Κατανόηση των προκλήσεων της σωστής εφαρμογής του GDPR

Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR), που εφαρμόστηκε το 2018, μεταμόρφωσε το τοπίο της προστασίας δεδομένων και της ιδιωτικής ζωής στην Ευρωπαϊκή Ένωση (ΕΕ) αλλάζοντας δράσεις και τρόπο σκέψης.

Υποχρέωσε όλες τις εταιρείες που κατέχουν/ διαχειρίζονται/ συλλέγουν προσωπικά δεδομένα φυσικών προσώπων, να βάλουν κανόνες διαχείρισης και χρήσης αυτών. Ενώ ο GDPR στοχεύει στη διασφάλιση της υπεύθυνης διαχείρισης των προσωπικών δεδομένων, πολλές εταιρείες αγωνίζονται με την ορθή εφαρμογή του, ενώ πολλές άλλες απλά προσπαθούν να έχουν το ελάχιστο των υποχρεώσεων και παράλληλα να μπορούν να λειτουργούν χωρίς έλεγχο η τουλάχιστον να δείχνουν ότι σέβονται τους κανόνες μόνο στην θεωρία. Αυτό το άρθρο διερευνά τους λόγους πίσω από αυτές τις προκλήσεις, με ιδιαίτερη έμφαση στη σχέση μεταξύ της συμμόρφωσης με τον GDPR και της ασφάλειας στον κυβερνοχώρο. Θα εμβαθύνει σε ζητήματα όπως η έλλειψη κατανόησης, οι ανεπαρκείς πόροι, οι τεχνολογικοί περιορισμοί, οι προκλήσεις διακυβέρνησης δεδομένων και ο αντίκτυπος στις πρακτικές ασφάλειας στον κυβερνοχώρο.

Έλλειψη κατανόησης του ίδιου του νόμου
Ο GDPR είναι ένας ολοκληρωμένος και περίπλοκος κανονισμός, που παρουσιάζει προκλήσεις για τους οργανισμούς όσον αφορά την κατανόηση των απαιτήσεών του, αλλά παράλληλα απαιτεί και πολύ μεγάλη γνώση και εξειδίκευση για την κατανόησή του και φυσικά στην εφαρμογή του. Η νομική του ορολογία, οι διαφοροποιημένες αρχές και οι λεπτομερείς οδηγίες μπορεί να είναι περίπλοκες και δύσκολο να ερμηνευτούν στα μέτρα των εταιρειών και πολύ πιο δύσκολα να μεταφραστούν και σε διαδικασίες και σε τεχνολογίες που θα πρέπει να υλοποιηθούν. Πολλές εταιρείες αγωνίζονται να κατανοήσουν τις λεπτές λεπτομέρειες του GDPR και πώς εφαρμόζονται στις συγκεκριμένες δραστηριότητές τους. Αυτή η έλλειψη κατανόησης μπορεί να οδηγήσει σε ελλιπή ή εσφαλμένη εφαρμογή, αφήνοντας τους οργανισμούς ευάλωτους στη μη συμμόρφωση και σε πιθανούς κινδύνους για την ασφάλεια στον κυβερνοχώρο. Επίσης αυτή η έλλειψη κατανόησης μπορεί εύκολα, ηθελημένα να μεταφραστεί κατά το δοκούν και να επιτρέψει μεγάλη ελευθερία σε κινήσεις και αποφάσεις σε πολλές εταιρείες, και με δεδομένο ότι η αντιμετώπιση τέτοιων δεδομένων απαιτεί και χρόνο και χρήμα και φυσικά οργανωμένες αρχές, μάλλον αυτό το φαινόμενο αρχίζει να μεγαλώσει εκθετικά.

Ανεπαρκείς πόροι
Η επίτευξη συμμόρφωσης με τον GDPR απαιτεί σημαντικές επενδύσεις από άποψη χρόνου, τεχνογνωσίας και οικονομικών πόρων. Ορισμένοι οργανισμοί, ιδιαίτερα οι μικρότεροι, σίγουρα δυσκολεύονται να διαθέσουν επαρκείς πόρους για να εφαρμόσουν τις απαραίτητες αλλαγές στα συστήματα και τις διαδικασίες διαχείρισης δεδομένων τους και πολύ δε περισσότερο, πολύ δύσκολα μπορούν να διαθέσουν πόρους για επικαιροποιήση των κανόνων, παρακολούθησης αυτών και φυσικά επανατοποθέτησής τους. Το κόστος που σχετίζεται με την απόκτηση και την εφαρμογή νέας τεχνολογίας, τη διενέργεια ελέγχων και την πρόσληψη υπευθύνων προστασίας δεδομένων μπορεί να είναι απαγορευτικό, εμποδίζοντας τη σωστή εφαρμογή του GDPR. Ως αποτέλεσμα, τα μέτρα κυβερνοασφάλειας ενδέχεται να τεθούν σε κίνδυνο λόγω περιορισμένων πόρων, το οποίο αυτό ανοίγει την βεντάλια των προβλημάτων και σε επίπεδο διαδικασιών και φυσικά μετάφρασης, κατανόησης και ανάλυσης.

Τεχνολογικοί περιορισμοί
Η συμμόρφωση με τον GDPR απαιτεί συχνά από τους οργανισμούς να εφαρμόζουν τεχνολογικές αλλαγές στα συστήματα συλλογής, αποθήκευσης και διαχείρισης δεδομένων και στα πρωτόκολλα ασφαλείας τους. Τα απαρχαιωμένα ή παλαιού τύπου συστήματα μπορούν να δημιουργήσουν προκλήσεις για την εκπλήρωση των αυστηρών απαιτήσεων GDPR. Η εφαρμογή ισχυρής κρυπτογράφησης δεδομένων, ελέγχων πρόσβασης και μηχανισμών παρακολούθησης της ασφάλειας μπορεί να είναι πρόκληση για εταιρείες με περιορισμένες τεχνολογικές δυνατότητες. Τέτοιοι περιορισμοί μπορούν να δημιουργήσουν τρωτά σημεία στα συστήματα του οργανισμού, οδηγώντας δυνητικά σε παραβιάσεις της κυβερνοασφάλειας. Πάντως δεν είναι και ο μόνος προβληματισμός. Εκτιμώ ότι πολύ μεγάλη κενό υπάρχει και στις σωστές διαδικασίες που πρέπει να υπάρχουν και να λειτουργούν σε συνδυασμό με την τεχνολογία, που όμως οι διαδικασίες έχουν κυρίαρχο ρόλο.

Προκλήσεις διακυβέρνησης δεδομένων
Ο GDPR δίνει μεγάλη έμφαση στις αποτελεσματικές πρακτικές διακυβέρνησης δεδομένων, συμπεριλαμβανομένης της σχολαστικής τήρησης αρχείων, των αξιολογήσεων επιπτώσεων στην προστασία δεδομένων και της διατήρησης μιας νόμιμης βάσης για την επεξεργασία δεδομένων. Πολλές εταιρείες παλεύουν με αυτές τις πτυχές, οδηγώντας σε δυσκολίες στην απόδειξη συμμόρφωσης. Οι κακές πρακτικές τεκμηρίωσης, ο ανεπαρκής χειρισμός των αιτημάτων των υποκειμένων των δεδομένων και η έλλειψη σαφούς χαρτογράφησης δεδομένων εντός του οργανισμού συμβάλλουν στις προκλήσεις διακυβέρνησης δεδομένων. Αυτά τα κενά στη διακυβέρνηση δεδομένων μπορούν να αυξήσουν την έκθεση του οργανισμού σε κινδύνους κυβερνοασφάλειας.

Αντίκτυπος στις πρακτικές κυβερνοασφάλειας: Η σωστή εφαρμογή του GDPR και οι πρακτικές ασφάλειας στον κυβερνοχώρο συνδέονται μεταξύ τους. Η συμμόρφωση με τον GDPR απαιτεί από τους οργανισμούς να αξιολογούν και να βελτιώνουν τα μέτρα κυβερνοασφάλειας τους για την προστασία των προσωπικών δεδομένων από μη εξουσιοδοτημένη πρόσβαση, παραβιάσεις και άλλα συμβάντα ασφαλείας. Ωστόσο, ορισμένες εταιρείες ενδέχεται να αποτύχουν να ενσωματώσουν αποτελεσματικά τις δραστηριότητες συμμόρφωσης με τον GDPR με τις πρωτοβουλίες τους στον τομέα της κυβερνοασφάλειας. Ως αποτέλεσμα, οι πρακτικές κυβερνοασφάλειας ενδέχεται να μην ευθυγραμμίζονται με τις νέες απαιτήσεις προστασίας δεδομένων, αφήνοντας τους οργανισμούς επιρρεπείς σε παραβιάσεις δεδομένων και άλλες απειλές στον κυβερνοχώρο.
Ίσως αυτό να είναι και το μεγαλύτερο πρόβλημα στην σημερινή εφαρμογή του νόμου, και το πως μεταφράζουν οι επιχειρήσεις την χρήση και την εφαρμογή του GDPR και κυρίως το δικαιώματα έχουν και το πως οριοθετούνται οι ευθύνες τους.

Ευαισθητοποίηση και εκπαίδευση
Μία από τις βασικές προκλήσεις για τη σωστή εφαρμογή του GDPR είναι η έλλειψη ευαισθητοποίησης και κατάρτισης μεταξύ των εργαζομένων. Οι οργανισμοί συχνά αποτυγχάνουν να δώσουν προτεραιότητα στην εκπαίδευση των εργαζομένων σχετικά με τις αρχές προστασίας δεδομένων, τις απαιτήσεις GDPR και τις βέλτιστες πρακτικές ασφάλειας στον κυβερνοχώρο. Αυτή η έλλειψη ευαισθητοποίησης αφήνει τους υπαλλήλους ανεπαρκείς για να χειρίζονται τα προσωπικά δεδομένα με ασφάλεια, οδηγώντας ενδεχομένως σε ακούσιες παραβιάσεις.

Τα αποτελεσματικά προγράμματα κατάρτισης μπορούν να γεφυρώσουν αυτό το κενό γνώσης, δίνοντας τη δυνατότητα στους υπαλλήλους να κατανοήσουν και να εκπληρώσουν τους ρόλους τους στην προστασία των προσωπικών δεδομένων και στην ενίσχυση της άμυνας στον κυβερνοχώρο. Η εκπαίδευση όμως, δεν είναι μόνο προς την πλευρά των υπαλλήλων. Αλλά και των άλλων όλων των οποίων συλλέγουμε δεδομένα. Δεν νομίζω ότι κανένας από τους «κοινούς θνητούς» όπως τείνω να τους αποκαλώ, ξέρουν το πως και το γιατί εκχωρούν δικαιώματα συλλογής και αποθήκευσης, ούτε όμως και το τι δικαιώματα έχουν ως πολίτες και ως καταναλωτές/ πελάτες. Δεν υπάρχει καμία απολύτως, ή υπάρχει ελάχιστη αντίληψη των κινδύνων, και των προβλημάτων που μπορούν να προκύψουν, και ούτε μπορούν να φανταστούν το πόσο εκχωρητικοί μπορούν να γίνουν και να δώσουν βήμα τεράστιας κερδοφορίας σε τρίτες επιχειρήσεις.

Συμπέρασμα
Οι προκλήσεις που αντιμετωπίζουν οι εταιρείες για την ορθή εφαρμογή του GDPR είναι πολύπλευρες, πολυεπίπεδες, αλληλένδετες και εμπλέκουν τόσο τεχνολογία όσο και τον ανθρώπινο παράγοντα που παρουσιάζει και μεγαλύτερη τρωτότητα. Από την άποψη της κυβερνοασφάλειας, η έλλειψη κατανόησης, οι ανεπαρκείς πόροι, οι τεχνολογικοί περιορισμοί και οι προκλήσεις διακυβέρνησης δεδομένων μπορούν να θέσουν σε κίνδυνο τις πρακτικές ασφάλειας του οργανισμού. Ο δεσμός μεταξύ της συμμόρφωσης με τον GDPR και της ασφάλειας στον κυβερνοχώρο είναι ζωτικής σημασίας, καθώς οι οργανισμοί πρέπει να ευθυγραμμίσουν τα μέτρα προστασίας δεδομένων τους με ισχυρά πρωτόκολλα κυβερνοασφάλειας για την προστασία των προσωπικών δεδομένων. Η αντιμετώπιση αυτών των προκλήσεων και η ενσωμάτωση των απαιτήσεων GDPR σε πρωτοβουλίες κυβερνοασφάλειας απαιτεί μια ολιστική προσέγγιση, συμπεριλαμβανομένης της κατανομής επαρκών πόρων, της επένδυσης στην κατάλληλη τεχνολογία, της προώθησης πλαισίων διακυβέρνησης δεδομένων και της προτεραιότητας της ευαισθητοποίησης και της εκπαίδευσης των εργαζομένων. Με αυτόν τον τρόπο, οι οργανισμοί μπορούν να ενισχύσουν την προστασία δεδομένων, να ελαχιστοποιήσουν τους κινδύνους για την ασφάλεια στον κυβερνοχώρο και να διασφαλίσουν τη συμμόρφωση με τους κανονισμούς GDPR.