Στο πλαίσιο του SAS Forum, το οποίο πραγματοποιήθηκε στις 11 Απριλίου, στο Μιλάνο, ο Ξενοφών Λιαπάκης, CIO της Interamerican μίλησε στο netweek για την Data Governance στρατηγική της εταιρείας και το πώς αυτή επηρεάστηκε από τις επιταγές του ευρωπαϊκού General Data Protection Regulation.

Πληθώρα ερευνών καταδεικνύει ότι σημαντικό ποσοστό των ευρωπαϊκών επιχειρήσεων δεν έχει κάνει τις απαραίτητες προετοιμασίες για τον ευρωπαϊκό κανονισμό GDPR, ο οποίος θα τεθεί σε πλήρη εφαρμογή τον Μάιο του 2018. Η Interamerican δεν ανήκει σε αυτές τις επιχειρήσεις, καθώς ξεκίνησε την αξιολόγηση των επιπτώσεων του GDPR στον οργανισμό από τον Σεπτέμβριο του 2016, και εργάστηκε εντατικά για τη διαμόρφωση νέων πολιτικών και συστημάτων, με την αρωγή της SAS.

NW: Ποια είναι τα βήματα που ακολουθήσατε στις διαδικασίες συμμόρφωσης του οργανισμού με το GDPR;

Ξενοφών Λιαπάκης: Πρώτα απ’ όλα, φροντίσαμε να ενημερωθούμε ενδελεχώς για το περιεχόμενο του νέου κανονισμού. Η ανάλυση των επιταγών του GDPR δεν μας άφηνε άλλη επιλογή από το να συμμορφωθούμε απόλυτα με αυτόν. Σε αυτό το πλαίσιο, η πρώτη μας ενέργεια ήταν να παρουσιάσουμε στην ανώτατη διοίκηση του οργανισμού τη μεθοδολογία μας για να δημιουργήσουμε awareness σχετικά με το GDPR. Το «ταξίδι» μας προς τη συμμόρφωση ξεκίνησε με τη δημιουργία νέων ρόλων και ομάδων: Data Governance, Data Protection Officer, Data Stewards, Data Owners και Data Citizens. Ορίσαμε τα αρχικά κονδύλια (pre-budget) για την υλοποίηση των σχετικών projects κανονιστικής συμμόρφωσης, και στη συνέχεια αξιολογήσαμε την ετοιμότητα του οργανισμού απέναντι στην προστασία των δεδομένων, και ιεραρχήσαμε τις ενέργειες που έπρεπε να γίνουν προκειμένου να φτάσουμε στο ιδανικό σημείο. Θεμελιώδες κομμάτι της προετοιμασίας μας ήταν η ενημέρωση όλου του προσωπικού σχετικά με το GDPR, ενώ εξόχως σημαντική ήταν η διαμόρφωση του πλαισίου data accountability -ένα concept που εισάγει στο επιχειρείν το GDPR.

Στο πλαίσιο του accountability εντάσσονται οι δραστηριότητές μας σχετικά με την «χαρτογράφηση» των δεδομένων (data lineage), τη δημιουργία ενός επιχειρησιακού «λεξικού» σχετικά με τις κατηγορίες δεδομένων και την αποτύπωση των ροών δεδομένων, έτσι ώστε να ταξινομηθούν τα προσωπικά δεδομένα. Επιπλέον, αναθεωρήσαμε τις υφιστάμενες διαδικασίες μας στην ασφάλεια πληροφοριών και δημιουργήσαμε νέες αναφορικά με τη διαχείριση των αιτημάτων των πελατών -σύμφωνα με τα αυξημένα δικαιώματα που αυτοί αποκτούν με το GDPR- και τα data breaches. Τέλος, σύμφωνα πάντα με τις επιταγές του κανονισμού, είμαστε στη διαδικασία δημιουργίας πλαισίων Risk Assessment και Data Breach Management. Ιδιαίτερη σημασία δίνουμε και σε θέματα που σχετίζονται με το «δικαίωμα στη λήθη» και τους περιορισμούς στη διατήρηση δεδομένων, και αποτελούν σημαντικές προκλήσεις στη διαδικασία της συμμόρφωσης με το GDPR.

Ποιες οι συνέργειες που δημιουργούνται ανάμεσα στα διαφορετικά τμήματα του οργανισμού, για τη συμμόρφωσή του με το GDPR;

Το Data Governance Office (DGO) διαχειρίζεται τις διαδικασίες για την πληρότητα, την καταλληλότητα και την ακρίβεια όλων των δεδομένων. Προκειμένου να εφαρμόσει τους νέους κανόνες που θέτει το GDPR για τα προσωπικά δεδομένα είναι απαραίτητη η στενή συνεργασία με το τρίπτυχο Data Protection, Compliance και το Legal offices της εταιρείας. Αρχικά, τα τμήματα των Compliance και Legal θα ερμηνεύσουν τον Κανονισμό και θα ορίσουν το νομικό πλαίσιο εφαρμογής του μέσω σαφών «νομικών» οδηγιών. Στη συνέχεια, το Data Protection Office (DPO) θα αποτελέσει το συνδετικό κρίκο ανάμεσα στα τμήματα των Compliance και Legal και του Data Governance Office. Το DPO θα παραλάβει το «ερμηνευμένο» πλαίσιο και πέραν των υπολοίπων δράσεων που θα λάβει, θα δώσει και τις κατευθυντήριες γραμμές στο DGO.

Σύμφωνα με αυτές τις αρχές το Data Governance Office θα προσαρμόσει τις διαδικασίες του ήδη υπάρχοντος framework ώστε να ελέγχει την τήρηση του νέου Κανονισμού. Βασικό εργαλείο ελέγχου, θα αποτελέσουν οι ετήσιοι κύκλοι διασφάλισης ποιότητας δεδομένων (DQAC- Data Quality Assurance Cycle) οι οποίοι λαμβάνουν χώρα ήδη για σκοπούς Solvency, ενώ θα ενταχθούν πλέον και τα προσωπικά δεδομένα. Με σκοπό την ελεγχόμενη πρόσβαση στα προσωπικά δεδομένα, το DGO θα εξασφαλίσει το χαρακτηρισμό (flagging) των προσωπικών δεδομένων (structured ή unstructured), την κωδικοποίηση τους καθώς και τη χαρτογράφηση της ροής τους μέσα στην εταιρία (Lineage).


Ποια είναι η αναμενόμενη εμπλοκή του DPO της εταιρείας στη data governance στρατηγική σας; Και με βάση ποια κριτήρια σε ότι αφορά τη διαχείριση των δεδομένων έγινε ο διορισμός του DPO σας;

Ο Data Protection Officer αποκτά ενεργό ρόλο στη Data Governance στρατηγική της εταιρείας. Είναι το άτομο που θα ορίσει τις πολιτικές και τις διαδικασίες για την προστασία των προσωπικών δεδομένων. Επιπλέον, είναι υπεύθυνος να παρακολουθεί τη συμμόρφωση της εταιρείας με τον Κανονισμό και να παρέχει συμβουλές και καθοδήγηση όταν χρειάζεται. Θα πρέπει να παραδώσει τόσο στο Data Governance όσο και στο Information Security Office την πολιτική της προστασίας των προσωπικών δεδομένων ώστε να ενσωματωθεί στις αντίστοιχες διαδικασίες και να εφαρμοστεί σε όλους τους τομείς της εταιρείας.

Ο Data Protection Officer θα ορίσει και θα εμπλουτίσει το classification ώστε να καλύπτει τις νέες απαιτήσεις του Κανονισμού. Επιπλέον θα καθοδηγήσει το Data Governance Office στη διαμόρφωση των data quality διαδικασιών ώστε να συμπεριληφθούν και τα προσωπικά δεδομένα στις ήδη υπάρχουσες διαδικασίες. Ο DPO θα πρέπει να ορίσει τις προδιαγραφές για τα νέα ισχυρότερα μέτρα ασφαλείας που θα πρέπει να υιοθετηθούν ώστε να διασφαλιστούν τα προσωπικά δεδομένα ενώ το Information Security Office θα αξιολογήσει εάν και σε ποιο βαθμό θα επηρεαστούν οι ήδη υπάρχουσες διαδικασίες.

Πώς αναμένεται να επηρεασθεί η επιχειρησιακή απόδοση από τις διαδικασίες για την ενίσχυση της ασφάλειας πληροφοριών;

Η ισορροπία ανάμεσα στην απόδοση και την ασφάλεια, στο πλαίσιο του GDPR, ενέχει σημαντικές προκλήσεις αναφορικά με την ευθυγράμμιση ανθρώπων, εργαλείων και διαδικασιών στο ίδιο πλαίσιο. Εφαρμόζονται νέες διαδικασίες κρυπτογράφησης και masking των δεδομένων για την πρόσβαση των Data Stewards και Citizens σε αυτά. Οι διαδικασίες αυτές ενισχύουν τη διαθεσιμότητα (availability) των δεδομένων. Είναι γεγονός ότι η διαμόρφωση ενός βιώσιμου πλαισίου ασφάλειας δεδομένων μπορεί να συνδεθεί με ζητήματα όπως αυξημένο κόστος αποθήκευσης των δεδομένων, θέματα υποδομής, χαμηλότερες ταχύτητες στη ροή δεδομένων, κάτι που έχει ως συνέπεια ένα σχετικά «ασαφές» οικοσύστημα δεδομένων.

Όπως ορίζει το GDPR, οι πολιτικές, διαδικασίες και συστήματα της Interamerican βασίζονται στις αρχές του privacy by design και του privacy by default. Το βέλτιστο σενάριο αφορά σε συνεχή επίβλεψη των διεργασιών security για κάθε dataset ξεχωριστά, και την αξιολόγηση των υπέρ και κατά σε κάθε business case. Σε κάθε περίπτωση, είμαστε σε θέση να παράσχουμε σε κάθε τμήμα τα datasets που χρειάζεται, διασφαλίζοντας παράλληλα ότι ικανοποιούνται οι απαιτήσεις του GDPR.

Μπορεί το GDPR να αποτελέσει ευκαιρία για επιχειρηματική ανάπτυξη, και όχι (μόνο) πρόκληση κανονιστικής συμμόρφωσης;

Στην Interamerican επιλέγουμε να διαχειριζόμαστε το GDPR ως ευκαιρία για την προώθηση του operational excellence. Σε αυτό το πλαίσιο, οι Data Stewards και οι Data Owners αποκτούν νέες αρμοδιότητες ώστε όχι μόνο να διασφαλίζουν τη συμμόρφωση με το GDPR, αλλά και να εξομαλύνουν τον κύκλο ζωής των δεδομένων στον οργανισμό. Ο πελάτης της Interamerican έχει πρόσβαση σε νέες υπηρεσίες για τη διαχείριση των προσωπικών του δεδομένων: Customer data portability, συναίνεση για τη χρήση των προσωπικών του δεδομένων, απευθείας πρόσβαση στο portfolio του μέσω των my.INTERAMERICAN.gr και my.anytime.gr, σε ένα απόλυτα διαφανές περιβάλλον διαχείρισης των δεδομένων.

Η παρουσίαση της Interamerican στο SAS Forum Milan
Περισσότερα από 30 parallel sessions έλαβαν χώρα στο πλαίσιο του SAS Forum Milan, το απόγευμα της 11ης Απριλίου. Σε ένα από αυτά παρουσιάστηκε η ευθυγράμμιση της data governance στρατηγικής της Interamerican με τις επιταγές του GDPR, από τον Νίκο Μαρουλιανάκη, Head of Enterprise Data Management & Infrastructure του οργανισμού. «Οι περισσότερες εταιρείες θεωρούν ότι μπορούν να είναι data-driven αποκτώντας τα κατάλληλα εργαλεία και προσλαμβάνοντας καλούς data scientists. Όμως δεν μπορεί να υπάρξει data driven οργανισμός χωρίς διακυβέρνηση των δεδομένων. Και το 80% της προετοιμασίας για το GDPR αφορά αποκλειστικά σε data governance» τόνισε ο Ν. Μαρουλιανάκης. Ο ίδιος επισήμανε ότι η διακυβέρνηση δεδομένων έχει απτά οικονομικά οφέλη για τον οργανισμό, ενώ ανέδειξε τη σημασία συμμόρφωσης των ασφαλιστικών εταιρειών με το GDPR, καθώς «στην ασφάλιση, το profiling γίνεται πριν καν αρχίσει η σχέση του πελάτη με την επιχείρηση».