Сьогодні Європейський день захисту даних. Пора задуматися. Цього разу ми збираємося проаналізувати повторюване питання в організаціях. Припустимо, що той, хто найбільше або найменше знає, що законодавство про захист даних змінилося пару років тому.

даних

Ми також припустимо, що особа, яка зробила найбільше або найменше домашніх завдань, доклала зусиль, щоб "адаптуватися" до нових норм, тобто Регламенту ЄС 2016/679 Загальний захист даних або RGPD (це вже багато чого припустити).

І доклали зусиль (ті, хто це зробив), зараз багато хто задається питанням, чи потрібно нам робити аудит? Де ти це кажеш? Як часто? І саме тоді, коли потрібно позбутися пояснень, чому без перевірки, аудиту або як би ми цього не хотіли назвати, немає дотримання.

Ми в січні, місяці хороших рішень: дієти та реєстрація у спортзалах. Управління приватним життям подібно до людського тіла: ви повинні піклуватися про це, і це вдячно. Якщо ви випиваєте, а потім не працюєте над цим, він руйнується, травмується, хворіє і марно відвідувати тренажерний зал протягом місяця, бо чудес, принаймні в цій області, не існує. Те саме відбувається з приватністю. Травень 2018 року та місяці до та після: запої конфіденційності. Деякі з тих пір до цього не поверталися. Велика і серйозна помилка. Це не відповідає.

Тренери стверджують, що краще мало і продовжувати, ніж не "недільне" побиття. Щоб відповідність була ефективною, вона повинна бути постійною та перевіряти. Немає правила, яке не вимагає своєчасного перегляду.

Обов'язок: Щоб встановити правову основу, ми повинні звернутися до низки статей РГПД:

стаття 24 Я сказав, що технічні та організаційні заходи "будуть переглянуті та оновлені за необхідності". AСтаття 32, зі свого боку, він зобов'язує керівників та менеджерів застосовувати відповідні технічні та організаційні заходи, щоб гарантувати адекватний рівень безпеки ризику, який, якщо це можливо, включає, серед іншого ... процес регулярної перевірки, оцінки та оцінки ефективності технічних заходів та організаційних, щоб гарантувати безпеку лікування ».

Там ми зобов’язані проводити «аудит» без визначеної, але орієнтовної періодичності: коли це необхідно »та« гарантувати безпеку лікування ».

Якщо ми заглибимося в системи управління інформаційною безпекою, такі як ISO 27001 або Схема національної безпеки, ми перевіримо, що огляди, як правило, щорічні. Частини систем перевіряються щорічно, а кожні три роки - у повному обсязі (у випадку ISO для поновлення сертифікації).

Періодичність: Попередні нормативні акти встановлювали обов'язок аудиту принаймні раз на два роки або коли відбувалися зміни в інформаційних системах. Два роки можуть бути орієнтацією, але ми вважаємо, що цього недостатньо, враховуючи ритм діяльності суб’єктів: Якщо за два роки ми нічого не зробимо, можливо, через два роки нам доведеться починати спочатку. Тому слід встановити два кроки:

- Постійні та періодичні процеси огляду, нагляд за тим, як все робиться добре, застосовуючи принцип захисту від дизайну і за замовчуванням і, зрештою, перебуваючи на висоті. Це здається неймовірним, але з усім і з цим, коли ви переглядаєте, "речі" завжди виходять.

- Або глобальні, або часткові процеси аудиту (наприклад, внаслідок стратегічної або критично важливої ​​для бізнесу діяльності з обробки), яка підтверджує, що те, що робиться там, відповідає нормі і що воно адекватно гарантує безпеку персональних даних. Перегляд кожні два роки може бути чудовим в організаціях, де не відбувається значних змін і до тих пір, поки проводиться постійний огляд. В інших частота повинна бути річною ...

Якщо продовжувати порівняння, це щось на зразок щоденного та генерального прибирання. Якщо ви прибираєте лише раз на рік, ви можете виявити більше ворсу ... І навіть при щоденному прибиранні необхідне генеральне прибирання. Ось яким має бути управління конфіденційністю: щось щоденне, узагальнене в організаціях як ще один елемент управління їх бізнесом. Таким чином, аудит не повинен бути страшним, але він буде інструментом для постійного вдосконалення, глибокої рефлексії (і більше, якщо це бачать "інші" очі) та реальної відповідності.

І багато хто каже нам: "Я МСП, мене ніхто не помітить". Ще одна велика помилка. Невиконання підстерігає за рогом, а недотримання через незнання не значиться як "пом'якшувальне".

Тому, щоб набрати "м'яз" у цьому захисті даних, необхідно ним займатися. І немає кращих вправ, ніж постійний огляд та усвідомлення того, що те, з чим ми маємо справу, є основним правом, яке заслуговує на нашу повну увагу та повагу.