Javítani kell az önkormányzatok adatkezelésén

Úgy tűnik, hogy akadnak még nehézségek önkormányzati berkeken belül az információbiztonsági törvény előírásainak betartásával.
 

A Magyar Adatvédelmi és Adatbiztonsági Egyesület (MAVABE) felmérést végzett a Pest megyei önkormányzatok körében, melynek során arra kereste a választ, hogy az egyes hivatalok eleget tesznek-e az információbiztonsági, azaz a 2013. évi L. törvény, illetve az adatvédelmi jogszabályok egyes előírásainak.

Az egyesület elsősorban arra volt kíváncsi, hogy az önkormányzatok helyesen selejtezik-e le az informatikai eszközeiket, és a folyamatot megfelelően dokumentálják-e. A felmérés ezenkívül vizsgálta, hogy a hivatalok rendelkeznek-e adatvédelmi és adatbiztonsági szabályzatokkal, illetve bejelentették-e a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) nyilvántartásába a bejelentésköteles adatkezelési folyamataikat.

Nem számít a selejtezés?

Az eredmények szerint ritka, hogy egy önkormányzat selejtezés előtt megfelelően elvégezze az adathordozók adatoktól való "fertőtlenítését", és a folyamatot jegyzőkönyvezze. A legtöbben újraformázzák a leselejtezésre kerülő számítógépek merevlemezeit, vagy esetleg újratelepítik azokon az operációs rendszert. Ezek azonban nem megfelelő eljárások, mivel az ilyen merevlemezekről visszaállíthatóak lehetnek adatok vagy azoknak legalább egy része. 

A szabályozatlansághoz hozzájárul, hogy a felmérésben résztvevő szervezetek kevesebb mint fele rendelkezik megfelelő adatvédelmi és adatbiztonsági szabályzatokkal. A bejelentési kötelezettségnek való megfelelés területén már valamivel jobb a helyzet, az önkormányzatok 56 százaléka vetette nyilvántartásba a NAIH-nál a bejelentésköteles adatkezelési folyamatait.

"Negyvenhárom - 10 ezer fő alatti - település önkormányzatát kerestük meg Pest megyében, és összesen tizenhat szervezet töltötte ki a kérdőívünket. Így az adatok statisztikailag nem tekinthetőek reprezentatívnak, de tapasztalataink szerint sok magyarországi önkormányzatnál nagyon hasonló a helyzet" - mondta dr. Pataki Gábor, a MAVABE elnöke.
Petrányi-Széll András, a Blancco kommunikációs vezetője arra hívta fel a figyelmet, hogy az adathordozók megfelelő adattörlés nélküli leselejtezése felel az adatvédelmi incidensek jelentős részéért. Ezek az esetek ráadásul sokszor jelentős médiafigyelmet is kapnak, mivel a használt mobiltelefonokról vagy az adattörlés nélkül szervizbe adott notebookokról közéleti szereplőket kompromittáló dokumentumok és fényképek kerülhetnek nyilvánosságra.

Az adathordozók védelmére vonatkozó eljárásrend kialakítása azonban nem az egyetlen feladat. Az önkormányzatoknak gondoskodniuk kell például az informatikai események naplózásáról, a naplóbejegyzések megőrzéséről és védelméről is. Schulmann Péter, az L Tender Consulting információbiztonsági szakembere szerint nehézséget jelent, hogy a hivatalok sokszor nem rendelkeznek korszerű hardverekkel és szoftverekkel, az informatikáért felelős munkatársaik pedig inkább üzemeltetési, mintsem tervezési ismeretekkel vannak felvértezve. Az előírt követelmények teljesítéséhez ezért egyaránt szükséges a pénzügyi erőforrások bevonása és a tudás bővítése is.