O firma IT care asigura mentenanta retelei informatice a unei institutii medicale a transferat din proprie initiativa si fara permisiune baza de date cu pacientii acesteia pe serverul propriu. Cum vedeti situatia? Este acesta un incident de securitate?
Trebuie sa identificati scopul cu care a fost mutatat acea baza de date (poate fi unul de securitate).
Daca scopul nu este unul legitim, va trebui sa faceti o evaluare a situatie, sa determinati daca datele clientilor au fost folosite in alte scopuri, daca exista posibilitatea unor scurgeri etc.
Clar au fost folosite in alte scopuri – ptr au migrat fara acord. Este deja o scurgere, ptr deja se afla si intr-o alta locatie decat cea initiala.
Exista un contract de mentenanta retelei informatice?
Daca da, ce anume se stipuleaza in acel contract? ma refer la securitate retele, date, drepturi de acces.
Nu in ultimul rand exista clauze referitoare la GDPR?
Raspunsul la aceste intrebari poate clarifica situatia.
In final se recomanda un plan de conformare cu actiuni clare, termene precise si sarcini personalizate.
A se analiza tipul relatiei dintre operator. Daca este una tip operator- persoana imputernicita, operatorul ar fi trebuit sa ofere instructiuni foarte clare cu privire la modalitatea de gestionare a bazelor de date.
Este o incalcare si bresa de securitate.
Incalcarea GDPR: trebuia stipulat din start cine mai are access si ce fel de access. Acesta caz este cel mai relevant la firmele de hosting sau backup. Chiar daca se muta undeva data (conform planurilor de revenire sau control dezastre IT), trebuie sa fie specificata in contractul GDPR (cine are access la informatii si dece).
Bresa de securitate: daca datele mutate se servesc catre public din noua locatie, acesta trebuie sa fie la standardele impuse de fosta locatie. Daca nu se intampla asta, inseamna ca datele pur si simplu au fost mutate, fara justificare tehnica. Trebuie verificat daca informatiile au parasit locatia noua sau cine a avut access la ele.
Please login or Register to submit your answer