Breșe de securitate GDPR – Introducere

Un lucru care s-a schimbat enorm odată cu pandemia este faptul că firmele nu mai au control (corporațiile mai ales) asupra infrastructurii lor și a felului în care aceasta este folosită de angajați. De aceea, gestionarea breșelor de securitate GDPR a devenit o adevarată provocare. Dacă aveai 100 de angajați și un sediu la care se lucrează, acum ai 100 de birouri care trebuie protejate (sau 1000 sau 5000).

Lucrurile sunt foarte diferite acum iar hackerii profită de acest lucru! Atacurile cibernetice au crescut cu peste 400% de la începutul pandemiei ne arată un raport al FBI din anul 2020 (peste 4000 cazuri zilnice). De asemenea, studiul anual privind protecția datelor, Veeam Data Protection Trends Report, arată că un procent record, de 85% dintre companiile și organizațiile din întreaga lume, au fost vizate de cel puțin un atac cibernetic pe parcursul anului 2022.

În acest context, EDPB a adoptat un nou ghid privind notificarea breșelor de securitate!

Acest ghid vine în completarea celui din 2017 care priveau caracteristicile generale ale notificării. Ce aduce nou? Ei bine ca urmare a experienței acumulate la nivel european ni se pune în față un ghid practic care ne poate fi de folos tuturor operatorilor. Prin exemplele și îndrumările oferite, ghidul ne arată că pentru a trata o breșă de securitate, operatorul trebuie în primul rând să poată să o recunoască!

Ce este o breșă de securitate în contextul GDPR?

Definițiile pot fi multe însă poate una mai consacrată ar fi următoarea: O breșă de securitate reprezintă orice fel de încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea.

Vă recomandăm să parcurgeți articolul „Date cu caracter personal – Tot ce trebuie să știi pentru a fi conform GDPR” pentru a știi ce înseamnă exact datele cu caracter personal și ce categorii de date există.

Ce fel de breșe de securitate GDPR pot exista?

Conform ghidului, putem avea:

  • Breșe ale confidențialității datelor – în care există o divulgare neautorizată / accidentală de date sau un acces neautorizat la date etc;
  • Breșe de integritate – când avem o alterare neautorizată / accidentală a datelor;
  • Breșe de disponibilitate – în care se pierde în mod neautorizat sau accidental accesul la date sau se distrug anumite date cu caracter personal;

De ce ne este frică de breșe și ce efecte pot avea acestea? Pentru un operator lucrurile sunt destul de clare, putând exista consecține:

  • Fizice, materiale sau nemateriale
  • Limitări ale drepturilor;
  • Discriminare;
  • Furt de identitate sau fraudă;
  • Pierderi financiare;
  • Atingeri aduse bunei imagini sau reputației;
  • Pierderea unor secrete profesionale
  • Dezavantaje economice, sociale

Totuși există și anumite consecințe de o natură ireversibilă: ex. atingerea imaginii companiei care duce la scăderea acțiunilor pe bursă sau mai grav pierderea anumitor secrete personale sau profesionale care împinge persoana vizată la suicid.

Exemple de breșe de securitate:

  • Atacuri Ransomware: ex. o platformă de lucru online deținută de un spital este atacată și datele medicale a câtorva sute de pacienți sunt blocate;
  • Furtul de date: ex. furtul datelor de facturare înregistrate printr-un website;
  • Furtul de dispozitive și documente care conțin date cu caracter personal: ex. furtul unei tablete care conținea numele, prenumele, adresa, sexul, proprietățile unor cetățeni;
  • Pierderea corespondenței fizice / a emailurilor sau trimiterea eronată a acesteia: ex. furnizorul de servicii poștale pierde plicul care conținea date referitoare la o anchetă socială realizată de către asistenții sociali pentru o categorie de persoane vizate marginalizate;
  • Eroare umană sau rea intenție: ex. trimiterea unui email care divulgă emailurile tuturor destinatarilor.

Pentru a evita toate aceste lucruri, R.G.P.D.-ul reglementează un cadru de documentare a breșelor de securitate, de notificare a acestora și de informare a persoanei vizate.

  • Simpla notificare în registru o facem întotdeauna când avem un incident chiar dacă nu există un risc la adresa drepturilor persoanei vizate (art. 33 alin. 5)!
  • Notificarea ANSPDCP o vom face de fiecare dată când avem un risc (art. 33 alin. 1);
  • Informarea persoanei vizate se face atunci când riscul existent este RIDICAT. (art. 34 alin. 1)!

Ai nevoie de DPO extern?
Lasă provocările GDPR în seama GDPR Complet – echipă de profesioniști cu expertiză juridică, expertiză în securitate IT și expertiză în managementul afacerilor

  • Exercităm funcția de DPO

  • Audităm și Implementăm

  • Instruim personalul

  • Comunicăm cu autoritatea

Evaluarea și tratarea riscurilor

Cum evaluăm însă riscurile in cazul breselore de securitate in contextul GDPR? Avem de a face cu un risc minor, unul mediu sau unul major sub aspectul impactului? Dar sub aspectul probabilității de a se reproduce?

Ghidul EDPB ne oferă câțiva indicatori pe care să îi avem în vedere la evaluarea riscurilor, printre care se numără:

  • Tipul de vulnerabilitate și metoda în care acesta a survenit;
  • Cantitatea de date care a fost afectată;
  • Numărul de persoane vizate ale căror date au fost compromise;
  • Natura, volumul și sensibilitatea datelor care au fost compromise:
  • Gravitatea consecințelor pe care le-a produs etc.

Odată ce am făcut o evaluare a riscului putem înțelege ce pași avem de urmat și mai ales ce măsuri tehnice și organizatorice trebuie să luăm pentru tratarea riscurilor. Mai jos găsiți o listă exemplificativă:

  • Instruirea personalului în mod specific asupra managementului breșelor de securitate (identificarea acestora și acțiunile ce trebuie luate) sunt esențiale pentru operatori!
  • Dezvoltarea unui program de conștientizare a angajaților și colaboratorilor asupra riscurilor potențiale;
  • Adoptarea unor documente interne – Plan de reacție la incidentele de securitate, plan de continuitate a activității, manual de gestiune a breșelor de securitate etc, politici și proceduri (ex. politică de gestiune a parolelor, politică de securitate IT etc)
  • Adoptarea de soluții de back-up;
  • Criptarea serverelor;
  • Auditarea sistemelor în mod periodidc;
  • Reglementarea corectă a utilizării dispozitivelor atât în cadrul cât și în afara spațiului operatorului;
  • Instalarea de controale de acces fizic etc.

Concluzii

Pandemia ne-a pus înainte o serie de provocări noi cărora firmele și instituțiile publice încearcă să le facă față cu succes iar hackerii încearcă să le exploateze. Pentru a proteja datele noastre cu caracter personal, operatorii sunt nevoiți să analizeze riscurile pe care prelucrările pe care le efectuează le prezintă cât și să ia o serie de măsuri tehnice și organizatorice pentru diminuarea acestora.

Insuccesul gestionării riscurilor poate avea ca efect materializarea unei breșe de securitate, o serie de consecințe negative asupra drepturilor persoanelor vizate și posibile sancțiuni pentru operatori.

EDPB ne vine în ajutor cu un ghid practic pentru analiza și particularizarea fiecărui caz în parte, însă totul depinde de noi cum gestionăm lucrurile.

Dacă ai identificat un risc la adresa persoanelor vizate, ești DPO și nu știi cum să îl tratezi sau poate cauți ajutor pentru tratarea unui astfel de risc, te putem ajuta! Serviciile noastre de consultanță vor oferi cadrul ideal de gestionare a acestor riscuri și de tratare a lor într-un mod profesionist, eficient și în timp util.

Dacă însă ești instituție publică sau companie privată cu obligația de a avea numit un responsabil cu protecția datelor (DPO) și ai de-a face cu o serie de riscuri la adresa drepturilor persoanelor vizate, o putem face noi colaborând sub forma serviciului DPO externalizat.

În oricare dintre cazuri, dacă ai întrebări sau dorești să colaborăm, ne poți scrie la contact@gdprcomplet.ro!

Pentru a fi conform din punct de vedere al procedurilor, măsurilor, metodelor de reacție și a diminuării efectelor, vă punem la dispoziție softul GDPR Audit.