A GDPR elmúlt két éve

A GDPR-ral kapcsolatos megfelelőségi követelmények teljesítése folyamatos munkát ad a szervezeteknek. Most lássuk, hogy az elmúlt két évben milyen eredményeket sikerült elérni az adatvédelem megerősítése terén.
 

Az elmúlt években kibővültek a jogi osztályok, az adatvédelmi tisztviselők száma pedig elképesztő ütemben emelkedett. Bár az európai általános adatvédelmi rendelet a C-szintű vezetők, valamint a felhasználók figyelmét egyaránt felhívta az adat- és hálózatbiztonság fontosságára, a technológia és a kibertámadások állandóan változó jellege miatt a szervezetek egy pillanatra sem dőlhetnek hátra. A GDPR-megfelelés ugyanis nem egy kipipálható feladat, hanem egy folyamatos erőfeszítéseket kívánó keretrendszer, amelynek alapja a jó biztonsági infrastruktúra és a munkatársak rendszeres képzése. Ezek a főbb megállapításai a Kingston Technology legújabb tanulmányának.
 
A kivétel (nem) erősíti a szabályt
 
Jelenleg több mint 500.000 adatvédelmi tisztviselő dolgozik Európában, ami hatszor több, mint amit a 2017-es előrejelzések jósoltak. Emellett megnőtt a külsős adatbiztonsági tanácsadók szerepe is, az adatvédelmi hatásvizsgálatok pedig ma már több ezer szervezet számára ismertek. Vannak azonban olyan ágazatok, például az egészségügy, az oktatás és a jog, ahol a feszített munkatempó vagy a nagy mennyiségű bizalmas információ miatt a GDPR-megfelelés továbbra is nehézséget jelent. Nyilvánvalóan e területeken sem szabad megengedni, hogy a hatékonyság felülírja a biztonsági protokollokat. (A jótékonysági, civil szervezetek is gyakran hajlamosak azt gondolni, hogy mentesülnek a GDPR szabályai alól, pedig nem.)
 
A másik probléma, hogy hiába nő az adatvédelmi tisztviselők száma, néhány vállalat alábecsüli ennek a szerepkörnek a fontosságát. Egyes cégek dedikált munkatársak helyett inkább a technológiai szakemberekre bízzák ezeket a plusz feladatokat. Holott az adatvédelmi tisztviselő egy teljes munkaidős pozíció, és egy ilyen szakértőnek átfogó rálátással kell rendelkeznie a cég biztonsági és adatvédelmi tevékenységeire.
 
Kevesebb adat, nagyobb felelősség
 
A Kingston szerint a GDPR egyik legnagyobb hozadéka az lett, hogy a cégek egy része elkezdett tenni a túlzott adatgyűjtés ellen. Ma már a hatékony vállalatok az adatminimalizálás elvét vallják: amire nincs szükség, azt nem gyűjtik.
 
Az adatbiztonság kapcsán egyre fontosabb lett az is, hogy a nagyvállalatok megbizonyosodjanak a potenciális alvállalkozóik GDPR-megfeleléséről, mivel nem akarnak felelősséget vállalni a partnercégek hibájából történt adatszivárgási esetekért. A rendelet azonban nemcsak szervezeti szinten eredményezett tudatosságot, hiszen a felhasználók is egyre inkább tisztában vannak az adatvédelmi jogaikkal.
 
Megerősített IT-rendszerek
 
Az elmúlt években egyre több vállalat tette lehetővé alkalmazottai számára, hogy hetente néhány napot otthonról dolgozzanak, majd a koronavírus miatt egyik napról a másikra általános lett a home office. Elengedhetetlen azonban, hogy a szervezetek a hatékony munkavégzés támogatása mellett a szükséges biztonsági szabályokat is betartassák a dolgozókkal. Továbbra is vannak olyan rizikófaktorok, amelyeket a cégek sokszor alábecsülnek. Ilyenek a titkosítatlan, cserélhető adattárolók és az e-mailes csatolmányok, továbbá az olyan tevékenységek, mint például a jelszavak mentése vagy szinkronizálása. A rengeteg internethez kapcsolódó eszköz miatt pedig kritikus fontosságú, hogy a munkavégzésre használt mobiltelefonokon tárolt adatok is biztonságban legyenek.
 
A felmérés szerint a nagyvállalatok egyre szélesebb körben térnek vissza ahhoz, hogy saját adatközpontot használjanak, ahol teljes körű ellenőrzést gyakorolhatnak a szerverek felett. Emellett népszerűek a hibrid szerveres megoldások is, ahol a nem érzékeny adatokat a felhőben tárolják, a személyes információk viszont helyben maradnak. Ez a megközelítés azonban túl magas működési költséget ró a kkv-kra és a nonprofit szervezetekre, ezért az ő esetükben az adatbiztonság legegyszerűbb módja a hálózati védelem megerősítése, például jelszókezelők és kétlépcsős azonosítás alkalmazásával.
 
A GDPR-megfelelést nagyban segítheti az is, ha a cégek automatikusan megjelölik azokat az adatokat, amelyekre már nem érvényes az előírás. Ezáltal az IT-részleg létre tud hozni egy olyan rendszert, amely automatikusan generált e-mailt küld az adatvédelmi tisztviselőnek, amikor közeledik az adatmegőrzési határidő vége.
 
Nem elég egy-egy előadás
 
Ahhoz, hogy a vállalatok folyamatosan meg tudjanak felelni a GDPR elvárásainak, komolyan kell venniük a munkatársak adatvédelmi oktatását. A jó biztonsági stratégia egyik alappillére, hogy a cégeknek a saját kihívásaikra kell szabniuk a képzést, a másik pedig annak felismerése, hogy a GDPR szabályainak betartása a munkahelyi kultúrában gyökerezik.
 
"Az alkalmazottak rendszeres adatvédelmi oktatása nélkülözhetetlen üzleti szempontból. Ezt nem egyszerűsíthetjük le annyira, hogy évente egy alkalommal tartunk egy képzést. Sokkal inkább proaktív, interaktív és érdekes élménnyé kell tennünk, hogy a mindennapi munka részévé válhasson. Ennek keretében a munkavállalókkal párbeszédet kell kezdeményezünk, hogy megfelelő módon ismertessük velük a biztonsági stratégiánkat" - mondta Sally Eaves, a Kingston Technology tanulmányának egyik szerzője.