθεση θα καταγράφεται, θα τηρείται και θα παρουσιάζεται στους κύριους διαχειριστές του οργανισμού σας. Οι διαχειριστές αυτοί μπορούν έτσι να αποφασίσουν εάν έχουν ληφθεί ή πρέπει να ληφθούν μέτρα και να λάβουν συνέχεια σε τέτοιες ενέργειες. Αυτές οι αναφορές συμβάλλουν στην συμμόρφωσή σας με την αρχή της λογοδοσίας GDPR.