Hea ettevõtte juht, kas Sina oled teadlik, mis on Sinu organisatsiooni suurimad riskid seoses GDPR-i ja IT turvalisusega? Ole hea ja esita endale neli olulist küsimust:
- Kas oled teadlik, kus asub Sinu ettevõtte andmekogu isikuandmetega ja kellel on ligipääs nendele süsteemidele?
- Mida ligipääsu omavad isikud Sinu ettevõtte süsteemides teha saavad? Kas süsteemides tehtud muudatusi logitakse ja kas tehtud muudatused on tagantjärele tuvastatavad?
- Kas Sinu ettevõttel on kokkulepitud andmete varundamise plaan ja kas IT teeb vastavalt sellele varundusi, mis vastavad tegelikkusele?
- Kas Sinu organisatsiooni infoturbe intsidentide jaoks on välja töötatud süsteemide taasteplaan (Disaster Recovery Plan) ja kas seda plaani testitakse regulaarselt?
Kui ülalesitatud neli peamist küsimust küber- ja andmekaitse turvalisuse tõhususe osas kõnetasid Sind, siis see oleks juba esimene märkimisväärne samm Sinu ettevõtte riskivabama andmete halduse suunal. Andmekaitse ei ole äritegevusest eraldiseisev ühekordne tegevus, vaid neid küsimusi tuleb endale esitada regulaarselt. Vastused küsimustele peaksid sõltuma mitte ainult tegelikult tuvastatud avalikest andmelekete hulgast, vaid ka muude „tavapäraste“ juhtumite sagedusest nagu näiteks: ligipääsude ajutine puudumine kasutajatel, ühiste kasutajatunnuste ja paroolide kasutamine mitme inimese poolt, infovahetus Euroopa Majandusühenduse (EEA) väliste isikutega, mitte asjasse puutuvate isikute vaba ligipääs kontorisse ja töökohtadele jpt.
Vaatamata asjaolule, et õigusaktid on abstraktsed ja keerulised, tuleb neid tõlgendada konkreetsete reaalselt elluviidavate tegevustena, võttes arvesse iga organisatsiooni eripära (sh ärivajadusi, süsteemide, andmete, poliitika jne eripära). Sedakaudu GDPR ei puuduta mitte ainult andmekaitse õiguslikke aspekte, vaid ka andmekaitse tehnilisi ja organisatsioonilisi aspekte. GDPR nõuab laiemat ja kombineeritud lähenemist, sh ärivajadustest lähtuvat lähenemist, ning kõigi nende eelnimetatud aspektide tundmist ja katmist asjakohasel tasemel. Seejuures on probleemide vältimiseks tavapäraselt tõhusamad just ennetavad meetmed, mitte keskendumine vaid tagantjärele väljatulnud vigade parandamisele.
GDPR üldmääruse läbiv joon on riskipõhine lähenemine. See tähendab, et mida andmelekke tundlikum on andmetöötlus, seda rangemad on andmekaitse regulatsioonid konkreetse organisatsiooni puhul. GDPR nõuete järgimine eeldab sedakaudu ka organisatsiooni siseseid täpsustavaid regulatsioone, mis käsitlevad andmete töötlust ja kaitset konkreetse organisatsiooni kontekstis. Laiemas pildis tähendab see, et ka andmekaitse riskide hindamine on üks fundamentaalsetest ja järjepidevatest tegevustest organisatsioonide igapäevatöös. Probleemi ilmnemisel ja/või avalikukstulekul peab olema võimalik näidata (Andmekaitse Inspektsioonile või halvimal juhul kohtule), et andmete kaitsmiseks ja rikkumiste vältimiseks rakendati mõistlikke ja asjakohaseid tagasi- ja edasiulatuvaid organisatsioonisiseseid meetmeid.
Tõhusad andmete kaitse ja privaatsuse tagamise programmid ja süsteemid arvestavad nii ettevõtte ärihuvisid, regulatsioonide nõudeid kui ka optimaalseid tehnoloogilisi võimalusi. ning aitavad sedakaudu kogu ettevõttes edendada andmete privaatsuse väärtustamise ja kaitse kultuuri nii juhtide kui ka töötajate poolt. Eesmärkide põhine kavandamine ja rakendamine võib lõppkokkuvõttena viia andmete, töötluse ja protsesside juhtimise kvaliteedi olulise paranemiseni tervikuna.
Vastavus GDPR üldmääruse nõuetega on aeganõudev ja järjepidev protsess, mida tuleb lisaks tagada organisatsioonis eetilise kultuuri väärtustamisega ning ressursside piiratuse korral kaasates vajadusel väljastpoolt oma ala tunnustatud ja sertifitseeritud asjatundjaid.
Esimese sammu tegemise hõlbustamiseks saame meie Sulle toeks ja juhendajaks olla olemasoleva situatsiooni kaardistamisel ning andmekaitse turvalisuse vastavusauditiga- GDPR vastavusauditiga. Meil on teadmised ja pikaajaline kogemus tekkinud või tekkivatele küsimustele vastamiseks ning nõu andmiseks, mis aitavad Su ettevõttel riskide tuvastamiseks ja maandamiseks parema lahenduse leida. GDPR auditis hindavad meie sertifitseeritud IT audiitorid muuhulgas ka Teie organisatsiooni IT turvalisuse hügieeni ning juhivad tähelepanu võimalikele ohuallikatele. Tuvastatud riskide ilmnemisel tehakse ettepanekuid, milliseid meetmeid tuleks rakendada, mis samal ajal oleksid kooskõlas organisatsiooni äritegevuse ja poliitikaga. Sellele omakorda järgnevad konkreetsed sammud ettevõtte poolt protseduuride parendamiseks. Teenus on mõeldud eelkõige ettevõttesiseseks kasutamiseks, kuid GDPR-auditi või ülevaatuse tulemusena oleme valmis väljastama ka kolmandatele osapooltele mõeldud kokkuvõtteid ja kinnitusi.
Võta ühendust meie asjatundjatega ning leiame koos Teie organisatsioonile sobiva lahenduse.