Blog o Ochronie Tożsamości Szczegoly

Szczegoly

  poprzedni wpis następny wpis  

2019-08-06 | Fellowes Polska SA | Albert Rynio

Cyfryzacja opanowała świat! Fenomen digitalizacji wszystkiego co nas otacza obejmuje niemal każdą formę interakcji człowieka z maszyną. Szacuje się, że ogólnoświatowa wartość informacji przekroczyła w tym roku globalną wartość zasobów ropy naftowej. Dane osobowe to wszystko to, co można przypisać do konkretnej osoby – obejmują one spektrum atrybutów, które ostatecznie kształtują nasze "cyfrowe ja”, o wiele bardziej złożone niż dane zawarte w dokumentach tożsamości. To nie tylko imię i nazwisko, adres, data urodzenia, itd., ale również adres IP, ślad behawioralny, preferencje polityczne, biometria i wiele innych wirtualnych cech.

RODO, które jest obecnie wyznacznikiem europejskiej ochrony danych określa dane osobowe jako wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej bezpośrednio lub pośrednio. Organizacje, które przechowują i przetwarzają dane osobowe zobowiązane są zapewnić odpowiedni poziom ich bezpieczeństwa.

Oto kilka sugestii, które pomogą Ci zachować bezpieczeństwo danych, zdobyć zaufanie klientów i szacunek pracowników i dostawców:

  1. Określ standardy gromadzenia i przetwarzania danych.
    Standaryzacja modelu przetwarzania danych to norma, która powinna obowiązywać w każdym przedsiębiorstwie. Zbyt często podmioty świadczące usługi i przetwarzające dane uważają, że dane osobowe stanowią ich własność: w rzeczywistości, dane osobowe należą wyłącznie do nas i to my decydujemy, czy mogą być przechowywane i przetwarzane. Za wyrazisty przykład mogą posłużyć tutaj media społecznościowe i badania, które wykazały, że statystycznie przeważająca większość z nas uważa, że utraciła kontrolę nad wykorzystaniem ich danych osobowych w mediach społecznościowych. Ważne jest, aby przedsiębiorstwa opierały politykę gromadzenia i przetwarzania danych na transparentności i wiarygodności w stosunku do osób, których dane dotyczą. Budowanie trwałych relacji powinno być celem każdej organizacji, ponieważ zapewnia ono lojalność klientów. Każda organizacja powinna dołożyć starań, aby nie tylko zagwarantować zgodność z przepisami prawa, ale również przedsięwziąć odpowiednie środki bezpieczeństwa i ochrony danych i prywatności osób, których dane dotyczą.
  2. Przetwarzaj wyłącznie dane pozyskane za zgodą ich właścicieli.
    Nowe media generują niezliczone ilośc typów danych, które mogą być gromadzone i przetwarzane. Problem przetwarzania tak dużych zbiorów danych wymyka się spod kontroli bezpieczeństwa i stwarza niewiarygodne ryzyko. Przykładem jest nieistniejąca już firma Cambridge Analytica, która podczas ostatnich wyborów prezydenckich w USA niechlubnie zasłynęła z gromadzenia ponad 5000 punktów określających personalia i cechy osobowościowe wszystkich Amerykanów posiadających konta na portalu Facebook. Nie gromadź danych, których nie potrzebujesz! Jeśli zamierzasz korzystać z profilowania w celach marketingowych, upewnij się, że dane zostaną poddane procesowi pseudonimizacji. Minimalizowanie gromadzonych danych zmniejsza konsekwencje prawne i finansowe w przypadku ich wycieku lub utraty.
  3. Dostosuj poziom bezpieczeństwa do istotności danych.
    Dane osobowe są motorem wielu transakcji on-line, a ponieważ tożsamość cyfrowa i powiązane z nią atrybuty stają się wszechobecne wśród konsumentów, to implikują one kwestie bezpieczeństwa, które należy uwzględnić podczas przetwarzania danych, takich jak pseudonimizacja danych czy połączenia sieciowe z użyciem protokołu SSL. Pamiętajmy o tym, że poziom zabezpieczeń powinien być nie tylko współmierny do istotności danych, ale powinien stanowić niezbędny element modelu biznesowego na etapie projektowanie usługi lub rozbudowy usług istniejących.
  4. Kontroluj bezpieczeństwo danych i dostęp w całym cyklu życia danych.
    Niezależnie od tego, jakie środki bezpieczeństwa zostaną zastosowane, ochrona danych osobowych w procesie projektowania usługi powinna uwzględniać wszystkie etapy ich przetwarzania w całym cyklu "życia" danych: od szyfrowania baz danych, kontroli dostępu i wielopoziomowego uwierzytelniania, aż po użycie tokenów zmieniających się losowo w odstępach czasu. Kontrola dostępu i uwierzytelnianie dostępu do danych zmniejsza ryzyko kradzieży tożsamości. Ponadto stosowanie uprzywilejowanego dostępu opartego na rolach zapewnia dostęp tylko do danych, które są niezbędne w procesie ich przetwarzania przez daną jednostkę organizacyjną.
  5. Nie gromadź danych wykorzystywanych jednorazowo.
    Zastanów się, czy rzeczywiście przechowywanie danych jest niezbędne. W przypadku niektórych systemów istnieje możliwość wywoływania danych w razie potrzeby, prezentując je "w locie" bez pamięci, co zapobiega ich replikacji i minimalizuje ryzyko naruszenia i narażenia na utratę.
  6. Dostosuj swoje usługi do wymogów legislacyjnych.
    Ramy regulacji prawnych mogą stanowić wyzwanie w każdej firmie, niezależnie od jej wielkości, zwłaszcza w przypadku ich nowelizacji lub zmiany na nowe. Dostosowanie do nowych reguł ustawodawczych generuje wiele komplikacji i trudności w istniejących systemach opartych o przetwarzanie danych osobowych. Zapewnienie zgodności legislacyjnej to dziedzina, która wymaga specjalistycznych konsultacji i chociaż koncepcja ta dotyczy wszystkich branż, to zapewnienie zgodności z najnowszymi regulacjami prawnymi stanowi nie tylko o wiarygodności organizacji i legalności jej działania, ale także wzbudza zaufanie klientów, kontrahentów i dostawców.
  7. Zadbaj o datę ważności danych osobowych.
    Dane ulegają ciągłej transformacji, co oznacza, że zmieniają się w czasie. Ustaw limity czasowe dla danych, które chcesz przechowywać lub które musisz przechowywać wobec obowiązku prawnego. Umożliwi to nie tylko odświeżenie kontaktu z klientem, ale przede wszystkim zapewni wysoką jakość i aktualność bazy danych. Ważność danych umożliwi Ci również usunięcie niepotrzebnych lub niewykorzystywanych danych z systemów firmowych.
  8. Ustaw role dostępu do danych osobowych.
    Transparentne zasady uwierzytelniania i kontroli dostępu do danych osobowych minimalizują nieautoryzowany do nich dostęp, co powinno stanowić podstawę strategii bezpieczeństwa i ochrony danych w złożonych strukturach przedsiębiorstw i wielooddziałowych organizacji. Ograniczenie dostępu do określonych osób nie tylko zmniejsza liczbę punktów zapalnych, ale również pomaga zarządzać zagrożeniami z zewnątrz.

Wartość danych osobowych rośnie rokrocznie, napędzając gospodarki krajów zaawansowanych technologicznie, przez co "dane" stają się coraz cenniejsze, ale przez to trudniejsze do ochrony. Jeszcze do niedawna regulacje prawne nie nadążały za dynamicznie rozwijającym się przemysłem nowych technologii, przez co dane osobowe były wykorzystywane w niemal dowolny sposób. Unijne rozporządzenie o ochronie danych osobowych (RODO) zmieniło nieco "status quo" w kwestii gromadzenia i przetwarzania danych osobowych. Pamiętajmy jednak, że to od nas zależy co udostępniamy w świecie wirtualnym i co może przełożyć się na realne konsekwencje prawne i finansowe.