Birt á Moggablogginu 13.12.2017 - Efnisflokkur: Ferðaþjónusta
Hinn 25. maí næst komandi gengur í gildi innan Evrópusambandsins ný persónuverndarreglugerð, Almenna persónuverndarreglugerðin, á ensku General Data Protection Regulation eða GDPR, heitið sem reglugerðin gengur oftast undir. Með rétt um 5 mánuði til stefnu, þá eru þeir sem ekki eru byrjaðir, ekki beint í góðri stöðu. Hinir vita ansi margt af því sem ég segi hér fyrir neðan.
Ég hef undanfarna mánuði verið að aðstoða nokkra aðila bæði í Danmörku og á Íslandi við innleiðingu GDPR og næsta verkefni verður líklegast í Póllandi. Hægt er að nálgast GDPR innleiðingu eftir mörgum leiðum og er engin þeirra réttari en einhver önnur. Mestu skiptir að allt sé gert sem þarf að gera.
Það er aldrei of seint að byrja. Hvað sem gert er mun færa fólk nær því að uppfylla kröfurnar. Betra er að koma sér úr startholunum en að hafa ekki gert neitt. Innleiðing á GDPR er eins og að borða fíl, það hefst bita fyrir bita. Ef fólk reynir að gera of mikið á of stuttum tíma, þá gæti útkoman orðið önnur en fólk vonaðist til. Allt veltur það, að sjálfsögðu, á stærð og flækjustigi fyrirtækisins eða stofnunarinnar sem á í hlut, umfangi persónuupplýsinga sem verið er að vinna með, stigi þekkingar hjá fyrirtækinu/stofnunni (og þeim sem sér um innleiðinguna), auðlindir sem helgaðar eru viðfangsefninu og hversu ákveðið fólk er í að sjá til lands.
Gleymum því, að innleiðing verði nokkru sinni fullkomin, þó hún sem slík sé ekki flókin. Það sem er flókið er að reka stjórnkerfið sem GDPR krefst. Það er ferðin endalausa. Alltaf er hægt að gera betur, maður þarf sífellt að vera vakandi og persónuupplýsingarnar gætu verið stöðugt undir árás. Ok, við sem erum á haus í öryggismálum kippum okkur ekkert upp við það. Þannig er þetta á hverjum degi í nettengdu fyrirtækjaumhverfi eða bara í umferðinni til og frá vinnu. Við reynum stöðugt að ná fullkomnun, en nýir leikmenn neyða okkur til að fást við nýjar ögranir, ný tækni gerir fyrri þekkingu okkar úrelta og nýjar reglur breyta leikvellinum.
Dulkóðun getur verið lausn, en mannlegi þátturinn er hins vegar óútreiknanlegur og gert allar tæknilegar lausnir gagnslausar. Þess vegna þarf vitundarfræðslu, loggun, vöktun, skýrslur, greiningu á hvað er að gerast og viðbragðsferli. Stjórnun rekstarsamfellu, viðreisnaráætlanir, neyðaráætlanir og öll hin atvikastjórnunarferlin sem okkur dettur í hug. Að sjálfsögðu viljum við draga úr líkum á öryggisbrotum, en við komum aldrei í veg fyrir þau og verðum því að búa okkur undir það versta. GDPR leggur okkur vissar línur og segir okkur hverjar afleiðingar af brotum geta orðið.
Það getur verið gott að byrja á endanum. Meðan tæknifólkið er að draga upp mynd af hvaða persónuupplýsingar er verið að vinna með, þá geta einhverjir aðrir verið að skilgreina hvað þarf að gera ef öryggisbrot verður. Það innifelur, en er ekki takmarkað við: að skipa persónuverndarfulltrúa (Data Protection Officer), skilgreina hlutverk hans og stöðu innan fyrirtækisins/stofnunarinnar, skilgreina mismunandi viðbúnaðarstig og hvernig skal bregðast við brotum á hverju stigi, svo eru það ferli við að tilkynna hitt og þetta: a) hvernig á að láta vita af atviki; b) hvernig á að tilkynna atvik til Persónuverndar; c) hvernig á að láta hinn skráða vita af atviki; d) hvenær og hvernig á að blanda lögreglu í málið, fá utanaðkomandi sérfræðinga og/eða þá sem þekkingu hafa á tölvurannsóknum.
Gerið skrá yfir allar persónuupplýsingar sem unnið er með og haldið þeirri skrá við. Skiljið hvers vegna gögnunum er safnað og spyrjið hvort haldbær rök séu fyrir því. Hver er með aðgang að hverju og hvers vegna? Hvers konar aðgang og hvers vegna? Með hverjum má deila upplýsingunum og hvers vegna? Lokið síðan á um helming aðgangsheimilda, takmarkið flestan aðgang við lesaðgang og deilið eingöngu upplýsingum með þeim sem geta sýnt fram á að uppfylla GDPR eða eru meðvitaðir um þýðingu reglnanna.
Ertu ábyrgðaraðili eða vinnsluaðili eða bæði? Maður verður að skilja stöðu sína og hlutverk, því mismundandi hlutverkum fylgja mismunandi skyldur. Sumir vinnsluaðilar eru líka ábyrgðaraðilar. Það gerist, ef vinnsluaðilinn er með fullkomna stjórn/vald yfir þeim hugbúnaði sem er viðskiptavinurinn notar við gagnavinnslu og ef viðskiptavinurinn hefur engin eða lítil áhrif á virkni hugbúnaðarins (hugbúnaður getur verið frá einföldustu smáforritum (apps) til flóknustu hugbúnaðarkerfa). Þetta þýðir að margir þeir sem fyrirtæki/stofnanir fá þjónustu frá eru ábyrgðaraðilar. Facebook, LinkedIn, Instagram og Office 365, svo ég nefni fáa, og nánast allir sem veita vefþjónustu munu falla undir skilgreininguna að vera ábyrgðaraðilar. Það þýðir að notendur slíkrar þjónustu verða að huga að sinni áhættu sem fylgir því að nota þjónustuna. Í því felst að framkvæma áhættumat (heitir reyndar persónuverndaráhrifagreining (Data Protection Impact Analysis, DPIA) í GDPR) á öllu milli himins og jarðar (og lengra ef um er að ræða ESA eða NASA).
Hvar eru gögnin vistuð? Er það gert staðbundið, miðlægt, í gagnaveri, í öðru landi, í skýinu? Er verið að keyra innanhúskerfi, sérhönnuð kerfi eins og SAP, pakkalausnir eins og Outlook, vefþjónustur eins og Office 365? Hefur fyrirtækið/stofnunin fulla stjórn á gögnunum eða er verið í viðskiptum við þjónustuaðila sem geymir upplýsingarnar í skýinu án þess að geta sagt til um hvort þær eru geymdar innan EES? Eða eru einhver sérlög sem tilgreina að upplýsingarnar verði að vista innan landamæra þess ríkisins? (Getur átt við fyrirtæki sem eru að bjóða þjónustu út um allan heim.)
Gangið úr skugga um að öll þróunarteymi (líka markaðsfólkið) hafi fulla þekkingu og skilning á GDPR og öll hönnun taki tillit til krafna GDPR, lágmarki söfnun persónuupplýsinga, notkun, loggun, vöktun og gerð persónusniða. Er hægt að skipta persónugreinanlegum upplýsingum út fyrir ópersónugreinanlegar? Er verið að nota persónugreinanlegar upplýsingar að óþörfu? Gera gagnafyrirspurnir í reynd ópersónugreinanlegar upplýsingar persónugreinanlegar? Hver er lágmarksfjöldi einstaklinga sem þarf til að mynda svar við fyrirspurn?
Endurskoðið öll forrit og sérstaklega smáforrit fyrir snjallsíma og spyrjið ykkur hvort sú söfnun persónuupplýsinga, sem þar á sér stað, sé í samræmi við kröfur GDPR. Hættið að safna upplýsingum án vitundar einstaklingsins. Ég veit að það mun hafa áhrif á afkomuna, en það er einfaldlega ekki leyft (og hefur aldrei verið leyft síðan snjallsímar komu til sögunnar).
Og meðan þið eruð að vinna að þessu, gerið þá í leiðinni allt sem hefur verið skylda að gera síðan lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga urðu að lögum. GDPR er ekki að svo miklu leiti nýjar kröfur. 90-95% af kröfunum eru í lögum nr. 77/2000. Munurinn er sá, að núna mál leggja risa sektir á þá sem lenda í alvarlegum atvikum.
Strangt til tekið er ekkert nýtt. Krafan um að verja gögnin hefur verið til staðar í 17 ár, fyrir utan að áhættumat hefði átt að segja fólki, að gögn þarf að verja og innleiðing atvikastjórnunar hefði átt að hefjast ekki síðar en 12. september 2001. Vöktun, vírusvarnir, veikleikastjórnun og allt hitt hefði átt að vera til staðar.
Hljómi þetta allt ruglingslegt og fólk vantar einhvern byrjunarreit: Framkvæmið áhættumat!
Viðurkenni, að þarna var ég að leiða fólki í gildru, vegna þess að rétt framkvæmt áhættumat mun krefjast þess að þið gerið allt hitt líka.
Að lokum: Það er ekki til nein pakkalausn á GDPR. Ekki kaupa snákaolíu. Ef ekki er nægur tími eða peningar eru af skornum skammti, þá er bara ein lausn: Gerið hlutina rétt í fyrsta umgang!
(Þetta er þýðing á grein sem ég birti á LinkedIn í síðasta mánuði. Spurningum má beina til mín með því að senda tölvupóst á oryggi@internet.is og ég mun svara að bestu getu.)