Η εφαρμογή του GDPR πλησιάζει ταχύτατα και ίσως το μεγαλύτερο αρχικό όφελος για τις επιχειρήσεις, είναι ότι θα τις βοηθήσει να συνειδητοποιήσουν την αξία των δεδομένων τους.

Δε θα ξέρεις τι έχεις” υπόσχεται η διαφήμιση τυχερού παιχνιδιού για να προσελκύσει το κοινό που ονειρεύεται μια άνετη ζωή απαλλαγμένη από το άγχος της δουλειάς. Mε μια μικρή παραλλαγή, η ίδια ατάκα μπορεί να δημιουργήσει τεράστιο άγχος στους εργαζόμενους μιας επιχείρησης που έχουν αναλάβει να φέρουν σε πέρας το έργο του GDRP compliance.

Η δημιουργία ενός αναλυτικού inventory προσωπικών δεδομένων είναι θεμελιώδης προϋπόθεση, ώστε η επιχείρηση να γνωρίζει τι έχει να προστατέψει. Στο άρθρο 30 του κανονισμού γίνεται σαφές ότι η επιχείρηση θα πρέπει να διατηρεί ένα πλήρες και αναλυτικό αρχείο των διαδικαστικών ενεργειών. Επομένως, τα προσωπικά δεδομένα θα πρέπει να είναι αντιστοιχισμένα με τις διαδικασίες, τις εφαρμογές και τις υποδομές που εμπλέκονται στη συλλογή, επεξεργασία, διανομή και αποθήκευσή τους. Αν για παράδειγμα ένας εργαζόμενος έχει στον υπολογιστή του 300 διευθύνσεις email σε ένα λογιστικό φύλλο, τις οποίες χρησιμοποιεί για να στέλνει ένα ημερήσιο newsletter και το αρχείο αυτό χρησιμοποιηθεί για spam από κάποιον τρίτο, είναι πιθανό η εταιρεία να βρεθεί υπόλογη απέναντι στους ελεγκτές του κανονισμού GDPR, ο οποίος τίθεται σε ισχύ από τις 25 Μαΐου αυτού του έτους.

Από το Data Management στο Governance
Οι εταιρείες που παρέχουν προϊόντα λογισμικού έχουν εδώ και καιρό αρχίσει να επισημαίνουν το συγκεκριμένο κίνδυνο και να προτείνουν στους πελάτες τους, αυτοματοποιημένες λύσεις.

Σχεδόν τα μισά από τα 99 άρθρα του κανονισμού είναι συνδεδεμένα με επιχειρηματικές διαδικασίες, φύλαξη καταγραφών και αρμοδιότητες ατόμων και ομάδων. Ένας απλός κανόνας που χρειάζεται να επιβληθεί σε επίπεδο εταιρικής διακυβέρνησης είναι ότι κάθε επεξεργασία δεδομένων θα πρέπει να συνδέεται με ένα σκοπό που έχει ορισμένο επιχειρηματικό αποτέλεσμα, ξεκάθαρη νομική αιτιολόγηση και ορισμένο χρόνο ζωής.

Τα δεδομένα των πελατών γίνονται πραγματικά πολύτιμα
Οι βόμβες του πολέμου των εταιρειών κινητής τηλεφωνίας, συχνά πέφτουν στα κεφάλια ανυπεράσπιστων πολιτών που προσπαθούν να χαλαρώσουν μετά από μια κοπιαστική μέρα. Κανάλια άμεσης επικοινωνίας, όπως το email και το κινητό τηλέφωνο, αξιοποιούνται καθημερινά από επιχειρήσεις που θέλουν να διαθέσουν τα προϊόντα τους στην αγορά.

Τα προσωπικά δεδομένα των πελατών εντάσσονται στην επιχειρηματική ενότητα Customer Relationship Management και ανάλογα με τη σοβαρότητα τους είναι προσβάσιμα σε συγκεκριμένες ομάδες εργαζομένων. Για παράδειγμα, ο εργαζόμενος στο call center μιας τράπεζας έχει τη δυνατότητα να δει λιγότερα προσωπικά δεδομένα από αυτά που μπορεί να δει ο προσωπικός σύμβουλος εξυπηρέτησης ενός πελάτη με πολλά περιουσιακά στοιχεία.

Και ενώ οι τράπεζες έχουν επενδύσει σημαντικά ώστε τα στεγανά να παραμένουν στεγανά, άλλες κατηγορίες επιχειρήσεων, μεταξύ των οποίων και οι τηλεπικοινωνίες δεν έχουν πετύχει το ίδιο. Και είναι εύλογο να θεωρήσουμε ότι αν αυτό δεν το έχουν πετύχει εταιρείες αυτού του μεγέθους, η κατάσταση που επικρατεί στην κατηγορία των μικρομεσαίων επιχειρήσεων θα είναι χαοτική.

Επίσης είναι ενδιαφέρον να σκεφτούμε ότι αν μια τράπεζα, παρά τις προφυλάξεις που έχει πάρει, πέσει θύμα κλοπής προσωπικών δεδομένων, θα πληρώσει ένα υψηλό μεν πρόστιμο, αλλά δύσκολα θα απειληθεί η βιωσιμότητά της. Για μια μικρομεσαία επιχείρηση το πρόστιμο αυτό μπορεί να σημαίνει και το τέλος της.

Τόσα σημαντικά θέματα, τόσο λίγος χρόνος
Είναι σχεδόν βέβαιο ότι στις 26 Μαΐου δε θα βγουν στους δρόμους “απειλητικοί” ελεγκτές, προκειμένου να διαπιστώσουν την προσαρμογή των επιχειρήσεων στον κανονισμό GDPR. Πιο πιθανό είναι το σενάριο να γίνουν σταδιακά κάποιες τροποποιήσεις που θα φέρουν τον κανονισμό σε “ανθρώπινα” μέτρα, ώστε να αναδειχτούν τα οφέλη του και όχι να γίνει θηλιά στο λαιμό των επιχειρήσεων.

Πρακτικά, υπάρχουν εταιρείες που θα μπορούσαν να ενταχτούν ήδη στην κατηγορία “GDPR compliant”, δεδομένου ότι ο κανονισμός που προηγήθηκε του GDPR ήταν εξίσου αυστηρός, αλλά με λιγότερο αυστηρά πρόστιμα. Ωστόσο, υπάρχει και ένα μεγάλο ποσοστό επιχειρήσεων, οι οποίες κάπου τώρα ακούν για πρώτη φορά την ύπαρξη του κανονισμού και χρειάζεται να βάλουν το πόδι στο γκάζι για να προφτάσουν τις υπόλοιπες.


GDPR: Ευκαιρία βελτίωσης των ελληνικών επιχειρήσεων
Ίσως σε αυτήν τη φάση, ο κανονισμός GDPR να φαίνεται αρκετά πιεστικός για τις επιχειρήσεις και ειδικά τις μικρομεσαίες, αλλά στο τέλος της διαδρομής θα διαπιστώσουν ότι η άσκηση έχει οφέλη και θα αυξήσει την εμπιστοσύνη των πελατών σε αυτές.

Ο Νίκος Γεωργόπουλος είναι από τους λίγους πρωτοπόρους στην ελληνική αγορά που εστίασαν την προσοχή τους στην ασφάλιση κινδύνων που προέρχονται από περιστατικά παραβίασης συστημάτων και απώλειας δεδομένων (cyber/data breach insurance). Αρκετά χρόνια πριν, σε μια άλλη συνέντευξη που είχαμε κάνει μαζί του, μας είχε πει ότι το GDPR θα αλλάξει τα κριτήρια επιλογής προϊόντων και υπηρεσιών από τους πελάτες οι οποίοι θα θέλουν να συνεργάζονται με εταιρίες που προστατεύουν τα προσωπικά δεδομένα τους. Τώρα έρχεται η ώρα που όπως όλα δείχνουν θα επιβεβαιωθεί η πρόβλεψη αυτή και όλοι ελπίζουν αυτό να γίνει με τον καλύτερο δυνατό τρόπο για τις ελληνικές επιχειρήσεις.

    «Είναι σχεδόν αδύνατο να επιτευχθεί συμμόρφωση με το GDPR χωρίς τη σωστή διαχείριση δεδομένων; Αυτή είναι μια πολύ κοινή φράση κατά τη διάρκεια των προετοιμασιών, αλλά τι σημαίνει στην πράξη;

Η συμμόρφωση με το GDPR είναι συνδεδεμένη με την σωστή διακυβέρνηση των δεδομένων. Μια δομημένη και ολιστική προσέγγιση Data Governance στα πλαίσια του νέου Κανονισμού περιλαμβάνει τις ακόλουθες πέντε φάσεις: Ανακάλυψη (Discover), ανακαλύπτονται τα δεδομένα του οργανισμού, αντιστοιχούνται σε ιδιοκτήτες, κατηγοριοποιούνται ανάλογα με την αξία τους και το βαθμό ευαισθησίας τους. Χαρτογράφηση (Data Mapping) χαρτογράφηση των δεδομένων που χρησιμοποιεί ο οργανισμός, και οι ροές αυτών των δεδομένων. Προστασία (Protect), υλοποιούνται οι μηχανισμοί προστασίας των δεδομένων τόσο αναφορικά με την διατήρηση της εμπιστευτικότητα και ακεραιότητας, όσο και από μη εξουσιοδοτημένη πρόσβαση. Έλεγχος (Control), υλοποιούνται μηχανισμοί έλεγχου της πρόσβασης στην πληροφορία και της αποτροπής διαρροών και μη χρηστής χρήσης. Αναζήτηση (Investigate), υλοποιούνται μηχανισμοί παρακολούθησης των παραπάνω, καθώς και αναζήτησης πληροφοριών. Μετά την ολοκλήρωση των παραπάνω φάσεων κάθε οργανισμός γνωρίζει τα δεδομένα και τις διαδικασίες που χρησιμοποιεί για να τα προστατεύσει και μπορεί να αντιδράσει αποτελεσματικά σε ενα περιστατικό παραβίασης των συστημάτων του και απώλειας προσωπικών δεδομένων.

Καθοριστικό ρόλο στην συμμόρφωση μιας εταιρίας με το GDPR έχει αποκτήσει ο Data Protection Officer Είναι το άτομο που θα ορίσει τις πολιτικές και τις διαδικασίες για την προστασία των προσωπικών δεδομένων και την υλοποίησή τους σε συνεργασία με τα αρμόδια τμήματά της. Ο Data Protection Officer θα πρέπει να έχει τις κατάλληλες γνώσεις και δεξιότητες για να ανταποκριθεί στον ρόλο του, αποδεδειγμένη γνώση και εμπειρία στη νομοθεσία και πρακτική εφαρμογή των διαδικασιών διαχείρισης προσωπικών δεδομένων, εχέγγυα ανεξαρτησίας και να αναφέρεται απευθείας στον CEO ή σε μέλος του Δ.Σ. μίας εταιρείας. Σημαντικός παράγοντας στην επιλογή στελεχών για τη θέση του DPO είναι και η κατοχή σχετικής πιστοποίησης από τους υποψηφίους.

    Ορισμένες μεγάλες εταιρίες διαθέτουν την δυνατότητα προσαρμογής στα νέα δεδομένα που ζητά το GDPR. Σε χώρες όπως η Ελλάδα, οι μικρές και μεσαίες επιχειρήσεις είναι πάνω από το 80% της οικονομίας. Ποιες είναι οι δυνατότητες συμμόρφωσης για αυτές τις εταιρείες;

Στον Γενικό Κανονισμό Προστασία Προσωπικών Δεδομένων υπάρχει η αρχή της αναλογικότητας αυτό σημαίνει ότι κάθε εταιρία θα πρέπει να λάβει τα κατάλληλα μέτρα σύμφωνα με το μέγεθός της και την δραστηριότητά της. Η συμμόρφωση περιλαμβάνει, διαδικασίες & πολιτικές, τεχνολογίες και εκπαίδευση ανθρώπινου δυναμικού άρα κάθε εταιρία θα πρέπει να εξετάσει τα παραπάνω και να δημιουργήσει ένα σύστημα διαχείρισης και προστασίας των δεδομένων που διαχειρίζεται και αυτό αποτελεί το πρώτο βήμα. Η συμμόρφωση με το Γενικό Κανονισμό είναι ένας κοινός παράγοντας για όλες τις επιχειρήσεις της Ευρωπαϊκής Ένωσης, όχι μόνο για τις ελληνικές. Αυτό που παρατηρείται είναι ότι έργα συμμόρφωσης ξεκινούν πρώτα οι μεγάλες εταιρείες, οι οποίες λόγω μεγέθους χρειάζονται περισσότερο χρόνο, και ακολουθούν με κάποια καθυστέρηση οι μικρότερες. Οι ελληνικές επιχειρήσεις βρίσκονται στο ίδιο στάδιο συμμόρφωσης με τις αντίστοιχες Ευρωπαϊκές ίδιου μεγέθους.


    Οι πλατφόρμες διαχείρισης δεδομένων έχουν μέχρι τώρα αποδειχθεί πολύτιμοι βοηθοί για τους digital marketers, δίνοντάς τους τη δυνατότητα να εντοπίζουν ομάδες αγοραστών υψηλής αξίας, αξιοποιώντας κυρίως δεδομένα που έχουν συλλέξει άλλοι. Πως το GDPR επηρεάζει την εργασία τους;

Οι πλατφόρμες διαχείρισης δεδομένων διαδραματίζουν όλο και πιο σημαντικό ρόλο βοηθώντας τους digital marketers να βρουν ακροατήρια υψηλής αξίας, βασισμένες σε μεγάλο βαθμό στη συλλογή δεδομένων από τρίτους χωρίς μεγάλη διαφάνεια. Οι πλατφόρμες αυτές δεδομένων επεξεργάζονται κυρίως δεδομένα τρίτων μερών που έχουν αποκτήσει με την χρήση cookies και σύμφωνα με τους ισχύοντες νόμους, δεν απαιτείται απαραίτητα η συγκατάθεση των υποκειμένων. Ο GDPR απαιτεί ότι τα προσωπικά δεδομένα – συμπεριλαμβανομένων των δεδομένων που συλλέγονται μέσω cookies – μπορούν να χρησιμοποιηθούν μόνο με τη ρητή συγκατάθεση των ατόμων. Αυτό σημαίνει ότι οι πλατφόρμες διαχείρισης δεδομένων θα πρέπει να ξαναδούν τον τρόπο λειτουργίας τους για να είναι συμβατός με το GDPR.

    Όλη αυτή η προσπάθεια για συμμόρφωση με το GDPR έχει απλώς ως αποτέλεσμα καλύτερη προστασία δεδομένων ή είναι δυνατόν να διαφοροποιηθεί ο ψηφιακός μετασχηματισμός μιας επιχείρησης;

Η συμμόρφωση με το GDPR θα βοηθήσει τις επιχειρήσεις να αποκτήσουν μια πλήρη εικόνα για τις πληροφορίες που διατηρούν και την αξία τους και θα είναι σε θέση να εκλογικεύσουν τους πόρους τους με αποτελεσματικό χειρισμό, για την ασφάλεια και τη διατήρηση των πληροφοριών που έχουν πραγματική επιχειρηματική αξία. Ετσι το GDPR θα συμβάλλει αποτελεσματικά και στον ψηφιακό μετασχηματισμό μιας επιχείρησης δίνοντας έμφαση σε εκείνους τους τομείς που έχουν αξία. Επιπλέον χρησιμοποιώντας την γνώση που της προσφέρει η χρήση των δεδομένων που έχει στην διάθεσή της κάθε εταιρία αποκτά ένα σημαντικό εργαλείο λήψεως αποφάσεων, μπορεί να δημιουργήσει ειδικές υπηρεσίες & προϊόντα, οι οποίες μπορούν να πιστοποιηθούν οτι είναι συμβατές με το GDPR, να αυξήσει την πιστότητα των πελατών της και να διαφοροποιήσει την πρότασή της στον πελάτη δημιουργώντας ανταγωνιστικό πλεονέκτημα.

    Πως μπορεί η ασφάλιση Cyber Insurance να βοηθήσει μια εταιρία που έχει να αντιμετωπίσει ένα περιστατικό παραβίασης;

Ο Κανονισμός ζητά από κάθε εταιρεία τη λήψη των κατάλληλων τεχνικών και οργανωτικών μέτρων για την προστασία της πληροφορίας. Η ασφάλιση cyber insurance αποτελεί ένα εργαλείο διαχείρισης του υπολειπόμενου κινδύνου (residual risk) που δεν μπορεί να μειωθεί περαιτέρω με πολιτικές και διαδικασίες. Λαμβάνοντας υπόψη ότι 100% ασφάλεια δεν υπάρχει, οι επιχειρήσεις θα πρέπει να εξετάσουν την δυνατότητα μεταφοράς του υπολειπόμενου κινδύνου (residual risk) που δεν μπορεί να μειωθεί περαιτέρω με πολιτικές και διαδικασίες σε ασφαλιστικά προϊόντα cyber insurance.

Η ασφάλιση Cyber Insurance είναι ένα κρίσιμο κομμάτι της συνολικής στρατηγικής για τη διαχείριση των κινδύνων. Ενώ η ασφάλιση δεν μπορεί να εμποδίσει ένα περιστατικό παραβίασης ασφάλειας, μπορεί εκτός από την κάλυψη των οικονομικών επιπτώσεων, να βοηθήσει και το πρόγραμμα αντιμετώπισης περιστατικών της εταιρείας με την παροχή βοήθειας μέσω εξειδικευμένων παρόχων που παρέχουν τις κατάλληλες υποδομές και το κατάλληλο ανθρώπινο δυναμικό, όταν εμφανίζεται συμβάν, μειώνοντας τις επιπτώσεις της παραβίασης στους πελάτες και τη φήμη της εταιρείας.

Για την ενημέρωση των εταιρειών σχετικά με την χρήση της ασφάλισης cyber insurance, τον Κανονισμό, την πρόληψη και αντιμετώπιση περιστατικών παραβίασης συστημάτων και απώλειας δεδομένων, δημιουργήσαμε την εκπαιδευτική μηχανή www.cyberinsurancequote.gr η οποία βραβεύθηκε με βραβείο καινοτομίας από την αγορά Lloyd’s.