EU-s adatvédelem: titkosítás nélkül nem fog menni

Az EU adatvédelmi rendeletének való megfeleléshez elengedhetetlen lesz a megfelelő titkosítási technológiák alkalmazása.
 

Kevesebb mint egy évük van a cégeknek arra, hogy felkészüljenek a GDPR-ra: az új adatvédelmi rendelet 2018. május 25-én lép hatályba. A szabályozás azzal a céllal jött létre, hogy egységes adatvédelmi keretet biztosítson az Európai Unió összes tagállamában. A GDPR szigorú követelményeket támaszt a személyes adatok kezelése terén minden olyan vállalkozással és szervezettel szemben, amelyeknek EU-beli alkalmazottai vagy felhasználói, ügyfelei vannak.
 
A GDPR nemcsak követelmény, hanem lehetőség is
 
"A GDPR elvárásainak való megfelelés nem csupán egy kötelező feladat, hanem valódi lehetőség minden szervezet számára, hogy növelje a felhasználók digitális szolgáltatásokba vetett bizalmát, és ennek érdekében jelentős lépéseket tegyen a munkatársak, az ügyfelek és az üzleti adatok magasabb szintű védelméért" - emelte ki Lám István, a Tresorit társalapítója és ügyvezetője.
 
"A titkosítás fontos eszköz a személyes adatok védelmében, de természetesen nem ad megoldást a GDPR által támasztott összes elvárásra. Számos megoldandó feladat van, ami a titkosítás körén kívül esik. A titkosítás abban segíti a vállalkozásokat, hogy kevésbé kelljen aggódniuk a felhőben kezelt adataikért, és így más feladatokra koncentrálhatnak" - tette hozzá a szakember.
 
A GDPR a titkosítást az adatvédelem "megfelelő biztosítékaként" nevezi meg, éppen ezért kulcsfontosságú technológiai intézkedésként kezeli. Az új szabályozás kimondja, hogy a titkosítás az adatokat elérhetetlenné, értelmezhetetlenné teszi minden olyan személy számára, aki például adatlopással jutott hozzá azokhoz. A titkosítást alkalmazó vállalkozások így nagyobb valószínűséggel kerülhetik el a jogsértést és az ahhoz kapcsolódó bírságokat.
 
Természetesen nem minden titkosítási folyamat azonos: a titkosító kulcsokat külön kell tárolni, az adatokat pedig már az ügyfélnél titkosítani kell, mielőtt azokat feltöltené a felhőbe. Ellentétben az "in-transit" és "at-rest" titkosítással, a végpontok közötti (end-to-end) titkosítást biztosító szolgáltatások a titkosító kulcsokat az ügyfélnél tárolják. Ez garantálja, hogy a titkosított adatokhoz maga a szolgáltató sem férhet hozzá.
 

"A GDPR-nek való megfeleléshez a szervezeteknek minden kommunikációs csatornájukat biztonságossá kell tenniük. Az e-mail küldést, a fájlmegosztást, az üzenetküldést és a hanghívásokat ugyanolyan magas szintű védelemmel kell ellátni. A GDPR a vállalkozásoktól teljes körű adatbiztonságot követel meg"

- összegezte Kun Szabolcs, a CryptTalkot fejlesztő Arenim Technologies AB társalapítója és vezérigazgatója.
 
Hasonlóan vélekedett Ladar Levison, a Lavabit alapítója is. A szakember szerint a titkosítás értékét ma már nemcsak az alapján határozzák meg, hogy mennyi személyes adatot védett meg, hanem azáltal is, hogy miként segít a költségek csökkentésében az ügyfelek digitális értékeinek megóvásával. Levison arra számít, hogy az EU egységes szabályozása a világ minden táján érezteti majd a hatását, és a közeljövőben az USA-ban is új adatvédelmi intézkedésekhez vezet.