Fő adatvédelmi előrejelzések 2019-re

2019. március 11. - Fujitsu Hungary

 

ke_p_privacy_prediction.jpg

2018 fontos év volt, hangos adatvédelmi botrányokkal és a GDPR érvénybe lépésével. Egyes szervezetek csak ennek nyomán ébredtek rá, hogy komoly mennyiségű időt és pénzt kell szánniuk az adatvédelem fejlesztésére – mivel ez nem csupán az erősödő kockázatok ellen védi őket, hanem ügyfeleikhez is segít érdemben közelebb kerülni.

A jó adatvagyon-kezelésnek szervesen be kell épülnie a működésbe, ahol a technológia és az emberi intelligencia előnyeit ötvözve gondoskodik róla, hogy a megfelelő adatokat és rendszereket a kellő módon, mindig biztonságban tartsák, és ezzel kiérdemeljék az ügyfelek bizalmát.

Kihívásból 2019-ben sem lesz kevesebb. Fontos, hogy az adatvédelmet ne egyszeri feladatként kezeljék. Hiszen ez valójában proaktív, hosszú távú folyamat, tekintve hogy a kapcsolódó előírások tovább fognak változni a világon mindenütt.

Ezt figyelembe véve, a következő főbb adatvédelmi trendekre számítunk 2019-ben:

Amikor a jó adatvagyon-kezelés egyszerűen nem elég

2019-ben a kockázatok kezelése szempontjából kulcsfontosságú lesz a példaértékű adatvagyon-kezelés.

A szervezetek többsége azt állítja, hogy már sok éve rendelkezik különféle informatikai, biztonsági és vállalatirányítási szabályzatokkal. A gyakorlat azonban azt mutatja, hogy ezeknek a szabályzatoknak az érvényre juttatásáról általában nem gondoskodik. Így lehet, hogy sok vállalat számára nehézséget jelent pontosan behatárolni, hol találhatóak az egyes adatok, ki fér hozzájuk és vajon megfelelő-e a védelmük. A vállalatok hamis biztonságtudatba ringatják magukat, ha azt feltételezik, hogy a szabályzat megléte egyet jelent a hatásos kontrollmechanizmusok alkalmazásával. Kevés, ha egy cég azt állítja, helyesen cselekszik – ezt bizonyítania is tudni kell.

Nem elég azt mondani a felhasználóknak, hogy tartózkodjanak valamilyen tevékenységtől, és egy 30 perces e-learning tanfolyam elvégzése évente egyszer szintén kevéssé hatékony. A szabályzatok és a folyamatok érvényre juttatásához észlelni kell tudni a változást, reagálni kell rá és alkalmazkodni hozzá. Ehhez pedig arra van szükség, hogy az auditáláson túllépve, az operatív megvalósítás mélyebb szintjén működjenek ezek a dolgok. Automatizálni kell szabályzatokat és a kontrollt, és a szervezetnek képesnek kell lennie arra, hogy proaktívan megakadályozza a szabályok szándékos vagy véletlen megsértését. Ezt az automatikus, prediktív szemléletet gyorsan és hatékonyan kell bevezetni, ugyanakkor az adatvagyon-kezelésért felelős szervezeti egységek többsége egyelőre nincs felkészülve az ilyen típusú reagálásra. Back Office funkcióként működnek, és gyakran csak akkor értesülnek a szabályok megsértéséről vagy az adatvisszaélésről, amikor már túl késő.

A jó adatvagyon-kezelés tehát önmagában nem elég. Kivételes színvonalon kell működnie, láthatóan és technológiai támogatással ahhoz, hogy valóban eredményes legyen.

A bizalomra és az átláthatóságra épülő digitális szolgáltatásokkal lehet kiemelkedni a piaci tömegből

2019-ben változatlan marad a digitális átalakulás és a felhőszolgáltatások bevezetésének lendülete. Azok a szervezetek, amelyek elkötelezték magukat a megbízhatóság és az átláthatóság mellett, és amelyek nem azért készek helyesen eljárni, mert muszáj, hanem azért, mert így szeretnének működni, versenyelőnyre tesznek szert a digitális világban.

Más hasonló törvényekhez hasonlóan esetenként a GDPR is homályosnak és többféle módon értelmezhetőnek tűnhet. A kisméretű szerezeteknek is éppúgy be kell tartaniuk, mint a nemzetközi óriáscégeknek. Látjuk, ahogy az állami hatóságok, a jogászok és az adatvédelmi szakemberek az apróbetűs részeken vitatkoznak, próbálják értelmezni az egyes sorokat, és keresik a lehetséges kiskapukat. Figyelembe véve, hogy az ilyen törvények elfogadása több éves folyamat, a GDPR egyes alapelvei akár már elavultak is lehetnek, és előfordulhat, hogy nem tükrözik a jelenlegi gyakorlatot.

A törvények és az előírások gyakran nehezen tudnak lépést tartani a digitalizáció és az innováció gyorsaságával. Ezért lényeges, hogy GDPR-t és a többi hasonló előírást is minimális kiindulási alapnak tekintsük.

Az érettség mérésekor gyakran érzékelhető a különbség a külső kényszerből és a belső motivációból fejlődni akarók között. Ez a különbség pedig rendkívül lényeges. Ha csak úgy gondolnak az adatvédelemre, mint egy egyszeri, kötelezően „kipipálandó” feladatra, akkor elszalasztják a változással járó nagyobb lehetőséget. Azt a lehetőséget, hogy közelebb kerüljenek az ügyfeleikhez, és kiaknázzák azokat az előnyöket, amelyeket a versenytársaik talán már megragadtak. A lényeg, hogy mindig proaktívan, az adott helyzetre reagáljanak, figyelembe véve a változó környezetet. Amikor valaki úgy válaszol meg egy kérdést, hogy: „nem tettem meg, mert nem volt kötelező”, akkor valami egészen biztosan nincs a helyén.

Emberek által, embereknek tervezett adatvédelem

2019-ben már nem a leggyengébb láncszemként tekintünk az emberre. Arra törekszünk, hogy épp a legerősebb láncszemmé tegyük – összhangban például az Egyesült Királyság Nemzeti Internetbiztonsági Központjának ajánlásával.

Egyszerű úgy gondolni az adatokra, mint giga- és terabájtokban mérhető tömegcikkre, amelynek tárolási és védelmi költsége van. De még ha meg is vizsgáljuk, mihez kapcsolódnak ezek az adatok, a jogszabályban használt „érintett” (data subject) kifejezés annyira jellegtelen, hogy megfeledkezünk arról, hogy az adatok mögött érző hús-vér emberek vannak. Munkavállalóként vagy fogyasztóként – valójában mindannyian érintettek vagyunk, és elvárjuk, hogy az adatainkat megfelelően kezeljék, védjék és ne éljenek vissza velük anyagi vagy politika előnyszerzés céljából.

Tehát ahelyett, hogy a személyes adatokat tömegcikként vagy semmitmondó kifejezésként kezelnénk, az adatok kontextusát kell figyelembe vennünk és azt, milyen tényleges kárt okozna, ha illetéktelen kézbe kerülnének. Jó példa erre a név és a lakcím. Látszólag helyes az az érvelés, miszerint ezek az adatok már ma is nyilvánosak, de ha történetesen egy állami gondozásba vett kisgyermek nevéről és lakcíméről van szó, máris más megvilágításba kerül a dolog. Ilyenkor már nyilvánvaló, hogy kényes adatokról van szó, amelyeket megfelelő kontrollmechanizmusokkal kell védeni.

Ahhoz, hogy az adatvédelem valóban alapértelmezett módon (privacy-by-design jelleggel) és minden lépésünkbe beágyazva működjön, tennünk kell hátra egy lépést, és meg kell értenünk, hogy az adatvédelmet emberek tervezik embereknek. Mert ha nem az emberek javát szolgáljuk ezzel, akkor egyáltalán mi az értelme?

Vihar előtti csend

2019-ben nagy nyilvánosságot kapó szabálysértésekre és akár vádemelésekre is számíthatunk a személyes adatokkal való visszaélés miatt.

A GDPR májusi érvénybe lépése óta az állami hatóságok az adatvédelmi reklamációk és a szabálysértési értesítések számának ugrásszerű növekedéséről számolnak be. Az élénkebb médiaérdeklődés, a tájékozottabb ügyfelek és a hírnévromlás kockázata miatt a szervezeteknek tudatosabban és elszámoltathatóbban oda kell figyelniük arra, hogyan történik az adatok gyűjtése, tárolása és feldolgozása.

Ahogy a digitalizáció az emberi élet minden aspektusát egyre inkább áthatja, az emberek adatainak felhasználása központi elemmé válik majd az egyéni önrendelkezésben. Emellett elkerülhetetlenül nyilvános vita indul majd a szervezetek, a kormányok és a magánszemélyek közötti erőegyensúlyról, a kontroll megosztásáról, és arról, hogyan lehet egészséges kompromisszumot kötni a kényelem és a hatékonyság, illetve az adatvédelem között a digitális társadalomban. Ez különösen releváns a bevezetés előtt álló és újabb kontrollmechanizmusokat rendszerbe iktató e-adatvédelmi rendelet tükrében.

A haladó gondolkodású szervezeteknek határozott és proaktív döntéseket kell hozniuk kockázataik kezelésével kapcsolatban, és szervesen be kell építeniük működésükbe az adatvédelmet, ha nem szeretnének címlapra kerülni.

Fujitsu Magyarország

A bejegyzés trackback címe:

https://fujitsuhungary.blog.hu/api/trackback/id/tr914681912

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

midnightcoder2 2019.03.11. 12:29:16

Szerintem jövõre az EU-ban már csak úgy léphetsz ki az utcára, ha minden reggel kitöltesz egy három példányos formanyomtatványt amiben hozzájárulsz ahhoz, hogy ma is láthatják a szembejövõ járókelõk az arcodat, és személyesen beviszed azt a Hivatalba.