În data de 28.01.2019, cu ocazia Zilei Europene a Protecției Datelor, a avut loc cea de-a 2 ediție a Conferinței Naționale “Protecția Datelor în Domeniul Sanitar”.
Evenimentul a fost organizat de Asociația SURYAM și Universitatea de Medicină, Farmacie, Științe și Tehnologie Târgu Mureș – Centrul de Cercetare pentru Politici de Sănătate și Management și Centrul pentru Protecția Datelor, managementul tehnic al evenimentului fiind asigurat de Health Events. Partenerii acestui eveniment au fost Camera Deputaților – Comisia pentru Sănătate și Familie și Asociația Specialiștilor în Confidențialitate și Protecția Datelor (ASCPD).
În cadrul conferinței au fost abordate teme de ordin practic, de mare interes pentru specialiștii în domeniu.
Echipa GDPR Complet, prin Dan Gurghian, a susținut o temă care a abordat un subiect de mare interes: ”Autoevaluarea și documentarea conformării GDPR folosind metoda chestionarului.”
În speranța că venim în ajutorul d-voastră, vă oferim prezentarea GDPR Complet:
GDPR Complet și Comunitatea DPO
- GDPR Complet a creat Comunitatea DPO care numără până în prezent peste 400 de membri
- Cele mai mari temeri ale DPO-ului sunt legate de stadiul conformării GDPR și de acoperirea tuturor punctelor de interes
- Pentru a ne adresa acestor temeri am început dezvoltarea unei aplicații software care să fie instrument de audit și autoevaluare bazat pe chestionare
- Prezentarea din cadrul conferinței detaliază unul din multiplele capitole – securitatea informației, respectiv conformarea GDPR a infrastructurii IT
Structura Chestionarului
Ca și instrument științific chestionarul este definit ca fiind o listă de întrebări alcătuită cu scopul de a obține, pe baza răspunsurilor date, informații asupra unei persoane sau asupra unei probleme.
Întrebările au trei variante de răspuns:
- DA (conduce spre conformare)
- NU (conduce spre acțiuni necesare)
- NU MI SE APLICĂ (conduce spre informare)
Aspecte IT abordate
Website-ul – Hosting, certificat SSL, email marketing, cookies, conturi de social media
Email-ul – Filtrare, antivirus, training personal, politici de folosire
Incidentele de securitate – Procese și proceduri privind managementul incidentelor detectarea și raportarea incidentelor
Infrastructura IT – Firewall, acces internet, inventar hardware, sisteme de operare, conturi de utilizator
Protecția malware – Software antivirus anti spyware anti malware, limitări instalare aplicații, execuție în mod protejat
Aplicațiile Software – Conformitate GDPR, licențiere, actualizare
Website – Exemple de întrebări / răspunsuri / acțiuni
Există un certificat SSL?
- DA +1 conformare
- NU +0 conformare => Acțiune: cumpărare și implementare certificat SSL
- NU MI SE APLICĂ => Nu am website, însă e bine să știu că, dacă, pe viitor, voi dezvolta un website acesta trebuie să folosească un certificat SSL
Există politică de prelucrare a datelor cu caracter personal publicată pe website?
- DA +1 conformare
- NU +0 conformare => Acțiune: adăugare politică pe site + Descărcare de exemplu de politică
- NU MI SE APLICĂ => website-ul nu colectează sau procesează date cu caracter personal
Alte intrebari aplicabile pentru Website
Firma care găzduiește website-ul este conformă GDPR? Se poate dovedi asta?
Aveți contract de confidențialitate cu firma care administrează website-ul?
Platforma pe care este dezvoltat website-ul este una conformă GDPR?
Aveți politică de cookies pe website? Sunt trecute absolut toate cookie-urile folosite?
Ați verificat dacă sistemele de monitorizare / analiză a traficului sunt conforme cu GDPR?
Ați verificat dacă toate formularele (contact/comandă/programare) de pe website sunt conforme GDPR?
Autoevaluarea folosind chestionarul
Lista completă de întrebări va fi publicată în cadrul Comunității DPO. Pornind de la feedback-ul comunității lista poate fi ajustată.
Scorul de conformare general sau pe un anumit capitol (IT de exemplu) se calculează adunând DA +1 conformare și numărul respectiv se împarte la numărul total de întrebări.
Aplicația software GDPR Complet va face asta pentru dvs. De asemenea pregătește rapoarte care pot fi puse la dispoziția managementului sau a Autorității (în eventualitatea unui control). Foarte important, aplicația include proceduri și documente necesare creșterii gradului de conformare.