Emark

Plnenie neustále sa vyvíjajúcich regulačných požiadaviek (najmä GDPR a e-IDAS) je treba chápať ako živú, komplexnú, dynamickú a neustále sa vyvíjajúcu oblasť, ktorá sa bytostne týka viac-menej každej organizácie a prakticky všetkých jej zložiek. Jednoduché riešenie, ktoré by vyriešilo všetky problémy, v tejto oblasti neexistuje. To isté platí o bezpečnostných softvérových riešeniach, ktoré už z podstaty tohto problému pokryjú vždy len určitú časť súvisiacich procesov (IAM, SIEM, DLP, Retention management tools a p.).

Z tohto dôvodu sme sa v EMARKu rozhodli ísť cestou spolupráce a v čo možno najširšom spektre pokryť potreby klientov holistickým prístupom a komplexným setom softvérových nástrojov, ktoré adekvátne pokrývajú procesy, problémy a súvisiace otázky.

Je treba si uvedomiť, že bez adekvátneho rozdelenia zdrojov a súčasne nastavenia organizačnej a procesnej štruktúry, bude každý projekt len izolovaným pokusom o „záplatu“ na práve objavený problém. Z tohto dôvodu sa na projekty tohto typu pozeráme holisticky cez Information Governance, ktorá sa na problém dát a ich transformáciu na informácie sústredí cez procesné ukotvenie, ich životný cyklus a príslušné interakcie v rámci manažmentu dát.

V EMARKu GDPR výzvu adresujeme konkrétnymi procesnými krokmi a úlohami, ktoré stoja na pilieroch preverenej BI platformy Qlik Sense a našich skúsenostiach s dátovými analýzami z viac ako 160 úspešných BI projektov. Následne, pre nastavenie politík pre úschovu a zálohu dokumentov, využívame riešenie Information Governance partnerskej firmy GlassIG a ďalších partnerov v oblasti informačnej bezpečnosti pre zabezpečenie dát.

Referencie v texte sa vzťahujú na Nariadenie európskeho parlamentu a Rady EÚ 2016/679o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov.

S čím KONKRÉTNE vám môžeme pomôcť?

1. Information Governance & Risk Management

Pomôžeme vám s nastavením Information Governance Frameworku a procesov, ktorých súčasťou sú rozhodnutia kľúčové pre GDPR (právo na prenos; právo byť zabudnutý vs. právne požiadavky pre retenčnú politiku) prostredníctvom našej partnerskej organizácie GlassIG a ich Information Governance riešenia.

Taktiež vieme pomôcť pri napájaní procesných potrieb GDPR do interného kontrolného systému prostredníctvom spolupráce s partnerskou spoločnosťou v oblasti nástroja pre Risk Management dokumentáciu, alebo sprostredkovať dátové napojenie do vašej aplikácie.

2. Súhlasy a zhoda s nariadením (Consent & Compliance)

(Články 7 a 8, odporúčanie. 42; Články 5, 24, 26, 28, 32, 33, 34, odp. 74, 77, 78, 84 – 86)

GDPR Dashboard

Pripravíme GDPR Governance & Management Dashboard (ďalej  len „Dashboard“), pokrývajúci najdôležitejšie oblasti, ktoré je potrebné riadiť, sledovať a vyhodnocovať. (Dashboard môže napríklad obsahovať sledovanie či KPI vizualizácie všetkých požiadaviek, súhlasov, prevádzkovateľov, spoločných prevádzkovateľov, spracovávateľov, dôvody pre spracovávanie, výnimky, súkromné a verejné upozornenia a notifikácie, cezhraničné transfery a teritoriálne výnimky).

Súčasťou Dashboardu môže byt aj sledovanie a monitorovanie non-EÚ organizácií za účelom identifikácie, zacielenia a analýzy všetkých entít, ktoré spracovávajú osobné dáta a súvisiace zložky (vrátane všetkých potrebných informácií, ako napríklad požiadavky pre spracovávanie osobných dát; úroveň zhody s GDPR; kde sú dáta spracovávané a kým; kto má prístup k týmto dátam mimo EÚ; záležitosti súvisiace s non-EÚ entitami atď.)

Nainštalujeme a podľa konkrétnych potrieb nastavím analytickú aplikáciu EMARK Mole, ktorá umožní vykonávať adekvátne kontroly nad manažmentom dokumentov a informačných zdrojov v nasledovných oblastiach:

  • Sledovanie politík, procesov, procedúr, manuálov a iných dokumentov relevantných pre GDPR
  • Status a referencie na GDPR zdroje
  • Ďalšie potrebné informácie ako lokalita a sieťové zložky, kde sa dokumenty nachádzajú; biznisový a technický vlastník; status atď.

Naše nástroje vám pomôžu poloautomaticky, teda prostredníctvom kontextového a obsahového vyhľadávania identifikovať, kde sa Vaše dáta s osobnými a citlivými údajmi nachádzajú, kto je za nich zodpovedný a ktorému oddeleniu patria (môžeme pridať využívanie umelej inteligencie a postupov „machine learning“).

Vytvoríme komplexné vizualizácie a ďalšie dashboardy, ktoré vďaka pokročilým analytickým nástrojom vám pomôžu zamerať sa na kľúčové oblasti. Napríklad podľa práv dotknutej osoby (Články 12, 15 – 23, odp. 63 – 73) – organizácie by mali byť schopné vyhľadávať, filtrovať a izolovať informácie, ktoré musia byť zhodné s právami dotknutej osoby. Firmy by tiež mali disponovať mechanizmami, ktoré sú schopné reagovať do jedného mesiaca a zvážiť či práva môžu byť priznané ako celok alebo individuálne – samoobslužne.

Máme nástroje a znalosti pre Data Lineage a Data Quality analýzy, ktoré pomôžu zodpovedať otázky ako: odkiaľ pochádzajú vaše dáta, kde sa nachádzajú, kde boli spracovávané, či aká je ich dostupnosť alebo kto k nim má prístup na čítanie, prípadne editáciu.

3. Bezpečnosť

(Článok 37 – 39, odp. 97; Článok 30, odp. 82; Článok 25, odp. 74-78, 83)

Organizácie musia preukázať, že svoje dáta majú bezpečne uložené (security and privacy by default), na čo máme v EMARKu niekoľko partnerských analytických aplikácií. Spolupracujeme napríklad so spoločnosťami a špecialistami na sieťovú bezpečnosť, oblasť DLP alebo kontroly užívateľských a administrátorských účtov.

Pripravíme špeciálny dashboard, ktorý zobrazuje prístup k osobným dátam podľa špecifických osôb, oddelení, dôvodov alebo napríklad úložísk.

Pripravíme analytickú aplikáciu, ktorá poskytuje detailný pohľad a osobné údaje uložené v IT systémoch organizácie. Aplikácia okrem iného ukáže:

  • Objem osobných dát uložených naprieč všetkými informačnými systémami
  • Vyžadovaný pseudonymizačný level dát
  • Úroveň synchronizácie osobných dát naprieč systémami (redundancia, osobné dáta, ktoré sú uložené bez povolenia, atd.)

Pre potrebu zodpovedného Data Protection Officer (DPO) alebo Chief information Security Officer (CISO) vieme v riešení Qlik Sense pripraviť Cybersecurity Dashboard, ktorý je schopný analyzovať a vizualizovať dáta sieťovej prevádzky a logov (FW, IDS, OS, App, network), tak aby bolo možné analyzovať tok dát naprieč celou podnikovou sieťou (vrátane zdroja a destinácie), alebo napojiť relevantné dáta na Cybersecurity Dashboard priamo zo Security Information and Event Management (SIEM) riešenia.

Podporíme vás v iniciatíve zdokumentovať a popísať uskutočnené technické a organizačné bezpečnostné opatrenia (s referenciou na ISP alebo relevantné bezpečnostné rámce a štandardy ako napríklad COBIT, ISO či NIST)

4. Privacy Impact Assesment (PIAs)

(Článok 35, odp. 84, 89 – 95; Článok 36, odp. 84)

  • Dashboard (spomenutý v sekcii 1) môžeme rozšíriť o aktivity, kontrolné činnosti a výsledky z PIA v organizácii pre účely Risk managementu alebo manažérskeho reportingu.
  • Môžeme Vás tiež podporiť aj vykonaním samotných PIA

5. Big Data, výskum a plne automatizovaný proces rozhodovania

(Článok 6, 9, 21, 22, 89; odp. 50, 65, 71, 91, 156 – 163)

Organizácie by mali dokumentovať všetky predpoklady, vplyvy a zvážené informácie a zaistiť, že využívanie osobných údajov je v súlade so znením Článku 29 (kde sú dáta využívané na sekundárne účely nad rámec vedeckého, štatistického a historického účelu). Vizualizácie v Dashboarde môžu obsahovať:

  • Prepojenia medzi pôvodným a sekundárnym účelom
  • Kontext a vzťah medzi dotknutou osobou a spracovávateľom
  • Povahu osobných dát
  • Možné následky spracovania a nesprávneho spracovania dát
  • Bezpečnostné opatrenia (funkčná separácia, šifrovanie, pseudonymizácia)
  • Zváženie dôsledkov ochrany dát

6. Poradenstvo a podpora zodpovednej osoby

(Článok 39)

Pripravíme aplikáciu pre analytické školenia, ktorá zhromaždí dáta z vybraných e-learningových systémov na monitorovanie a analýzu:

  • Zručností a školení potrebných pre GDPR a ostatné požiadavky
  • Úroveň znalostí zodpovedných osôb, zamestnancov či špecializovaného oddelenia
  • Aktuálnu úroveň preškolenia
  • Priebežný prehľad absolvovania školení vrátane začiatku a konca platnosti certifikácií
  • Dohľad nad školeniami biznisových a technických vlastníkov procesu

Pozn. Organizácie väčšinou využívajú interné e-learningové platformy, ktoré umožňujú exportovať excelovské súbory so statusmi.

7. Porušenie ochrany osobných údajov

(Články 33-34, odp. 85-86)

Pri kompromitácii osobných údajov zákon poskytuje 72-hodinovú lehotu na notifikáciu relevantných úradov a tiež požaduje „bez zbytočného odkladu“ upozorniť dotknuté osoby, ak nastanú vysoko rizikové okolnosti. Tiež vyžaduje, aby zodpovedná osoba v organizácii udržiavala evidenciu, kde sú zaznamenané všetky narušenia integrity osobných údajov.

  • Môžeme poskytnúť nástroje, ktoré dokážu vizualizovať rozhodovacie stromy v prípade porušenia bezpečnosti a ochrany osobných údajov
  • Môžeme poskytnúť detailné reporty z evidencie narušení integrity osobných údajov, vrátane predpripravených šablón a formulárov.

Zaujíma vás téma GDPR a ochrana osobných dát? Porozprávajme sa.

Napíšte nám na emark@emark.sk.

EMARK Online DataTalks – podívejte se na naše další webináře

Superrýchle insighty pro agilní řízení byznysu