Plnenie neustále sa vyvíjajúcich regulačných požiadaviek (najmä GDPR a e-IDAS) je treba chápať ako živú, komplexnú, dynamickú a neustále sa vyvíjajúcu oblasť, ktorá sa bytostne týka viac-menej každej organizácie a prakticky všetkých jej zložiek. Jednoduché riešenie, ktoré by vyriešilo všetky problémy, v tejto oblasti neexistuje. To isté platí o bezpečnostných softvérových riešeniach, ktoré už z podstaty tohto problému pokryjú vždy len určitú časť súvisiacich procesov (IAM, SIEM, DLP, Retention management tools a p.).
Z tohto dôvodu sme sa v EMARKu rozhodli ísť cestou spolupráce a v čo možno najširšom spektre pokryť potreby klientov holistickým prístupom a komplexným setom softvérových nástrojov, ktoré adekvátne pokrývajú procesy, problémy a súvisiace otázky.
Je treba si uvedomiť, že bez adekvátneho rozdelenia zdrojov a súčasne nastavenia organizačnej a procesnej štruktúry, bude každý projekt len izolovaným pokusom o „záplatu“ na práve objavený problém. Z tohto dôvodu sa na projekty tohto typu pozeráme holisticky cez Information Governance, ktorá sa na problém dát a ich transformáciu na informácie sústredí cez procesné ukotvenie, ich životný cyklus a príslušné interakcie v rámci manažmentu dát.
V EMARKu GDPR výzvu adresujeme konkrétnymi procesnými krokmi a úlohami, ktoré stoja na pilieroch preverenej BI platformy Qlik Sense a našich skúsenostiach s dátovými analýzami z viac ako 160 úspešných BI projektov. Následne, pre nastavenie politík pre úschovu a zálohu dokumentov, využívame riešenie Information Governance partnerskej firmy GlassIG a ďalších partnerov v oblasti informačnej bezpečnosti pre zabezpečenie dát.
Referencie v texte sa vzťahujú na Nariadenie európskeho parlamentu a Rady EÚ 2016/679o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov.
S čím KONKRÉTNE vám môžeme pomôcť?
1. Information Governance & Risk Management
Pomôžeme vám s nastavením Information Governance Frameworku a procesov, ktorých súčasťou sú rozhodnutia kľúčové pre GDPR (právo na prenos; právo byť zabudnutý vs. právne požiadavky pre retenčnú politiku) prostredníctvom našej partnerskej organizácie GlassIG a ich Information Governance riešenia.
Taktiež vieme pomôcť pri napájaní procesných potrieb GDPR do interného kontrolného systému prostredníctvom spolupráce s partnerskou spoločnosťou v oblasti nástroja pre Risk Management dokumentáciu, alebo sprostredkovať dátové napojenie do vašej aplikácie.
2. Súhlasy a zhoda s nariadením (Consent & Compliance)
(Články 7 a 8, odporúčanie. 42; Články 5, 24, 26, 28, 32, 33, 34, odp. 74, 77, 78, 84 – 86)
GDPR Dashboard
Pripravíme GDPR Governance & Management Dashboard (ďalej len „Dashboard“), pokrývajúci najdôležitejšie oblasti, ktoré je potrebné riadiť, sledovať a vyhodnocovať. (Dashboard môže napríklad obsahovať sledovanie či KPI vizualizácie všetkých požiadaviek, súhlasov, prevádzkovateľov, spoločných prevádzkovateľov, spracovávateľov, dôvody pre spracovávanie, výnimky, súkromné a verejné upozornenia a notifikácie, cezhraničné transfery a teritoriálne výnimky).
Súčasťou Dashboardu môže byt aj sledovanie a monitorovanie non-EÚ organizácií za účelom identifikácie, zacielenia a analýzy všetkých entít, ktoré spracovávajú osobné dáta a súvisiace zložky (vrátane všetkých potrebných informácií, ako napríklad požiadavky pre spracovávanie osobných dát; úroveň zhody s GDPR; kde sú dáta spracovávané a kým; kto má prístup k týmto dátam mimo EÚ; záležitosti súvisiace s non-EÚ entitami atď.)
Nainštalujeme a podľa konkrétnych potrieb nastavím analytickú aplikáciu EMARK Mole, ktorá umožní vykonávať adekvátne kontroly nad manažmentom dokumentov a informačných zdrojov v nasledovných oblastiach:
- Sledovanie politík, procesov, procedúr, manuálov a iných dokumentov relevantných pre GDPR
- Status a referencie na GDPR zdroje
- Ďalšie potrebné informácie ako lokalita a sieťové zložky, kde sa dokumenty nachádzajú; biznisový a technický vlastník; status atď.
Naše nástroje vám pomôžu poloautomaticky, teda prostredníctvom kontextového a obsahového vyhľadávania identifikovať, kde sa Vaše dáta s osobnými a citlivými údajmi nachádzajú, kto je za nich zodpovedný a ktorému oddeleniu patria (môžeme pridať využívanie umelej inteligencie a postupov „machine learning“).
Vytvoríme komplexné vizualizácie a ďalšie dashboardy, ktoré vďaka pokročilým analytickým nástrojom vám pomôžu zamerať sa na kľúčové oblasti. Napríklad podľa práv dotknutej osoby (Články 12, 15 – 23, odp. 63 – 73) – organizácie by mali byť schopné vyhľadávať, filtrovať a izolovať informácie, ktoré musia byť zhodné s právami dotknutej osoby. Firmy by tiež mali disponovať mechanizmami, ktoré sú schopné reagovať do jedného mesiaca a zvážiť či práva môžu byť priznané ako celok alebo individuálne – samoobslužne.
Máme nástroje a znalosti pre Data Lineage a Data Quality analýzy, ktoré pomôžu zodpovedať otázky ako: odkiaľ pochádzajú vaše dáta, kde sa nachádzajú, kde boli spracovávané, či aká je ich dostupnosť alebo kto k nim má prístup na čítanie, prípadne editáciu.
3. Bezpečnosť
(Článok 37 – 39, odp. 97; Článok 30, odp. 82; Článok 25, odp. 74-78, 83)
Organizácie musia preukázať, že svoje dáta majú bezpečne uložené (security and privacy by default), na čo máme v EMARKu niekoľko partnerských analytických aplikácií. Spolupracujeme napríklad so spoločnosťami a špecialistami na sieťovú bezpečnosť, oblasť DLP alebo kontroly užívateľských a administrátorských účtov.
Pripravíme špeciálny dashboard, ktorý zobrazuje prístup k osobným dátam podľa špecifických osôb, oddelení, dôvodov alebo napríklad úložísk.
Pripravíme analytickú aplikáciu, ktorá poskytuje detailný pohľad a osobné údaje uložené v IT systémoch organizácie. Aplikácia okrem iného ukáže:
- Objem osobných dát uložených naprieč všetkými informačnými systémami
- Vyžadovaný pseudonymizačný level dát
- Úroveň synchronizácie osobných dát naprieč systémami (redundancia, osobné dáta, ktoré sú uložené bez povolenia, atd.)
Pre potrebu zodpovedného Data Protection Officer (DPO) alebo Chief information Security Officer (CISO) vieme v riešení Qlik Sense pripraviť Cybersecurity Dashboard, ktorý je schopný analyzovať a vizualizovať dáta sieťovej prevádzky a logov (FW, IDS, OS, App, network), tak aby bolo možné analyzovať tok dát naprieč celou podnikovou sieťou (vrátane zdroja a destinácie), alebo napojiť relevantné dáta na Cybersecurity Dashboard priamo zo Security Information and Event Management (SIEM) riešenia.
Podporíme vás v iniciatíve zdokumentovať a popísať uskutočnené technické a organizačné bezpečnostné opatrenia (s referenciou na ISP alebo relevantné bezpečnostné rámce a štandardy ako napríklad COBIT, ISO či NIST)
4. Privacy Impact Assesment (PIAs)
(Článok 35, odp. 84, 89 – 95; Článok 36, odp. 84)
- Dashboard (spomenutý v sekcii 1) môžeme rozšíriť o aktivity, kontrolné činnosti a výsledky z PIA v organizácii pre účely Risk managementu alebo manažérskeho reportingu.
- Môžeme Vás tiež podporiť aj vykonaním samotných PIA
5. Big Data, výskum a plne automatizovaný proces rozhodovania
(Článok 6, 9, 21, 22, 89; odp. 50, 65, 71, 91, 156 – 163)
Organizácie by mali dokumentovať všetky predpoklady, vplyvy a zvážené informácie a zaistiť, že využívanie osobných údajov je v súlade so znením Článku 29 (kde sú dáta využívané na sekundárne účely nad rámec vedeckého, štatistického a historického účelu). Vizualizácie v Dashboarde môžu obsahovať:
- Prepojenia medzi pôvodným a sekundárnym účelom
- Kontext a vzťah medzi dotknutou osobou a spracovávateľom
- Povahu osobných dát
- Možné následky spracovania a nesprávneho spracovania dát
- Bezpečnostné opatrenia (funkčná separácia, šifrovanie, pseudonymizácia)
- Zváženie dôsledkov ochrany dát
6. Poradenstvo a podpora zodpovednej osoby
(Článok 39)
Pripravíme aplikáciu pre analytické školenia, ktorá zhromaždí dáta z vybraných e-learningových systémov na monitorovanie a analýzu:
- Zručností a školení potrebných pre GDPR a ostatné požiadavky
- Úroveň znalostí zodpovedných osôb, zamestnancov či špecializovaného oddelenia
- Aktuálnu úroveň preškolenia
- Priebežný prehľad absolvovania školení vrátane začiatku a konca platnosti certifikácií
- Dohľad nad školeniami biznisových a technických vlastníkov procesu
Pozn. Organizácie väčšinou využívajú interné e-learningové platformy, ktoré umožňujú exportovať excelovské súbory so statusmi.
7. Porušenie ochrany osobných údajov
(Články 33-34, odp. 85-86)
Pri kompromitácii osobných údajov zákon poskytuje 72-hodinovú lehotu na notifikáciu relevantných úradov a tiež požaduje „bez zbytočného odkladu“ upozorniť dotknuté osoby, ak nastanú vysoko rizikové okolnosti. Tiež vyžaduje, aby zodpovedná osoba v organizácii udržiavala evidenciu, kde sú zaznamenané všetky narušenia integrity osobných údajov.
- Môžeme poskytnúť nástroje, ktoré dokážu vizualizovať rozhodovacie stromy v prípade porušenia bezpečnosti a ochrany osobných údajov
- Môžeme poskytnúť detailné reporty z evidencie narušení integrity osobných údajov, vrátane predpripravených šablón a formulárov.
